現場が迎えた「人がアラートを見る」運用の終焉：AI攻撃の高速化で従来型の運用は限界に

Sysdigが公開した調査レポートによると、AIを悪用した攻撃の高速化を背景に、クラウドセキュリティ運用は人手中心からAIによる自律的な防御へ移行し始めている。企業は具体的にどのような運用を実施しているのか。

[TechTargetジャパン]

　クラウドセキュリティの現場で、「人がアラートを見て判断する」という従来型の運用が限界を迎えつつある。AI（人工知能）を悪用した攻撃の高速化によって、脆弱（ぜいじゃく）性が公開されてから数時間で悪用されるケースが増えているためだ。Sysdigが2026年4月16日に公開した「2026年度版クラウドネイティブセキュリティおよび利用状況レポート」は、こうした変化を背景に、セキュリティ運用が「人手中心」から「自律的な防御」へ移行し始めている実態を示した。それでは、企業は具体的にどのような運用を進めているのか。

他社の運用状況は？

併せて読みたいお薦め記事

クラウドセキュリティ乱立から統合へ

• セキュリティツール“乱立”が生んだ逆説「使えば使うほど脆弱だった」
• なぜ「CNAPP」がいま必要なのか？　CASBやCSPM、既存ツールとの違いは？

　同レポートによると、攻撃側は既にAIを活用している。AIを使って脆弱性の悪用コードを生成し、攻撃までの時間を極端に短縮している。実際、2025年末には「React2Shell」と呼ばれる脆弱性が公開から数時間で悪用されたという。

　一方、防御側では依然として「人」がボトルネックになっている。脆弱性スキャンやチケット発行は自動化されているものの、修復作業は多くの組織で人手に依存している。Sysdigはこれを「限界効用逓減」の状態と表現する。ツールやプロセス改善による効果が頭打ちになり、従来型運用では改善幅が小さくなっているという指摘だ。

　レポートでは、こうした状況を打開する手段として「AIエージェント」に注目する。単にアラートを分析するだけではなく、AIが自律的に修復や封じ込めまで実行するものだ。例えば、脅威を検知した際に不審なプロセスを自動停止する仕組みを導入する組織は2024年と比べて140％増加した。

　特に変化が大きいのは、ランタイム防御の領域だ。70％以上の組織が「振る舞いベース検知」を採用している。これは単一のアラートではなく、複数の挙動やイベントの連鎖を分析して異常を検知する仕組みだ。Sysdigは、こうした高精度な検知がAIによる自動対応の前提条件になると説明する。

　背景には、クラウド環境そのものの変化もある。現在、クラウド環境で管理されるIDのうち、人が使うIDはわずか2.8％だ。大半はシステムやアプリケーションが利用する「マシンアイデンティティ」だ。つまり、クラウド環境は既に「人間中心」ではなく、「マシン中心」の運用へ移行している。

　さらに、AI導入の拡大も防御モデルの転換を後押ししている。レポートによると、AI関連パッケージは2024年比25倍、機械学習パッケージは6倍に増加した。企業は単に外部AIサービスを利用するだけではなく、自社環境にAI基盤を組み込み始めている。

　興味深いのは、AI規制がイノベーションを阻害している訳ではないという点だ。分析対象となったAI・機械学習パッケージの50％以上は欧州のベンダーが提供するものだった。Sysdigは、AI規制はAI導入の足かせではなく、導入とセキュリティ強化を促進している可能性があると分析している。

　ただし、Sysdigは「人間が不要になる」とは述べていない。むしろ、人の役割は変わるとしている。人はポリシーや権限範囲、安全対策、リスク許容度を定義し、AIによる自律的な対応を監督する側に回る。

　レポート全体を通じて浮かび上がるのは、「人が対応するセキュリティ」から「人が統制し、AIが動くセキュリティ」への転換だ。攻撃速度がマシンレベルに達した今、防御側もまた、人間の判断だけに依存した運用から離れ始めている。