SIEMは死んだのか?── Sequoia × Scannerが示すセキュリティログ革命の全貌
AIサマリー
Sequoia CapitalがScannerに$22M出資した背景を読み解き、従来型SIEMの構造的限界、データレイク型アーキテクチャの台頭、AIエージェントによるSOC自動化まで、セキュリティログ管理の地殻変動を日本市場の視点から徹底分析。
Sequoia Capitalが2026年3月、セキュリティログ検索スタートアップScannerのSeries Aをリードした。調達額は$22M(約33億円)。この投資の意味を正しく理解するには、SIEMという市場が直面している構造的な崩壊を見なければならない。
本記事では、Sequoiaのブログ記事「Every Log Tells a Story — If You Can Find It Fast Enough」を起点に、単なる企業紹介を超えた業界分析を展開する。従来型SIEMがなぜ限界に達したのか、データレイク型アーキテクチャが何を変えるのか、そしてAIエージェントがセキュリティ運用をどう塗り替えるのか。日本市場への影響を含め、包括的に読み解く。
本記事の表記について
- 金額の日本円換算は1ドル=150円で計算しています
- 下線付きの用語にカーソルを合わせると解説が表示されます
この記事でわかること
- SIEMの構造的崩壊: なぜ「ログの99%が見えない」問題が発生するのか
- Scannerの技術革新: S3上のペタバイト級ログを秒単位で検索する仕組み
- AIエージェント × セキュリティ: MCPが切り拓くSOC自動化の新境地
- $341億市場の勢力図: Datadog、Splunk/Cisco、そして新興勢力の位置関係
- 日本企業が今すべきこと: 946億円国内市場での戦略転換ポイント
基本情報
| 項目 | 内容 |
|---|---|
| 元記事 | Sequoia Capital「Partnering with Scanner」(2026年3月) |
| 対象企業 | Scanner(scanner.dev)/ サンフランシスコ / 2022年創業 |
| 資金調達 | Series A $22M(約33億円) |
| 投資家 | Sequoia Capital(リード)、CRV、Mantis VC |
| 市場カテゴリ | SIEM / セキュリティデータレイク / オブザーバビリティ |
| 競合 | Splunk(Cisco)、Datadog、Elastic、Anomali、Cribl |
セキュリティログ革命の全体像SIEMの構造的崩壊:「見えないログ」という時限爆弾
CISOの予算を蝕むログの経済学
セキュリティチームは二律背反に苦しんでいる。Sequoiaのブログ記事がこの問題を端的に表現している。
"We drown in logs we can't afford to keep and go blind on the logs we can't afford to search." (保持する余裕のないログに溺れ、検索する余裕のないログには盲目になる)
数字で見ると深刻さが浮き彫りになる。
| 指標 | 実態 |
|---|---|
| SIEMのログ保管コスト | CISO予算の最大15% |
| Splunkの年間コスト(100GB/日) | $200K〜$400K(3,000万〜6,000万円) |
| SIEMで検索可能な期間 | 直近10〜30日のみ |
| S3に退避されるログの割合 | 推定70〜90% |
つまり、企業が生成するセキュリティログの大半は「保存はしているが検索できない」状態にある。いざ侵害が発覚したとき、攻撃者が半年前に仕込んだ痕跡を追えない。これは技術的な問題ではなく、SIEMの課金モデルそのものが生み出した構造的欠陥だ。
なぜ従来型SIEMは限界なのか
SIEMの課金モデルは「取り込みデータ量(GB/日)」に基づく。クラウドネイティブなアプリケーションが爆発的にテレメトリデータを生成する時代に、この課金体系は根本的に矛盾する。
結果として起きること:
- ログの事前フィルタリング: コスト削減のため、取り込み前にログを間引く
- 可視性の喪失: 間引いたログに含まれていた証拠は永久に失われる
- コールドデータの死蔵: S3に移したログは「ある」が「使えない」
- 調査の遅延: 侵害発生時、必要なデータへのアクセスに数時間〜数日
Jump Capitalのレポートによれば、「SIEMスタックは壊れている」。モノリシックなSIEMからモジュラーな構成へ、ストレージと分析の分離へと、市場は不可逆的に動いている。
従来型SIEMとデータレイク型SIEMの比較Scannerの技術:なぜ「速い」のか
S3ネイティブの逆索引という発明
