📖

re:Invent 2025: eSentireのAtlas AI - Snowflake Cortexでセキュリティ調査を自動化

に公開
AWS
reinvent2025sessio
tech

はじめに

海外の様々な講演を日本語記事に書き起こすことで、隠れた良質な情報をもっと身近なものに。そんなコンセプトで進める本企画で今回取り上げるプレゼンテーションはこちら!

re:Invent 2025 の書き起こし記事については、こちらの Spreadsheet に情報をまとめています。合わせてご確認ください

📖 re:Invent 2025: AWS re:Invent 2025 - Agentic AI Meets Cybersecurity: eSentire’s Atlas AI Powered by Snowflake & AWS

この動画では、SnowflakeのPrincipal Partner EngineerであるMatt MarzilloとeSentireのCTO Dustin Hillardが、SnowflakeとAWSを活用したAIソリューションについて解説しています。SnowflakeのCortex機能は、AI SQL機能による非構造化データのバッチ処理から、Cortex Search、Cortex Analyst、Cortex Agentを組み合わせたagenticシステムの構築まで対応します。eSentireは1日あたり20テラバイトのセキュリティデータをSnowflakeに取り込み、agentシステムにより従来10~15分かかっていた調査を最大30種類のツール呼び出しで自動化。人間の専門家との一致率95%を達成し、顧客保護の初動対応時間内により包括的な調査を実現しています。さらにSnowflake Intelligenceにより、非技術チームもSalesforceやServiceNowなどの内部データ分析が可能になりました。

https://www.youtube.com/watch?v=UPL4PqenALo
※ こちらは既存の講演の内容を最大限維持しつつ自動生成した記事になります。誤字脱字や誤った内容が記載される可能性がありますのでご留意下さい。

本編

Snowflake の AI 機能 Cortex と AWS との統合 - エンタープライズデータウェアハウスから agentic システムへの進化

皆さん、こんにちは。私の名前は Matt Marzillo です。Snowflake の Principal Partner Engineer をしています。本日は、Snowflake と AWS の顧客である eSentire の Dustin と一緒にお話しします。Snowflake が AI に向けて何を提供しているのか、そして顧客がどのように Snowflake の AI サービスを AWS と統合し始めているのかについて、簡潔にご紹介したいと思います。Dustin の方からは、もっと詳しい説明をしていただく予定です。

Thumbnail 0

Thumbnail 40

まず、Snowflake が何かについて簡単にご紹介させてください。私たちは今、10 年以上の歴史があります。 Snowflake が市場に登場した当初、私たちはクラウド向けに特別に設計された本当に優れたエンタープライズデータウェアハウスとして、大きな市場シェアを獲得しました。SQL Server や Oracle をオンプレミスで使用していた顧客は、クラウドのすべてのメリット、つまりスケーラビリティと低い管理オーバーヘッドを求めていましたが、同時に同じような使用体験を望んでいました。それ以来、私たちは単なるエンタープライズデータウェアハウスアーキテクチャを超えて、本当に成長してきました。Data Lakehouse をサポートしており、Iceberg を使った多くの取り組みも行っています。また、データメッシュアーキテクチャもサポートしています。アプリケーション開発、データ共有、コラボレーション、そして従来の機械学習機能に関する優れた機能も備えています。ここで重要なのは、私たちの AI ストーリーです。

Thumbnail 80

注目すべき点は、Snowflake の創設当初から AWS にデプロイされているということです。私たちは数十の AWS ネイティブ AI サービスと統合しています。Snowflake が AWS と統合する方法には、2 つのストーリーがあります。1 つ目は、AWS の上に Snowflake をデプロイするということです。私たちは S3 と EC2 が内部で動作している SaaS サービスです。また、これらのさまざまなサービスとネイティブに統合しています。S3、Kinesis、Data Firehose、SageMaker、Bedrock、Glue、Glue Catalog です。AWS と Snowflake の間のパートナーシップは強固です。

Thumbnail 120

では、Snowflakeの AI 機能について詳しく見ていきましょう。それが Cortex です。 Snowflake は真の SaaS サービスです。個別のサービスをスピンアップするのではなく、むしろ異なる機能を提供しており、AI に関するすべての機能は Cortex というブランドで統一されています。顧客にとって重要なのは、Snowflake は二つのものではないということです。私たちはデータセンターを構築するハイパースケーラーではありませんし、モデルを構築するラボでもありません。私たちは目的に合わせて構築したカスタムモデルを持っていますが、私たちが注力しているのは、あなたのデータを使ってデータ中心の AI システムを構築するための、市場で最高のエクスペリエンスだと思います。

