プラットフォームアーキテクチャ
KYRA AI MDRは、エンタープライズグレードのセキュリティ運用向けに設計された多層アーキテクチャを採用しています。各層はその機能に特化して構築されており、高スループット、安全なマルチテナント分離、インテリジェントな脅威分析を実現します。
アーキテクチャ概要
flowchart TB
CUST["顧客ネットワーク\nCollector Agent -- 安全な送信 --> Ingestion Gateway"]
L1["レイヤー1:取り込みとルーティング\nSecure API Gateway → テナントルーター → イベントストリーム処理"]
L2["レイヤー2:コアSIEMエンジン\n検出ルール、相関エンジン、リアルタイム検索、タイムライン"]
L3["レイヤー3:AIエージェント処理\nLLMルーター → 3つのコアAIエージェント\nトリアージ → 調査 → 帰属分析"]
L4["レイヤー4:データレイヤー\nテナント分離ストレージ + 分析 + 暗号化された生イベントアーカイブ"]
L5["レイヤー5:管理コンソール\nテナント分離ダッシュボード + リアルタイムアラート + PDF/CSVレポート"]
CUST --> L1 --> L2 --> L3 --> L4 --> L5
レイヤー1:取り込みとルーティング
取り込みレイヤーは、顧客ネットワークおよびクラウド環境にデプロイされたCollectorエージェントからセキュリティイベントを受信します。
機能:
- オンプレミスおよびクラウドCollectorからの安全な暗号化イベント転送
- 自動テナント識別とルーティング
- テナントごとのレート制限とクォータ制御
- スキーマ検証とイベント正規化
- ログ、EDR、ネットワークトラフィックデータソースのサポート
スループット: テナントあたり最大2,000 EPS持続(PROティア)、CUSTOMティアは無制限。
レイヤー2:コアSIEMエンジン
内蔵SIEMエンジンは、外部SIEM連携なしで検出、相関、検索機能を提供します。
機能:
- 数百の事前構築ルールを含む検出ルールライブラリ
- 複数のデータソースにまたがるリアルタイムイベント相関
- 設定可能な日付範囲でのフルテキストタイムライン検索
- すべての検出に対するMITRE ATT&CKテクニックマッピング
- カスタム検出ルールビルダー(MDR、PRO、CUSTOMティア)
テナント分離: すべてのクエリと検出は認証済みテナントにスコープされます。テナント間のデータアクセスは不可能です。
レイヤー3:AIエージェント処理
3つのコアAIエージェントが、自動化された脅威分析、調査、対応機能を提供します。
| エージェント | 機能 |
|---|---|
| アラートトリアージ | アラートの自動分類、重大度判定、MITRE ATT&CKマッピング |
| インシデント調査 | インシデントの自動調査、根本原因分析、タイムライン再構成 |
| コンテンツ生成 | レポート生成、推奨アクション作成、対応ガイダンス |
コスト最適化AIルーティング: プラットフォームは、複雑さに基づいて分析タスクを適切なAIモデルティアに自動的にルーティングします。軽量モデルが大量のトリアージを処理し、高度なモデルは複雑な調査と帰属分析に使用されます。
レイヤー4:データレイヤー
データレイヤーは、階層化された保持ポリシーを持つ安全なテナント分離ストレージを提供します。
| ストレージタイプ | 目的 | 保持期間 |
|---|---|---|
| ホットストレージ | アクティブアラート、直近のイベント、リアルタイム検索 | 7〜30日 |
| ウォームストレージ | 履歴分析、コンプライアンスレポート | 最大2年 |
| コールドアーカイブ | 長期コンプライアンス保持 | 最大7年 |
すべてのデータは顧客管理の暗号化キーで保存時に暗号化されます。データ所在地オプションは地域のコンプライアンス要件をサポートします。
レイヤー5:管理コンソール
Webベースの管理コンソールは、セキュリティ運用のための統合インターフェースを提供します。
機能:
- 重大度ベースの優先順位付けによるリアルタイムアラートダッシュボード
- タスクトラッキングとコラボレーションを備えたインシデントライフサイクル管理
- リスクスコアリングと脆弱性追跡を備えた資産インベントリ
- 自動証拠収集を備えたコンプライアンス状況ダッシュボード
- エグゼクティブおよびコンプライアンスレポート生成(PDF/CSV)
- WebSocketプッシュアラートによるリアルタイム通知
マルチテナント分離
プラットフォームのあらゆる側面で厳格なテナント分離が適用されます:
- データ分離: 行レベル制御によるテナントごとの個別データパーティション
- 認証: テナントスコープのクレームを持つJWTベース認証
- 認可: ロールベースアクセス制御(Admin、Analyst、Viewer)
- ネットワーク: 相互認証を備えた暗号化通信
- ストレージ: 顧客管理キーによるテナントごとの暗号化
- 検索: すべてのクエリが認証済みテナントに自動的にスコープ
脅威インテリジェンス統合
プラットフォームは主要な脅威インテリジェンスフィードと統合します:
| フィード | 機能 |
|---|---|
| VirusTotal | マルウェアハッシュとURL分析 |
| Shodan | インターネット公開資産の発見 |
| MISP | コミュニティIOC共有 |
| Recorded Future | APTインテリジェンスとキャンペーン追跡 |
| NVD / ExploitDB | CVEデータとエクスプロイト情報 |
| Abuse.ch | ボットネットとランサムウェアC2追跡 |
イベント処理フロー
- 収集 — Collectorエージェントが顧客ネットワークおよびクラウド環境からセキュリティイベントを収集
- 取り込み — イベントが検証、正規化され、適切なテナントパイプラインにルーティング
- 検出 — SIEMエンジンが検出ルールと相関ロジックを適用
- AI分析 — 専門エージェントがアラートのコンテキスト、エンリッチメント、優先順位付けを分析
- 対応 — 自動プレイブックが封じ込めと対応アクションを実行
- レポート — 結果が管理コンソールとレポートに表示
データ保持ティア
| ティア | 保持期間 |
|---|---|
| FREE | 7日 |
| MDR | 90日 |
| PRO | 180日 |
| CUSTOM | 365日+ |