Scannerの創業者Cliff Crosland(CEO)とSteven Wuは、この問題に対してインフラレベルの再設計で応えた。両者はスタンフォード大学CS卒で、Accompany社(Ciscoが買収)で大規模データインフラを構築した経験を持つ。
Scannerの技術的核心は、オブジェクトストレージ(S3)用に一から設計された逆索引にある。
従来のアプローチでは、S3上のデータを検索するにはAthenaのようなクエリエンジンを使う必要があり、ペタバイト規模のスキャンには数時間を要した。Scannerは異なるアプローチを取る。
フィールド値からファイル領域への直接マッピングを行うことで、数十億行のログをスキャンする代わりに、関連するデータスライスのみにアクセスする。これにより:
- 数時間 → 秒単位のクエリ実行
- ペタバイト規模のログをインタラクティブに処理
- 1日あたり数十TBのデータに対して数百の検出ルールを常時実行
Sequoiaはこれを「パフォーマンスに対する哲学的な執着」と評している。
Scannerの技術アーキテクチャMCP統合:AIエージェントがセキュリティ調査を自律実行する
Scannerが注目に値するもう一つの理由は、AIエージェントとの統合だ。
ScannerはModel Context Protocol(MCP)サーバーを公開しており、AIエージェントがセキュリティデータレイクに直接接続できる。これにより、以下が可能になる:
- インタラクティブ調査: AIエージェントがログを自律的にクエリし、異常を追跡
- AI支援の検出ルール作成: 人間が意図を伝えれば、AIがルールを生成・テスト
- 自律応答ワークフロー: 検出 → 調査 → 対応をAIが一貫して実行
驚くべきデータがある。MCPリリースから数週間以内に、顧客の約3分の1が本番環境で使用を開始した。さらに、プラットフォーム上のクエリの80%がAIエージェントによるものだという。
これは単なる機能追加ではない。SOC(Security Operations Center)の運用モデルそのものを変える可能性がある。Helixar.aiのレポートは、2026年を「エージェンティックセキュリティ」の元年と位置づけているが、Scannerはその最前線にいる。
顧客が証明するプロダクトマーケットフィット
Scannerの顧客リストは、技術先進企業が並ぶ。
| 企業 | 業種 | 利用理由・効果 |
|---|---|---|
| Notion | SaaS | 大規模ログの高速検索 |
| Ramp | FinTech | セキュリティログ→アプリログ拡大、SIEM費用削減 |
| Benchling | バイオテック | 競合SIEMの10倍値上げ後に移行 |
| Confluent | データストリーミング | 大規模Kafkaログの効率的管理 |
| BeyondTrust | セキュリティ | 特権アクセス管理のログ分析 |
| Lemonade | InsurTech | 規制対応のためのログ長期保持 |
| Temporal | インフラ | Sequoiaポートフォリオ企業としての信頼 |
特筆すべきはRampの事例だ。セキュリティログの管理からスタートし、アプリケーションログの管理にまで用途を拡大。結果としてSIEMへの支払いを大幅に削減した。これは、Scannerがセキュリティ領域を超えて汎用的なログ管理プラットフォームに進化する可能性を示唆している。
$341億市場の地殻変動:誰が覇権を握るのか
オブザーバビリティ市場の現在地
2026年のグローバルオブザーバビリティ市場は約$341億(約5.1兆円)と推計され、2035年には$1,721億(約25.8兆円)に達する見通しだ(CAGR 19.7%)。
オブザーバビリティ市場の構造主要プレイヤーの動向
Datadog — 攻めの拡大戦略
- 2025年売上$34.1億(前年比28%増)、2026年目標$40.6〜41億
- EppoとMetaplaneを買収し、フィーチャーフラグとデータオブザーバビリティを統合
- Bits AIエージェントでSRE向けAI機能を強化
- 日本市場シェア34.7%で1位(富士キメラ総研調査)
Splunk/Cisco — $280億買収後の統合フェーズ
- Ciscoの$280億(約4.2兆円)買収でセキュリティ+オブザーバビリティの垂直統合を狙う
- しかし、従来の課金モデルの重荷は残る
- エンタープライズの既存顧客基盤が強み
新興勢力 — データレイク型アーキテクチャの台頭
| 企業 | アプローチ | 差別化ポイント |
|---|---|---|
| Scanner | S3ネイティブ逆索引 + MCP | 検索速度 × AIエージェント統合 |
| Cribl | データパイプライン最適化 | ログのルーティング・変換に特化 |
