Databricks、Lakewatchを発表 machine-speed防御を狙うopen agentic SIEM

Databricksが打ち出したもの

Databricksは2026年3月24日、Lakewatchを新しいopen agentic SIEMとして発表した。Databricks公式ブログによると、Lakewatchはsecurity、IT、business dataを1つのgoverned environmentに統合し、その上でAI agentが検知、調査、対応を自動化する設計になっている。Databricksはこの製品がPrivate Previewに入り、AdobeやDropboxが初期顧客として参加していると説明した。

今回の発表の前提は明快だ。攻撃者はすでにAI agentを使って24時間、machine speedで動いている一方、多くのsecurity operationsは依然として人間の調査速度に合わせた設計のままだという。Databricksは、AIがオープンソースコードから数百件のzero dayを見つけ、bug bountyの上位にagentが入り、平均exploit時間も急速に短縮していると指摘する。記事ではZeroDayClock.comの数値として、平均time to exploitが2025年の23.2日から2026年の1.6日へ縮んだと述べている。

Lakewatchの位置づけ

DatabricksはLakewatchを、lakehouseの経済性とアーキテクチャをsecurity operationsへ持ち込む製品として位置づけている。ストレージとcomputeが強く結び付いた従来型SIEMと違い、企業は100%のtelemetryを保持し、chat log、collaboration trace、videoのようなmultimodal dataもbusiness dataと合わせて分析できるという。現代の攻撃はツール間、部門間、データサイロ間の隙間を突くため、この統合は重要だ。

またDatabricksは組み込みAIも強く打ち出す。Genieは新しいlog sourceをOCSFへ正規化し、threat intelligenceに基づく新規検知を作り、false positive削減のためにruleを調整し、自然言語の質問をSQLへ変換できると同社は説明する。つまりLakewatchはAI機能を後付けしたSIEMではなく、governed dataが存在する場所で防御agentが直接動く土台として売り出されている。

なぜ重要か

この発表は、AIインフラ競争がsecurity operationsの深い部分へ移っていることを示す。Databricksは単なるanalytics連携ではなく、従来SIEMのコスト構造とアーキテクチャがAI時代の攻撃速度に合っていないと主張している。防御側がコストを理由にingestionを制限し、履歴データを捨て、multimodal sourceを見ないままであれば、攻撃側との非対称性はさらに広がる。

Lakewatchはしたがって、製品ローンチであると同時に市場への主張でもある。製品面ではopen format、安価な保持、business contextとのgoverned join、agentic automationを1スタックにまとめるという話であり、市場面ではhuman-speed前提のsecurity toolではもはや足りないという話だ。実際の成果は今後次第だが、SIEM競争の軸がdata scale、multimodal coverage、AI-native response loopへ移っていることは明確だ。