Scannerとは？SIEMコスト90%削減のデータレイク型セキュリティ

この記事の要約

Sequoia Capital主導で$22M調達したScannerを徹底解説。S3にログを直接インデックスし、SIEMコストを90%削減する次世代アーキテクチャの全貌と、日本企業への示唆を分析。

Sequoia Capitalが2026年3月、セキュリティログ管理スタートアップScannerのSeries Aを主導した。調達額は$22M（約33億円）。CRVとMantis VCも参加している。

Scannerが解決する課題はシンプルだ。SIEMにログを全部入れると破産する。S3に退避すると検索できない。 この二択を解消するプロダクトが、なぜSequoiaの目に留まったのか。

本記事の表記について

金額の日本円換算は1ドル=150円で計算しています
下線付きの用語にカーソルを合わせると解説が表示されます

この記事でわかること

SIEMの構造的問題: なぜセキュリティログの99%が「見えない」のか
Scannerの技術: S3上のログをAthenaの700倍速で検索する仕組み
AIエージェント統合: MCPでAIが自律的にセキュリティ調査を行う未来
市場インパクト: $341億のオブザーバビリティ市場で何が変わるか
日本企業への示唆: DX推進下でのログ管理戦略の再考

基本情報

項目	内容
企業名	Scanner（scanner.dev）
本社	サンフランシスコ
創業	2022年
創業者	Cliff Crosland（CEO）、Steven Wu
資金調達	Series A $22M（約33億円）
投資家	Sequoia Capital（リード）、CRV、Mantis VC
主要顧客	Notion、Ramp、Lemonade、BeyondTrust、Benchling、Confluent
カテゴリ	SIEM / セキュリティデータレイク

Scannerのアーキテクチャ全体像

SIEMの「不都合な真実」：ログの99%は見えていない

CISOの予算を食い尽くすログ管理

企業のセキュリティチームは、ある矛盾と常に向き合っている。

ログは多ければ多いほどセキュリティが向上する。しかし、すべてのログをSIEMに入れれば予算が破綻する。

SplunkやDatadogといった従来型SIEMでは、ログの取り込み量に応じた従量課金が一般的だ。単一のログソースだけで年間$500K〜$1M（約7,500万〜1.5億円）のコストがかかるケースも珍しくない。結果として、CISOの予算の15%がSIEMに消えるという試算もある。

この経済的制約が何を生むか。企業はSIEMに入れるログを「選別」し、残りの大量のログをAmazon S3に退避させている。 典型的には10〜30日分のログだけをSIEMに保持し、それ以前のデータはS3に「凍結」される。

S3にあるデータは「死んでいる」

S3のストレージコストは安い。しかし問題は、そこに置かれたデータが事実上検索不能になることだ。

Amazon Athenaでペタバイト規模のログを検索すると、数十時間かかる。侵害の兆候を調査したいセキュリティアナリストにとって、これは実質的に「使えない」のと同じだ。1日に実行できるクエリは数個に限られ、脅威ハンティングは不可能に近い。

つまり現状では、ほとんどの企業のセキュリティログの大部分が存在するが見えない状態にある。これが、攻撃者が数ヶ月から数年にわたってシステム内に潜伏できる根本原因の一つだ。

Scannerの技術：S3上に「検索エンジン」を構築する

転置インデックスという発想

Scannerの創業者であるCliff CroslandとSteven Wuは、ともにスタンフォード大学のコンピュータサイエンス出身。Accompany（後にCiscoが買収）でエンジニアリングリードを務めた経験を持つ。

彼らのアプローチは、Googleが検索エンジンで使う転置インデックス（Inverted Index）の考え方をS3上のログデータに応用することだ。

従来のSIEMがログデータを自社のストレージに取り込んでインデックスを構築するのに対し、ScannerはユーザーのS3バケットに直接インデックスを作成する。ログデータもインデックスファイルも、すべてユーザーのAWSアカウント内に留まる。

従来型SIEMとScannerの比較

パフォーマンスの実測値

Scannerの検索速度は、従来のアプローチと比較して桁違いだ。

指標	Amazon Athena	Scanner
ペタバイト検索	数十時間	数十秒
速度倍率	1x（基準）	最大700x
1日のクエリ数	数個	数百個
スキーマ定義	必要	不要
対応フォーマット	限定的	JSON, CSV, 平文, Parquet

この性能差が意味するのは、セキュリティチームの行動が根本的に変わるということだ。数時間待つ検索が数秒で返ってくることで、「仮説 → 検証 → 仮説修正」の高速サイクルが可能になる。脅威ハンティングが「特別なイベント」から「日常業務」に変わる。

デプロイメントモデル

Scannerは2つのデプロイメント方式を提供している。

マネージドScanner: Scannerが計算インフラを運用。ユーザーはS3バケットへのアクセスを許可するだけ
BYOC（Bring Your Own Cloud）: ユーザーのAWSアカウント内で完全に実行。データが外部に出ることは一切ない