| Anomali | 統合セキュリティデータレイク | 脅威インテリジェンスとの融合 |
| Query | フェデレーテッドクエリ | データ移動なしの分散検索 |
Sequoiaの投資仮説を読み解く
Sequoiaがこの段階でScannerに賭けた理由は明確だ:
- 市場構造の転換点: SIEMからデータレイクへの移行は不可逆的
- 技術的モート: S3ネイティブの逆索引は後発が簡単に追いつけない
- AIエージェント時代の基盤: MCPでの80%AI利用率は、次世代SOCの基盤となる
- 拡張性: セキュリティログ → アプリケーションログ → 全ログへの横展開
SIEM市場全体の規模は2026年に$113億(約1.7兆円)と予測されており(CAGR 14.5%)、そのうちデータレイク型への移行が加速すれば、Scannerの潜在市場は数千億円規模になる。
日本市場への影響:946億円市場で何が変わるか
国内オブザーバビリティ市場の現状
富士キメラ総研の調査によると、日本の運用管理・オブザーバビリティ市場は2024年度に946億円規模に達している。ハイブリッドクラウド環境の拡大に伴い、IT運用の複雑化が加速する中、ツール需要は堅調に伸びている。
しかし、日本市場には固有の課題がある:
1. SOC人材の慢性的不足
経済産業省の試算では、日本のセキュリティ人材不足は数万人規模に上る。限られた人員で膨大なログを監視するには、AIエージェントの活用が不可避だ。Scannerのようなツールは、人材不足を「自動化で補う」という現実的な解を提供する。
2. コンプライアンス要件の厳格化
改正個人情報保護法やNISTフレームワークへの対応において、ログの長期保持と高速検索は必須要件になりつつある。SIEMのコスト制約でログを間引くことは、もはやコンプライアンスリスクだ。
3. クラウドシフトの加速
AWSとAzureの国内利用が急拡大する中、S3上のログを直接活用できるデータレイク型アプローチの親和性は高い。
日本企業への5つの示唆日本企業が今取るべきアクション
短期(6ヶ月以内):
- 現在のSIEMコストと実際に検索可能なログの割合を棚卸し
- S3/Azure Blobに退避しているコールドデータの量と種類を把握
- AIエージェント対応のセキュリティツールの評価を開始
中期(1〜2年):
- SIEMとデータレイクのハイブリッド構成への移行計画を策定
- MCP対応のAIエージェントをSOCワークフローに統合
- Snowflake/Databricksとの連携によるログのビジネス活用を検討
長期(3年以上):
- フルデータレイク型のセキュリティ基盤への移行
- ゼロトラストアーキテクチャの可視性レイヤーとしてのログ管理の位置づけ
独自分析:なぜ「今」この投資なのか
3つのメガトレンドの交差点
Scannerへの投資を理解するには、3つのトレンドが同時に成熟している点を見る必要がある。
トレンド1: ストレージとコンピュートの分離
クラウドデータウェアハウス(Snowflake、Databricks)が確立した「ストレージとコンピュートの分離」というアーキテクチャ原則が、セキュリティ領域にも波及している。SIEMが独自ストレージにログを取り込む時代は終わりつつある。
トレンド2: AIエージェントの実用化
2025〜2026年にかけて、AIエージェントは概念実証から本番環境へと移行した。Scannerの「クエリの80%がAI」という数字は、この移行がセキュリティ領域で最も速く進んでいることを示す。理由は明確で、セキュリティ調査は「大量データからパターンを見つける」というAIが最も得意とするタスクだからだ。
トレンド3: テレメトリ爆発
クラウドネイティブ、マイクロサービス、エッジコンピューティングの普及により、テレメトリデータ量は指数関数的に増加している。Gartnerの予測では、テレメトリストレージコストがインフラ本体のコストを上回るケースも出始めている。従来の「全部SIEMに入れる」モデルは物理的に持続不可能だ。
Scannerのリスク要因
公平を期すため、Scannerが直面するリスクも指摘しておく:
- Datadog/Splunkの反撃: 既存大手がデータレイク統合を強化する可能性。Datadogは既にOPAL(Open Pipeline for Logs)を展開
- AWS/GCP/Azureのネイティブ対応: クラウドベンダー自身がS3上のログ検索を高速化すれば、Scannerの差別化が薄れる
- 営業体制の構築: 技術先進企業への浸透は順調だが、エンタープライズセールスの本格化が次の壁
- 日本市場への参入タイミング: 日本語対応、国内パートナーの有無が普及の鍵
よくある質問(FAQ)
Q1. ScannerはSIEMを完全に置き換えるのか?
