今後6カ月以内にはAIがSOC業務を激変させる？ 専門家たちの興味深い予測：Cybersecurity Dive

AIエージェントは万能ではないが、近い将来、SOC担当者の業務の一部を肩代わりする存在になるかもしれない。SOCの分野におけるAIの発展について専門家たちが興味深い予測を展開した。

[Eric Geller，Cybersecurity Dive]

　AIがSOCの業務を変革する準備が整いつつあるが、専門家は「サイバーセキュリティインシデントへの企業の対応を管理するには人間が関与し続ける必要がある」と主張している。また、増加する自律的なシステムを監視する役割においても人間が必要だ。

今後6カ月以内でAIによってセキュリティ業務は激変する？

　Gartnerが2025年に開催したサミット「Gartner Security and Risk Management Summit」に登壇した専門家たちは「AIエージェントは、SOCにおける多くの反復的かつ複雑な作業を自動化できるが、少なくとも当面の間は作業に限界がある。それは、人間特有の知識を再現できないことや、個別にカスタマイズされたネットワーク構成を理解できないことなどだ」と述べた。

　ではどのような業務で活用できるのだろうか。

　Microsoftのテクニカルプロダクトマーケティング部門に所属するハマッド・ラジューブ氏（ディレクター）は、自身のプレゼンテーションで次のように語った。

　「攻撃のスピードや巧妙さ、規模が増す中で、私たちはAIエージェントを活用して、それらの課題に立ち向かえる。機械のスピードで防御する場合、AI以上に優れたものなどあるのだろうか」（ラジューブ氏）

　このサミットに登壇した専門家たちによると、幾つかの重要な業務の面で、AIはSOCの担当者たちを既に支援できるという。Gartnerのピート・ショード氏（バイスプレジデントアナリスト）は「AIは複雑な検索クエリを自動化して情報の所在を特定する手助けをしたり、言語を学ぶことなくコードを書いたり、非技術系の経営幹部向けにインシデントレポートを要約したりできる」と述べた。

　しかし、ショード氏は「これらの作業の自動化には、誤って扱われた場合のリスクが伴う」とも話す。同氏によると、AIが書いたコードも人間が書いたコードと同様に「厳密なテストプロセス」によってレビューされるべきだという。また、従業員はAIがまとめた内容を確認し、そこから誰かが意思決定を実施する際に、無意味な情報を上層部に送ることがないようにする必要がある。将来的には、AIが侵入の調査や修復を自動化することさえ可能になるかもしれない。

　Google CloudのCISO（最高情報セキュリティ責任者）オフィスに所属するアントン・チュバキン氏（シニアスタッフセキュリティコンサルタント）は「現在のAIを活用したSOC系スタートアップの多くは、アラートの分析にAIを使うことで人間の認知的負荷を軽減することに重点を置いている。これは非常に意義のあることだが、問題に対する非常に限定的なアプローチでもある」と述べた。さらに遠い将来について、同氏は「それでも私は機械が修復を実施し、特定の問題を解決してくれるようになってほしいと考えている」と付け加えた。

　「一部のIT専門家たちは、苦労してカスタマイズした自社のコンピュータシステムでAIを自由に動かすという考えに対して懸念を覚えるかもしれないが、それでもそのような未来に備えるべきだ」（チュバキン氏）

　Microsoftのラジューブ氏は、AIエージェントに関するプレゼンテーションの中で次のように語った。

　「攻撃があなたの環境で起こる前に、それを防御できるエージェントがあなたの代わりに働いている未来を想像してほしい」（ラジューブ氏）

　ラジューブ氏は、今後6カ月以内にはAIエージェントが自律的に推論し、人間のオペレーターが設定した目標を達成するためにネットワークでさまざまなツールを自動的に展開できるようになると予測した。さらに同氏によると、1年半以内には、こうしたエージェントがその目標の達成に向けて自らを改善および修正できるようになるようだ。そして2年以内には、エージェントが与えられた具体的な指示内容そのものを修正し、より広範な目標を実現するために行動できるようになると予測している。

　「それは2年後でも3年後でも、4年後、5年後、6年後の話でもない。まさに今、数週間とないし数カ月の話をしているのだ」（ラジューブ氏）

AIエージェントの利用が普及した先にあるディストピア

　しかしAIエージェントがより多くの業務を担うようになるにつれて、それらの監視はより複雑になるだろう。

　Gartnerのデニス・シュウ氏（リサーチバイスプレジデント）は次のように語る。

　「自社の従業員がエージェントの開発速度についていけると本当に考えているのだろうか。恐らく私たちは、その速度に追い付けないだろう。私たちはエージェントを使ってエージェントを監視する必要がある。しかしそれはまだ先の未来の話だ」（シュウ氏）