いずれの場合でも、ログデータとインデックスファイルはユーザーのS3に保管される。これによりベンダーロックインが発生しない。Scannerを解約しても、ログデータは手元に残る。

検出エンジンとAIエージェント統合

Scannerのワークフロー

400以上のビルトイン検出ルール

Scannerは単なる検索ツールではない。クエリをそのまま検出ルールに変換し、新しいログデータに対して継続的に評価する機能を持つ。

400以上のプリセットルールで即座に脅威監視を開始可能
ルールはGitHubでバージョン管理（Detection-as-Code）
アラートはSlack、SOAR（Tines/Torq）、Webhookに配信

MCPで実現するAI駆動SOC

2025年12月、ScannerはMCP（Model Context Protocol）サーバーをリリースした。これにより、AIエージェントがScannerのデータに直接アクセスし、セキュリティ調査を自律的に行える。

Scannerの公式ブログでは、AIエージェントを活用した自律SOC（Security Operations Center）の構築方法が2パートにわたって解説されている。

Notionの事例が象徴的だ。 Notionの検出・対応チームは、Scanner上にAIエージェントを構築し、セキュリティ調査を自律的に実行するシステムを内製している。人間のアナリストがアラートをトリアージする前に、AIが事前調査を完了させる。

顧客が語る実際の効果

RampはセキュリティログからScannerの利用を開始し、その後アプリケーションログにも拡大。結果としてSIEMのコストを大幅に削減した。

Lemonadeは「1年分のログを数秒で検索可能になった。以前より1桁多いデータの可視化が実現した」と評価している。

これらの事例が示すのは、Scannerが単なる「安いSIEM代替」ではなく、データ量の制約を取り払うことで、セキュリティの質そのものを向上させているということだ。

市場分析：$341億のオブザーバビリティ市場の地殻変動

グローバル市場の現状

オブザーバビリティ・ツール市場は、2026年に$341億（約5.1兆円）規模に達すると予測されている。2035年までに$1,721億（約25.8兆円）へ成長するCAGR 19.7%の巨大市場だ。

ログ管理に限定すると、2025年の$37.6億から2030年に$78.8億へ、CAGR 15.95%で成長する見込みだ。

主要プレイヤーとScannerのポジション

ログ管理・オブザーバビリティ市場の競合マップ

プレイヤー	特徴	年間売上/評価額
Datadog	フルスタック・オブザーバビリティ、市場シェア1位	売上$34.1億（約5,100億円）
Splunk	Ciscoが$280億で買収、エンタープライズSIEM	Cisco傘下
CrowdStrike	EDR+次世代SIEM統合	時価総額$900億超
Elastic	オープンソースELKスタック	売上$13億超
Sumo Logic	クラウドネイティブSIEM	Francisco Partners傘下
Scanner	S3データレイク特化、コスト90%削減	Series A $22M

Scannerは既存プレイヤーと正面から競合するのではなく、補完的なポジションを取っている。SplunkやDatadogに入れないログ（コストが合わないため）をScannerで検索可能にする。既存SIEMの「コンパニオン」という位置づけだ。

業界再編の文脈

2025年以降、セキュリティ・オブザーバビリティ業界では大きな再編が進んでいる。

CiscoがSplunkを$280億で買収（2024年）：ネットワーク、セキュリティ、オブザーバビリティの統合
LogRhythmとExabeamの合併（2025年）：UEBA+SIEMのAIファースト統合
DatadogがEppoとMetaplaneを買収：フィーチャーフラグとデータオブザーバビリティの取り込み

大手が統合・巨大化する中で、Scannerのような「特化型・軽量」なプロダクトは、大企業の既存SIEMを補完する形で急速に市場を拡大する可能性がある。

Sequoiaが投資した理由：3つのメガトレンドとの合致

1. データレイクファースト・アーキテクチャ

クラウドネイティブ企業は、構造化・非構造化を問わず、すべてのデータをまずデータレイクに集約する傾向を強めている。セキュリティログも例外ではない。Scannerは、このデータレイクファーストの流れに完全に合致する。

2. AIエージェントの台頭

2025年から2026年にかけて、AIエージェントが実験段階から本格運用に移行しつつある。MCPの標準化が進む中、Scannerは早くからMCPサーバーを提供し、AIエージェントがセキュリティデータに直接アクセスできる基盤を構築した。

3. セキュリティの経済性問題

サイバー攻撃の高度化に伴い、保持すべきログデータは増加の一途をたどる。一方でSIEMのコストも上昇し続けている。この「もっとデータが必要だが、コストが払えない」という構造的矛盾を、Scannerはアーキテクチャレベルで解決する。

SIEMの進化とScannerの位置づけ

日本市場への示唆

日本のオブザーバビリティ市場の現状

日本の運用管理・オブザーバビリティ市場は2024年度に946億円規模に達した。SaaS型のオブザーバビリティ市場は前年度比35.6%増で急拡大しており、2028年度には200億円に達する見込みだ。