これは一般的に 2 つの異なるカテゴリに分類される 6 つの異なる機能によって実現されています。一つは、AI SQL 機能と文書処理を使用して、大規模言語モデルで非構造化データをバッチ処理することです。スキャンされた文書から情報を抽出したり、画像にラベルを付けたり、オーディオファイルを文字起こししたり、トランスクリプトを翻訳したりします。多くの場合、顧客は最初にこのようなバッチ処理のユースケースで AI を本番環境に導入します。2 番目のユースケースは、エンタープライズデータを中心とした agentic システムを構築することです。これは、非構造化データに対して Cortex Search というハイブリッド検索サービスを使用することから始まり、さらに Cortex Analyst を使用します。これは私たちの差別化要因です。これにより、構造化データの上にコンテキストを構築できるので、Cortex Analyst にリクエストを送信するときに非常に正確な結果を得ることができます。

Thumbnail 240

その後、それを Cortex Agent の中にラップします。つまり、Cortex Agent は Snowflake に組み込まれています。そのエージェントにリクエストを送信すると、多くの異なるツール、アナリスト、検索サービス全体をオーケストレーションして、その後どこにでも具体化できるレスポンスを生成します。Snowflake Intelligence という ネイティブ UI エクスペリエンスがあり、これにより Snowflake 内のすべての Cortex エージェントと対話できます。 これはそのようなエージェントエクスペリエンスがどのように見えるかです。これは私たちが見始めていることであり、Dustin が話そうとしているのは、彼らの旅とどのように Snowflake と AWS を一緒に AI に使用しているかです。これはいわば将来のビジョンです。これは多くの顧客が移行しているのを見ている場所であり、構造化データと非構造化データを取得し、Cortex Analyst と Cortex Search を使用した使いやすいサービスを使用し、その周りにエージェントをラップし、その後 Snowflake Intelligence、Slack、Streamlit、またはその他のものであれ、アプリケーションから直接それを使用するのと同じくらい簡単です。

Thumbnail 280

とはいえ、顧客が「Cortex の中にエージェントを構築しました。それは素晴らしい。それは私たちのデータエージェントです。しかし、私たちはそのエージェントを Agentic Core の内部に構築されたより広い agentic システムの一部として使用したいのです」と言い始めているのを見ています。これはここ 4 週間で多くの顧客が質問しているのを見ているようなものです。これをセットアップする方法を示すガイドとクイックスタートがあります。あなたがしていることは、Snowflake 内にこれらすべての異なる AI システムを構築し、その後、マネージド MCP サーバーで Agentic Core から接続することです。

Agent Corps の中に 1 つのオーケストレーターがあれば、Cortex と Snowflake の中にあるすべての異なる AI システムと、AWS の中にあるその他のものすべてを考慮することができます。これにより、単一のオーケストレーターが Snowflake にあるか AWS にあるかに関わらず、エージェントとサービス全体をオーケストレーションする統一されたエクスペリエンスが得られます。

私たちが見ているのは、多くのお客様がバッチ処理から始まり、AI を使って非構造化データを補完し、その後エージェントシステムへと移行していくということです。これらのエージェントシステムを、エージェントコアの内部に構築されたより広いエージェンティックシステムと統合します。それでは、Dustin にバトンタッチします。

Thumbnail 360

eSentire が直面するセキュリティ課題と Snowflake プラットフォーム導入の背景

私は Dustin Hillard で、eSentire の CTO であり、テクノロジーとプロダクトチームをリードしています。 私たちがお客様のために解決している問題は、誰もがセキュリティを必要としていますが、実際に Fortune 500 企業が持っているような完全な SOC と 24/7 で運用されているものを持つことは、Fortune 500 以外のほとんどの企業にとって非常に難しいということです。人材を確保するのも難しいし、テクノロジーを導入するのも難しいです。

Thumbnail 390

生成 AI とエージェンティック AI は明らかにこの問題を増加させています。新しい脅威面がたくさん出現しており、既存のツールはそれらに非常にうまく対応できていません。攻撃のスピードも速くなっています。 Anthropic が最近発表したレポートでは、中国の国家的行為者がこれらのツールを使って、今日、人々が攻撃を実行する方法の大部分を自動化できるようになっていることが示されています。Shadow IT は常に Gen AI の問題でしたが、今はさらに大きくなっており、セキュリティと IT チームが環境を保護しなければならないという観点から、問題がさらに急速に増加しています。

Thumbnail 440

Thumbnail 460

良い面では、これらのツールは私たちも力を与えてくれており、それが次に話すことです。つまり、これらのツールを使ってお客様のセキュリティ態勢を強化する方法についてです。 eSentire は 20 年以上前から存在し、約 2,000 のお客様を持っています。私たちは managed detection and response の提供におけるリーダーであり、これは基本的に私たちの SOC アナリストとプラットフォームがセキュリティインシデントを見て、それが本物かどうかを理解し、ビジネスに損害を与える前にそれを停止する能力です。

