Google Cloud社は4日、SOAR（Security Orchestration, Automation and Response）ベンダーの米Siemplifyを買収したと発表した。同社が持つSOAR製品を取り込む。アナリストらはこの件について、単体提供のSOARやSIEM（Security Information and Event Management）市場が終焉を迎える兆しだと考えている

両社とも本買収の金銭的条件は明らかにしていない。ベンチャー企業データベースの米Crunchbaseでは、Siemplify社は以前に5800万ドル（約66億円）のベンチャー資金を調達しており、Googleは同社の買収に5億ドル（約570億円）を支払ったとしている。

Siemplify社は2015年の創業で、エンドツーエンドマネージメント、優れた脅威対応、ワークフロー全体の可視化によってSOC（セキュリティオペレーションセンター）のパフォーマンスを向上させるとうたったSOARプラットフォームを提供している。2020年半ばにはクラウドネイティブなSOARプラットフォームをリリースした。

Google Cloud社はセキュリティ分析プラットフォーム「Chronicle」にSiemplify製品を統合し、「法人のお客様に対し、セキュリティ運用の最新化、自動化を支援」するとしている。クラウドセキュリティ担当VP兼GMのSunil Potti氏がブログ記事で述べた。

セキュリティスタートアップのChronicle社はもともとAlphabet社（Googleの親会社）の秘密研究所「X」の一部だった組織で、その後独立事業となっている。2019年に兄弟会社のGoogle Cloud社と合併した。

Chronicle社は2019年にクラウドネイティブなSIEMプラットフォーム「Backstory」をリリースしたが、SOAR機能については他のベンダーと提携を結んでいる。

「SOARツールはGoogleのChronicle製品にとって、事実上スタートからずっと欠けていたピースです。他のセキュリティ分析プラットフォームは早くも2017年にはSOARをネイティブに組み込み始めていました」。米調査会社Forresterのアナリスト、Allie Mellen氏は質問に答えて述べている。

単体提供のSOARは終焉を迎えるのか

一方、Mellen氏によると、SOARを単体で提供していた多くのベンダーがSIEMベンダーに買収され、あるいは脅威インテリジェンスプラットフォーム等の他の製品と合わせてポートフォリオを構築している中で、Siemplify社はスタンドアロン型として存続していた数少ないベンダーの1社だったという。

Forrester社は昨年、SOAR市場は単独では立ち行かないだろうと予測していた。Google Cloud社による今回の買収は「的確な判断による」もので、「単体のSOAR、もっと言えばSIEMの終焉を告げるもの」だとMellen氏は言う。

また、SIEM市場の製品は、SIEM、SOAR、SUBA（セキュリティユーザー行動分析）を単一の製品に組み込んだ、よりホリスティックなセキュリティ分析プラットフォームへと変化しているという。

米調査会社ZK Researchの創設者兼主席アナリストのZeus Kerravala氏もこれに賛成し、SOARやSIEMのスコープは脅威への対応に限定されているとした。「セキュリティ分野はAI主導型の色を強めており、エンドツーエンドの可視性が必要です。サイロ化は大きな死角を生む可能性があるのです」。

一方、驚くことではないかも知れないが、独立系SOARプロバイダー米SwimlaneのCEO、James Brear氏はこうした予測に異議を唱えている。

「Siemplify社の買収は、セキュリティ自動化とSOARへの需要が高まっていることの証左です」。氏はあるステートメントで述べている。「セキュリティベンダーが指示する要件だけでなく、あらゆる組織の既存のインフラやセキュリティプレイブックの要件と容易に統合可能な自動化が必要であることを立証するものです」

一般的なXDRの先を見据えるGoogle社

Mellen氏によると今回の買収は、各社のセキュリティチームが「検出から調査、対応のオーケストレーションまで、インシデント対応のライフサイクル全体を通して利用できる統合セキュリティ分析プラットフォーム」を求めていることを示すものでもあるという。

XDR（Extended Detection and Response）は、SOAR、SIEM、EDR（Endpoint Detection and Response）、NTA（Network Traffic Analysis）の要素をSaaS型プラットフォームに統合し、セキュリティデータとインシデントレスポンスを一元化したプラットフォームの一例だ。

「SOARとSIEMは、これを包含するXDR戦略の一部でなくてはなりません。Googleの目指す方向性はそれでしょう」。Kerravala氏は言う。

ここのところ、Google Cloud社はXDRの分野でいくつかの動きを見せている。昨年5月にはCrowdStrike社と提携、Google Cloud社のセキュリティ製品とCrowdStrike社の「Falcon」プラットフォームの間でテレメトリとデータを共有する契約を締結した。この時Potti氏は、この提携による統合製品を「XDRを超えるもの」だと説明している。

10月下旬にはCrowdStrike社、パロアルトネットワークス、米Cybereasonの3社とXDRに関する提携を結んだと発表している。つい先月にはCybereason社が「XDR powered by Google Chronicle」プラットフォームをリリースしている。

今回のSiemplify社の買収は、Google Cloud社の「XDRを超える」戦略をさらに後押しするものと言える。

同社が最新の脅威管理スタックというビジョンを描いているのは、顧客が一般的なSIEMやXDRツールの先へと進んで「最新の環境にふさわしいスピードと規模で優れた検出と対応ができるように」するためだとPotti氏は書いている。「実績のあるSOAR機能に加え、セキュリティ分析に対するChronicleの革新的なアプローチを統合して提供することは、当社のビジョンを前に進める重要な一歩です」

https://www.sdxcentral.com/articles/news/does-google-clouds-siemplify-buy-signal-the-end-of-standalone-soar/2022/01/