DatadogはFuji Chimera Research Institute（富士キメラ総研）の調査で日本市場シェア1位を獲得しており、SaaS型プラットフォームの浸透が急速に進んでいる。

日本企業が直面するログ管理の課題

日本企業のクラウド利用率は7割を超え、DX推進に伴いログデータの量は急増している。しかし、以下の課題が深刻化している。

コスト問題: クラウドネイティブ化に伴うログ量の爆発的増加で、SIEMコストが予算を圧迫
コンプライアンス要件: 個人情報保護法やISMAP等の規制により、長期間のログ保持が求められる
データ主権: 海外SIEMベンダーにログデータを預けることへの懸念が増加
人材不足: セキュリティアナリストの慢性的な不足。AIによる自動化が急務

Scannerのようなデータレイク型アプローチは、これらの課題に対して構造的な解決策を提供する。特にデータがユーザーのS3に留まるという特性は、データ主権を重視する日本企業にとって大きな訴求力を持つ。

日本市場への参入シナリオ

Scannerが日本市場に参入する場合、以下のシナリオが考えられる。

シナリオ	時期	可能性
AWS Marketplace経由	短期（1年以内）	高い
日本リージョン対応	中期（1-2年）	中程度
日本パートナー経由販売	中期	高い
日本語対応・ローカライズ	長期	将来的

BYOCモデルは東京リージョンのS3に対応すれば即座に利用可能であるため、技術的な参入障壁は低い。むしろ、日本のセキュリティベンダーやMSSP（Managed Security Service Provider）とのパートナーシップが鍵となるだろう。

よくある質問（FAQ）

Q1. ScannerはSplunkやDatadogの代替になりますか？

Scannerは既存SIEMの「代替」ではなく「補完」として設計されている。SIEMに入れるとコストが合わない大量のログデータを、S3上で検索可能にする。RampのようにSIEMコストを削減しながら、より多くのデータを可視化する使い方が典型的だ。

Q2. どのようなログソースに対応していますか？

AWS CloudTrail、Okta、GitHub、Google Workspace、CrowdStrike、SentinelOneなど、主要なクラウドサービスやセキュリティツールのログに対応。JSON、CSV、平文、Parquetなどのフォーマットをスキーマ定義なしで自動的にインデックス化する。

Q3. セキュリティ認証は取得していますか？

SOC 2 Type II認証を取得済み。GDPR対応、データレジデンシーオプションも提供している。データはすべてユーザーのS3バケットに保管されるため、データ主権の問題が発生しにくい構造だ。

Q4. AIエージェントとの連携はどのように行いますか？

ScannerはMCP（Model Context Protocol）サーバーを提供しており、Claude、GPTなどのLLMベースのエージェントがScannerのデータに直接アクセスできる。APIも提供されており、プログラマティックなアクセスも可能だ。

Q5. 日本企業でも導入できますか？

BYOCモデルを使えば、東京リージョンのS3上でScannerを実行可能。ただし、現時点では日本語UIやローカライズは未対応。AWSを利用している日本企業であれば、技術的な導入障壁は低い。

まとめ

主要ポイント

SIEMの経済的限界: 現状、企業はコスト制約によりログの大部分をSIEMに入れられず、セキュリティの盲点が生まれている
Scannerの革新: S3上に転置インデックスを構築し、Athenaの700倍の速度でペタバイト規模のログを検索。コストは90%削減
AIネイティブSOC: MCPサーバーにより、AIエージェントがセキュリティ調査を自律的に実行する基盤を提供
市場の構造変化: 大手の統合が進む中、特化型プロダクトが補完的ポジションで急成長する余地がある
日本市場への示唆: データ主権、コンプライアンス、人材不足を抱える日本企業にとって、データレイク型SIEMは合理的な選択肢

Scannerが問いかけるもの

Scannerの登場は、セキュリティ業界に根本的な問いを投げかけている。

「SIEMに入れるデータを選ぶ」のが当たり前だった時代は、本当に正しかったのか？

コストの制約でデータを捨てざるを得なかった時代から、すべてのログを保持し、必要なときに瞬時に検索できる時代への移行。それは単なるツールの進化ではなく、セキュリティの考え方そのものの転換だ。

MCPプロトコルのセキュリティ危機：AIツール連携の「見えないリスク」と対策

Rampの「Speed First Engineering」から学ぶ高速開発の秘訣

参考リソース

本記事はネクサフローのAI研究シリーズの一部です。

この記事の著者

中村知良

代表取締役

早稲田大学卒業後、ソフトバンク株式会社にてAI活用やCEO直下案件のプロジェクトマネージャーに従事。その後、不動産スタートアップPit in株式会社の創業、他スタートアップでの業務改善・データ活用を経験後、2023年10月、株式会社ネクサフローを創業し代表取締役CEO就任。

この記事をシェア

X Facebook はてな LinkedIn