Thumbnail 510

これは、それを実現するために Snowflake をどのように活用しているかについてのお話です。Snowflake プラットフォームを導入する前の課題の一つは、様々なセキュリティテレメトリソース、独自の脅威インテリジェンスデータ、そして顧客履歴データなど、あらゆる種類のデータを持っていたのですが、それぞれがサイロ化されていて管理が難しかったということです。Snowflake との取り組みの最初のステップは、そうしたすべてのデータを一箇所に集約して、簡単に処理し、分析できるようにすることでした。

それにより、そのデータを処理するための様々なツールを構築することができ、人間の SOC アナリストを通じて顧客にとってより良い成果をもたらすことができました。これがプロセスの最初の段階でしたが、実際に Snowflake に移行することで、以前使用していたレガシーシステムと比較してコストを削減することができました。また、すべてのデータが一箇所にあることで、多くの新しい機能を開放することができました。

大規模セキュリティテレメトリの処理と agentic ワークフローによる調査の自動化 - 95% の精度を実現

私たちのアーキテクチャはエッジから始まります。これは基本的に顧客自身の環境にあるものです。そこで考える主要なコンポーネントは、ネットワークの可視性、エンドポイント上のエージェント、そしてログデータです。これらはすべて、顧客環境で何が起こっているかを理解するのに役立つデータソースです。市場のリーダー企業の多くがどのようにデータを取得しているかについて、私たちはサポートしています。プラットフォーム内部では、そのデータを取得し、処理し、理解し、エンリッチメントを行い、その後、潜在的なセキュリティイベントが実際のセキュリティインシデントであるかどうかについて判断を下したいと考えています。

Thumbnail 560

そのための主要なコンポーネントがいくつかあります。ローコードのオーケストレーションプラットフォームと、その後で説明する agentic ワークフローがあります。私たちが運用している規模は大きいものです。ネットワーク側では、1 日あたり 2 ペタバイト以上の生ネットワークデータを見ています。エージェント側では、これらのエンドポイントシステムから約 2 テラバイトのメタデータが出ており、ログ側では 1 日あたり 20 テラバイトのデータです。

Thumbnail 600

これはすべて、明らかに私たちがこれらのイベントを理解し処理するために使用する大量のテレメトリです。Snowflake に 1 日あたり約 20 テラバイト、合計約 10 ペタバイトのデータを取り込んでいます。ここで重要なポイントは、すべてのデータが一箇所に正規化されていることであり、その上に agentic システムを構築して実行する能力があるということです。

成功するエージェントシステムの重要な要素は、必要な専門知識をどのようにエンコードして自動化し、それを複製できるかということです。私たちの人間による分析は20年間成功してきましたが、今わかってきたのは、エージェントシステムが人間のアナリストの質に匹敵することができるということです。私たちは人間のセキュリティ専門家がプロンプトとワークフローを設計し、エージェントシステムとエージェントコードオーケストレーションプラットフォームを駆動することで、このシステムを構築することができました。

典型的なセキュリティ調査では、以前は私たちのアナリストが10~15分を費やし、その調査の過程で2~3回のツール呼び出しを行っていました。今では、私たちが導入した自動化ワークフローにより、最大30種類のツール呼び出しを実行でき、その特定のシナリオで何が起こっていたのかについて、はるかに包括的な調査とレポートを提供できるようになりました。これにより、顧客との非常に詳細なエンゲージメントが実現し、さらに顧客が独自のクエリでフォローアップできる機能も追加しています。これにより、顧客は初期のエージェント調査を受けるだけでなく、消費者の視点で使用する場合に期待するようなフォローアップの体験もできるようになります。

Thumbnail 710

すべてがこれの上に構築され、Snowflakeに正規化されたデータによって実現されています。どのベンダーであっても、すべてが正規化された方法で入ってきます。私たちの脅威インテリジェンスデータとすべてのバックエンドチケット情報および顧客コンテキストにより、これらのエージェントは人間のアナリストが時間的制約の中で同じ規模で実行できない非常に強力なアクションを実行できます。顧客を保護するために、私たちは通常、最初の10~15分以内に決定を下そうとしており、これにより脅威を封じ込め、最初の段階で抑えることができます。それを超えると、管理がより難しくなり、ビジネスへのダメージが増加します。非常に短い時間枠でこれらの深い 調査を実行する能力は、これが成功している理由の重要な部分です。

