タニウムCTO マット・クイン氏が語った「エンドポイント拡張」とエージェント型AI「Tanium Ask」

自然言語で「聞くだけ」でエンドポイントを調査・修復するエージェント型AI

　「Tanium Ask」は、自然言語で問いかけるだけでエンドポイントの現状把握から修正アクションの実行までを可能とする生成AI機能だ。複雑なクエリを書く必要なく、会話形式で問題を調査し、深く掘り下げ、質問を洗練させ、アクションを起こすことができる。メニューやダッシュボードを探し回る代わりに、会話の中に留まったまま作業を進められる。

　重要な特徴は「説明可能性」の提供である。すべてのインサイトの背後にある追跡可能性、ソース、推論プロセスを明示することで、AIの判断根拠を人間が検証できるようにしている。また、一般的なシナリオに対しては事前構築済みのプレイブックも提供し、より明確なインサイト、より迅速な意思決定、繰り返し実行可能なアクションを支援する。

　AIの運用化を支える技術基盤が「Tanium MCPサーバ」だ。企業が承認したAIアプリケーションとTaniumプラットフォームの間に立つ「ブローカー（仲介役）」として機能する。エンドポイントの可視化、設定、パッチ修復といったTaniumの機能を、AIシステムが安全に使用できる「呼び出し可能なアクション」として公開する。LLMやMicrosoft Copilotは、直接的な認証情報や低レベルアクセス権なしにMCPサーバ経由でアクションをリクエストする仕組みだ。ポリシー、ガードレール、監査は集中的に適用され、どのアクションを誰にどのような条件下で公開するかを調整できる。「単に観察するAIから、安全かつエンタープライズ規模で実行するAIへ」の移行を目指している。

AIが攻撃者の「隠れる場所」を奪う──ベースライン逸脱検知の新戦略

　3日目のキーノートでは、セキュリティ運用ポートフォリオ責任者のステファニー・アセベス氏が、従来の「インシデントレスポンス」から「セキュリティ運用」へのポートフォリオ名称変更を発表し、脅威のライフサイクル全体への投資強化を説明した。

　アセベス氏が引用したボストン コンサルティング グループの調査によれば、80％のCISOがAIを活用した攻撃を最大の懸念事項としている。LLMの台頭により攻撃者の動きは速く、より洗練されてきており、防御側も進化を余儀なくされている。この状況に対応するため、タニウムは「スレットハンティング」「自律型エージェント」「高度な検知技術」の3分野に投資する。

　最近リリースされた「OpenIOC Editor」は、IOC（侵害指標）の作成をTaniumコンソール内で直接行える機能だ。リアルタイムの構文検証でツール切り替えなく即座にフィードバックを得られる。作成したIOCはTaniumの「Reaction」機能にリンクでき、デバイス隔離やプロセス強制終了といった自動防御を設定できる。

　AI機能の強化も発表された。すべてのアラートはTaniumのエンドポイントコンテキストで自動強化され、疑わしいプロセスの正当性、先祖プロセス、コマンドラインの異常性を自動分析して要約を提供する。アセベス氏は「このコンテキストは、高度なSOCアナリストだけでなく、ジュニアアナリストのスキルアップにも役立つ」と強調し、専門知識の民主化による組織全体のセキュリティ能力底上げを目指すと述べた。

　昨年リリースの「Tanium HuntIQ」は、組織のベースラインからの逸脱を迅速に特定するハンティングツールだ。環境のベースラインを作成し、サーバーへの新規管理者追加や、本来あるべきでないワークステーションへのサービスインストールといった逸脱を自動フラグ立てする。アセベス氏は「攻撃者の回避技術は、彼らの破滅となる。今や攻撃者には隠れる場所がない」と述べた。攻撃者が従来の検知を回避するために用いる手法そのものが、ベースラインからの逸脱として検出されるという逆説的な構造を指摘したものだ。

特権アクセス管理からMicrosoft連携まで、プラットフォーム基盤を強化

　プラットフォーム基盤では、特権アクセス管理の新機能「Tanium Jump Gate」が発表された。常時アクセスを廃止し、ルールベースの「ジャスト・イン・タイム」アクセスモデルへ移行する。SSHやPowerShellでの接続時に追加ポート不要で、すべてのセッションは監視・記録される。

　「Automate」には「Triggers」と「Batched Endpoint Actions」が追加され、条件一致時のプレイブック自動実行や、エンドポイント上でのアクション高速一括実行が可能になる。「Global Maintenance Windows」により変更禁止期間の一元管理も実現する。

　エコシステムでは、「Tanium Security Triage Agent」のMicrosoft連携がGA（一般提供）となり、Microsoft Security CopilotがTaniumのエンドポイント可視性を活用できるようになった。ServiceNow向けAIエージェントの開発も進行中だ。

　今回の製品ロードマップから見えるのは、タニウムがプラットフォームの「幅」（モバイル・OT・IoTへの対応拡大）と「深さ」（AIとオートメーションの高度化）を同時に拡張している戦略だ。メノン氏は「私たちは真に驚くべきものを構築するつもりだ」と締めくくった。製品ロードマップの機能は今後数ヶ月から1年以内に提供予定だが、計画は変更の可能性がある点には留意が必要だ。