現時点では「補完」に近い位置づけだ。Rampの事例のように、SIEMに送るログ量を最小化しつつ、大量のログはScannerで管理するハイブリッド構成が現実的。ただし長期的には、SIEM自体がデータレイク型に移行するため、境界は曖昧になるだろう。
Q2. 日本語対応はしているのか?
2026年3月時点では、Scannerのインターフェースは英語のみ。ただし、ログデータ自体は言語非依存であり、日本語を含むログの検索は技術的に問題ない。本格的な日本市場参入にはローカライゼーションとパートナー戦略が必要になる。
Q3. 既存のSplunkからの移行は容易か?
Scannerはスタンドアロンでの導入が可能で、既存SIEMと併用できる設計。S3に退避済みのコールドデータからインデックスを構築するため、データ移行は最小限で済む。
Q4. MCPとは何か?なぜ重要なのか?
Model Context Protocol(MCP)は、AIモデル(エージェント)が外部ツールやデータソースに接続するための標準プロトコル。ScannerがMCPに対応することで、Claude、GPT等のAIエージェントがログデータに直接アクセスし、自律的にセキュリティ調査を実行できる。
Q5. 競合のCriblやAnomaliとの違いは?
Criblはログのルーティングと変換に特化したパイプラインツール。Anomaliは脅威インテリジェンスとの統合が強み。Scannerの差別化は検索速度とAIエージェント統合にある。3社は競合というより、セキュリティデータ基盤の異なるレイヤーをカバーしている。
まとめ
主要ポイント
- SIEMの構造的限界は不可逆的: 取り込み課金モデルは、テレメトリ爆発の時代に持続不可能。データレイク型への移行は選択ではなく必然
- ScannerはSequoiaが賭けた「次のインフラ」: S3ネイティブ逆索引 × AIエージェント統合という技術的モートが評価された
- AIエージェントがSOCを変える: クエリの80%がAI実行という数字は、セキュリティ運用の自動化が「将来の話」ではないことを証明
- 日本企業は今が動き時: 946億円の国内市場で、SIEMコストの見直しとAIエージェント導入の評価を始めるべき
次のステップ
- 自社のSIEMコスト対検索可能ログ比率を確認する
- S3退避ログの棚卸しとデータレイク型ツールの評価を開始する
- MCP対応AIエージェントのセキュリティ運用への適用を検討する
関連記事
参考リソース
- Sequoia Capital「Partnering with Scanner」
- SecurityWeek「Scanner Raises $22 Million for AI-Powered Threat Hunting」
- Jump Capital「The SIEM Stack Is Breaking」
- Datadog 2026年年頭所感(日本市場)
- ビジネス+IT「2026年オブザーバビリティ10トレンド」
本記事はネクサフローのAI・セキュリティ分析シリーズの一部です。
この記事の著者
中村 知良
代表取締役
早稲田大学卒業後、ソフトバンク株式会社にてAI活用やCEO直下案件のプロジェクトマネージャーに従事。その後、不動産スタートアップPit in株式会社の創業、他スタートアップでの業務改善・データ活用を経験後、2023年10月、株式会社ネクサフローを創業し代表取締役CEO就任。