　多くのアナリストはSOCにおけるAI導入に慎重になるよう促している。チュバキン氏は、幾つかのタスクカテゴリーについて言及し、その中には「実現可能だがリスクが伴うもの」もあれば、近い未来から中期的な未来においてAIが達成できるとは「全く信じられない」と断言するものもあった。

　リスクのあるカテゴリーとして、チュバキン氏はレガシーシステムへのパッチ適用や侵入への対応、規制順守の証明といった自律的なタスクを挙げた。

　「私は消費者向けの『ChatGPT』を使ってコンプライアンスの質問票への記入をしている人たちを見たことがある。それらの人々の幸運を祈りたい」

　チュバキン氏が、近い将来AIが達成することを想像できないとしたタスクには、戦略的リスク分析や危機対応コミュニケーション、最上位の国家主体の脅威に対する探索が含まれる。同氏は「高度なハッカーグループと戦うことは『人間の仕事』だ。なぜなら結局のところ、現時点で人間は機械より賢いからだ」と説明した。

　Gartnerのショード氏は、AIを使用した卓上演習によって、従業員が進化する脅威について警告してくれるAIに過度に依存するようになる可能性があり、AIを使用して脅威検出クエリを作成することで、従業員の調査能力を低下させる可能性があると指摘した。同氏は「能力が十分に育っていないスタッフが生まれてしまう。AIに過度に依存するスタッフだ」と述べている。

AIに劇的な効果を期待しているなら、きっと失望する

　複数の専門家はセキュリティインシデントの分析と対応には人間の判断が不可欠であるため、SOCにおいてAIが人間に取って代わることは決してないだろうと主張している。

　「SOC業務の多くは経験に基づく正式に文書化されていない慣行にすぎない」とチュバキン氏は述べる。AIはこうした活動を実行するのに苦労するだろう。同氏によると、多くのモデルが運用されている特定のネットワークでは有効ではないアクションを推奨しているのを目にしてきたという。特に高度にカスタマイズされたレガシーIT環境に合わせた脅威検出ルールをAIはまだ作成できない。

　チュバキン氏は、スタートアップ企業による「AIを活用したSOC」の売り込みを受ける企業に対し、「この魔法が人間の頭の中にある問題にどう対処するのかを尋ねてみてください」と促した。

　AIはSOCアナリストのスキルと能力を強化できる。ショード氏はAIをSOC人材にとって「巨大な戦力増強装置」と呼びつつも、企業にはAIに過度に依存しないよう警告した。

　「AI機能を突然導入したからといって、SOCスタッフを解雇できると考えているなら、きっと失望することになる」とショード氏は述べた。「AIはセキュリティスタッフに取って代わるものではない。そのためAIを活用してセキュリティスタッフを強化し、業務の質を向上させることが重要だ」（ショード氏）

　専門家によると将来のSOCでは人間はAIエージェントと連携するだけでなく、それらのエージェントを監視する必要も出てくる。

　TIAAのCISOであるウペンドラ・マルディカー氏は「AIに完全な自律性は求めておらず、人間の介入は不可欠だ」と述べた。

　専門家によると、人間はAIエージェントの行動が監査可能であり、企業ポリシーに従って管理されていることを確認する必要があるという。レッド・ベンチャーズの情報セキュリティ担当ディレクター、ホセ・ベイティア氏は「企業は全ての行動が検証されていることを確認する必要がある」と主張する。

　「自動化システムを設計するには、適切なデータを入力する必要がある。機械にただ判断を任せるだけなら、効果的な判断に必要な全ての関連情報を機械が持っていると信頼しなければならない」（ショード氏）

　ラジューブ氏は「これらのエージェントは信頼の上に構築されなければならない。エージェントが普及し、能力が向上すればするほどそのセキュリティは私たち全員にとってますます重要になる」と述べる。

　しかしAIエージェントの能力が向上するにつれて、SOCにおけるその価値は大幅に高まる可能性がある。

　「残念ながらAIは魔法ではない。これからも魔法にはならないと思う。しかしAIはSOCの業務を改善してくれるだろう。AI導入は慎重に検討すべきですが、実験的に検討し、活用すべきだ」（ショード氏）

原文へのリンク