ClickHouseはSIEMのDWHに最適?Exabeam事例から考える
どうClickHouseのMasatoです。
Exabeamの事例が面白かったので要約して見ました。
本記事は以下よりご確認ください。
https://clickhouse.com/blog/exabeam-clickhouse-security-analytics
背景
サイバーセキュリティの現場では 「脅威をどれだけ早く検知できるか」 が重要です。
この指標は MTTD (Mean Time to Detection) と呼ばれ、わずかな時間差が大きな被害の有無を分けます。
そこで求められるのが、大量のログをリアルタイムに処理できるデータ基盤。
Exabeamはその解決策として ClickHouse Cloud を選びました。
Exabeamの取り組み
ExabeamはSIEMベンダーとして、クラウドやエンドポイント、ファイアウォールなど多様なログを取り込み、AI/MLを使った脅威検知を行っています。
- 10リージョンで稼働:1リージョンあたり毎秒120万イベント、1日で800億以上
- データ量:数か月で1兆イベント超(3.5PB → 圧縮後200TiB)
- ホット/コールド分離:直近14日を「ホット」保存し、クエリを最速化
- AI連携:行動分析やリスクスコアリング、脅威要約を自動化
ClickHouseを選んだ理由
ExabeamがClickHouseを採用した背景は、SIEMが直面する典型的な課題にあります。
-
超高速検索
数十億行でもサブセカンド応答。調査スピードに直結。 -
高圧縮率
ストレージコストを大幅削減(PB → 数百TiB)。 -
高スループット
毎秒120万イベントの取り込みを処理可能。 -
柔軟なスキーマ
1,000以上の共通フィールド+カスタムフィールドに対応。 -
SQLで扱える
従来のSIEM基盤(SplunkやElasticなど)は独自言語の習得が必須でしたが、
ClickHouseなら標準SQLでログを操作可能。学習コストを下げつつ、既存の知識をそのまま活かせます。
最適化の工夫(エンジニアリング視点)
- 列設計の見直し:列を集約してクエリを8秒→1秒以下に短縮
- 列スパrawl削減:1,150列 → 250列で挿入性能を大幅改善
- 二重パイプライン:リアルタイムとバックログを分離し安定性を確保
- インデックス改善:正規表現検索をトークン検索に置き換え、効率化
まとめ
Exabeamの事例は、ClickHouseがSIEMのデータ基盤に強くフィットすることを示しています。
- 大量ログをリアルタイム処理
- ペタバイト級データを圧縮して保存
- 複雑な脅威検知クエリをサブセカンドで実行
- そして SQLで扱える利便性
「MTTDを下げる」というセキュリティの本質的な課題に、ClickHouseがどう貢献できるかが分かるケーススタディです。
個人的にも、日本国内で同じようなユースケースが出てきたら面白いと思っていますし、ClickHouseはSecurityデータと相性が良いと思います。ご興味ある方は是非お問い合わせくださいませ。