これはエージェントがどのように見えるかについて、もう一段階掘り下げたものです。ワークフローが何を通過しているかを考えると、ベンダーテクノロジーまたは私たち自身の検出から入ってくる潜在的なセキュリティインシデントが与えられた場合、初期の仮説を作成しています。それを取得してから、証拠収集と仮説の精緻化のループを通過します。CrowdStrike に呼び出しを行ってプロセスツリーを確認したり、ログデータをクエリしてより多くのテレメトリを取得したり、顧客環境で以前に発生したイベントの脅威インテリジェンスコンテキストを取得したりできます。これらのすべての異なるツールは、その仮説を精緻化する方法であり、基本的には、これが修復が必要な真のセキュリティインシデントであるか、それとも誤検知または無害なものであるかを判断するための信頼レベルに達するまで、反復を続けます。

従来の機械学習とフィルタリングアプローチの数年間のチューニングの後でさえ、私たちが見ているインシデントには、依然として5対1から10対1程度の誤検知と真陽性の比率があります。これにより、その道を進むために多くの作業を行うことができ、最終的にはより少ない労力でより良い結果を提供できます。そのスライドで言及するのを忘れていたもう一つのことは、すべてのその作業は素晴らしいですが、それが合理的な品質である場合に限るということです。多くの作業を行うことはできますが、その品質が私たちの専門家が自分たちで行ったであろうものと一致しない場合、それはほぼ無価値です。

Thumbnail 790

大規模な内部調査を実施してきており、今日は SOC のあらゆる調査でこれを運用しています。最も経験豊富なアナリストが、そのエージェント調査の出力を判定する比較を見ると、セキュリティ調査の結果として彼らが選択したであろう内容との一致率は 95% に達しています。これは本当に私たちに自信を与えてくれます。つまり、このシステムには価値があり、さらなる出力と強力な結論を推進している追加の作業と自動化は、専門家が時間があれば自分たちでやったであろうことと一致しているということです。

エージェントシステムがもたらす新たな価値 - 新市場への展開と Snowflake Intelligence の活用

主な影響は、これらのエージェント システムを使用することで、これまで以上に顧客により多くのものを提供できるようになったということです。エージェント システムについては、効率性と人間がやることを減らせるか、あるいは少ない人数でそれができるかについて、多くの議論があります。しかし私たちの視点は全く異なります。それは単に何かをするのに必要な人数を減らすことではなく、より多くのものを提供できるようになることなのです。これが私たちが本当に興奮していることです。つまり、そうすることで顧客にもたらしている、より良い成果なのです。

最後の点は、これが私たちに新しいライセンス モデルも開いてくれたということです。今、私たちはこのエージェント品質の調査を提供できるプラットフォームを持っており、それは必ずしも私たちの SOC がやる必要はありません。ですから、新しい市場に進出しており、インドのパートナーにこのプラットフォームをライセンスしています。彼らはサービス プロバイダーなので、すべてインドでホストされており、地域の観点からコンプライアンスに準拠しています。データはそこにあり、彼らはそこにいる人々とサービスを提供しているので、その市場のニーズを満たしています。

このタイプのソリューションで次に向かう場所は Saudi Arabia です。同様のタイプの制約があります。データ レジデンシーとエージェント機能の組み合わせにより、自分たちだけではこれができなかったであろうサービス プロバイダーに新しいオファリングをもたらすことができています。

このスライドは、私たちが入れたコンテンツで更新されなかったようです。ですから、私が今から言おうとしていることを想像してください。それは Snowflake Intelligence は素晴らしいということです。私たちのチームは、エンド カスタマー向けの製品ユース ケースのプラットフォーム利用側の作業をしてきました。しかし Snowflake が成長し、私たちがそれで得られる成果に満足し、好きになるにつれて、私たちは今、大量の内部データを Snowflake 自体に持ち込み始めています。

Salesforce のデータ、ServiceNow、ファイナンス、そして Gong からのカスタマーコールデータといったものが、すべて Snowflake に入っているんです。Matt が皆さんにお話しした Snowflake Intelligence レイヤーは、こうしたデータの上でチームが実行できるようにしてくれます。彼らは分析ユースケースと重要なカスタマー分析を実行しているんですが、これは私の R&D チームが実行を支援する時間がなかったものなんです。でも Snowflake Intelligence が今あることで、データを入れてしまえば、こうした通常の分析ユースケースについて、彼らは大きな進展を遂行できるようになったんです。

Snowflake Intelligence との取り組みは私たちにとって良い経験になっています。というのも、それが本当にこうしたワークフローをビジネスクリティカルなデータを持つ非技術チームにアクセス可能にしてくれたからです。それは私たちが解決できる問題のセットを広げてくれました。それでは、ありがとうございました。お電話をいただき、感謝いたします。

※ こちらの記事は Amazon Bedrock を利用し、元動画の情報をできる限り維持しつつ自動で作成しています。

Discussion