検索
特集/連載

AIでインシデント調査を数秒に短縮 「エージェンティックSOC」の全貌と実践新人担当者でも数秒で調査完了

次々に企業を襲うサイバー脅威に対して、担当者の負担は増す一方だ。この問題に対し、AIエージェントを活用した「エージェンティックSOC」はどう有効なのか。調査時間を数時間から数秒に短縮する新手法の全貌とは。

[TechTargetジャパン] PC用表示 関連情報
Share
Tweet
LINE
Hatena

関連キーワード

人工知能 | セキュリティ対策


 企業を標的としたサイバー攻撃は勢いを強めており、SOC(Security Operation Center)の担当者は日々押し寄せるアラートの処理に追われている。このような状況を放置すれば、担当者の燃え尽き症候群を招きかねない。この課題を打破する手段として期待を集めているのが、自律的に思考して行動するAIエージェントを活用した「エージェンティックSOC」だ。

 AIエージェントは、複数のツールを行き来して数時間かかっていた脅威のトリアージ(優先順位付け)や調査を、わずか数秒で完了させる能力を持つ。これによって、経験の浅い担当者であっても、熟練者と同等の高度な判断を下すことが可能になる。

 ただし、人に代わって自律的に判断を下すAIエージェントは、強力な武器になる半面、企業にとっての内部脅威にもなり得る。セキュリティベンダーSplunk(Cisco Systems傘下)の専門家の解説を基に、AIエージェントを安全に運用するための手法を紹介する。

数時間の調査を数秒に短縮する仕組み

 2026年3月に開催されたセキュリティカンファレンス「RSAC 2026」において、Splunkのジョン・モーガン氏とフレッド・フライ氏が登壇し、「Lessons From the Agentic Frontier: How the SOC is Winning in the AI Era」と題したセッションを実施した。モーガン氏とフライ氏はエージェンティックSOCの実践的なユースケースや、AIの挙動を制御するためのガバナンスモデルについて語った。

 フライ氏は、エージェンティックSOCがもたらす具体的な恩恵を、午前3時に発生した「不可能移動」のアラート処理を例に解説した。通常、経験の浅い担当者がこのアラートを扱う場合、複数の製品を開いてIPアドレスの照合などを手作業で実施するため、数時間を費やすことがある。ただし現代のサイバー攻撃が進行するスピードを考えれば、これほどの時間をかけていては被害の拡大を防ぐことは難しい。

 エージェンティックSOCでは、担当者がチケットを確認する前に、複数のAIエージェントが連携して自律的に調査を進める。具体的な進め方は以下の通りだ。

  • 1つのAIエージェントが過去30日間のユーザーのログイン履歴を分析する
  • 同時に別のAIエージェントがIPアドレスを脅威インテリジェンスと照合する
  • さらに別のAIエージェントがメールのログやプロキシのイベントを調査し、被害範囲を特定する

 これらの作業を並列で実行することで、調査は数秒で完了する。担当者は整理された情報を確認するだけで済み、複雑なクエリを記述する手間もない。「AIエージェントは企業独自の調査手法や履歴を記憶し、学習しているため、経験の浅い担当者を熟練者のレベルに引き上げることができる」とフライ氏は説明する。

設定ミスによる情報漏えいも未然に防ぐ

 AIエージェントの価値は事後の処置にとどまらず、事前のインシデント防止にも寄与する。フライ氏は、設定ミスによる意図しない個人情報の漏えい危機を例に挙げた。

 クラウドストレージにあるデータの共有設定を変更する際、従来の静的なルールベースの検査では、業務上の意図や複雑なデータフローを完全に把握することが難しかった。一方でAIエージェントを用いた予防的な検査は、変更が本番環境に反映される前に、インフラの構成やデータの流れ、企業のデータポリシーを総合的に解釈する。この情報を受けて、AIエージェントは「クラウドストレージが外部ベンダーと共有されている」という事実と、「そこに含まれるデータが個人情報に該当する」という文脈を結び付け、危険な変更を未然にブロックする。

内部脅威を防ぐ「信頼とガバナンス」

 一方で、モーガン氏は、AIエージェントの最大の特性である「非決定論的」(同じ入力に対しても異なる出力を返すこと)な振る舞いが、企業にとっての内部脅威にもなる点に警鐘を鳴らす。AIモデルは人間のような社会的責任を持たず、意図せずして壊滅的なミスを引き起こす恐れがある。

 これを制御するための仕組みとして、「AIエージェントの信頼とガバナンスモデル」の構築がある。モーガン氏は、AIエージェントを構築する段階で単一の巨大な役割を与えるのではなく、権限を分割した複数のAIエージェントを組み合わせる「職務の分離」が不可欠だと説く。これによってセキュリティリスクを軽減しつつ、限られた記憶容量を効率的に扱うことが可能になる。

 AIエージェントの生成物の内容が誤っていないかどうかを検証する仕組みや、AIエージェント自体を標的とする攻撃に対する検出の機能も必要だ。分散したデータをどう消去するかというコンプライアンスの課題も、このガバナンスモデルで解決すべきテーマだ。

防御側も機械の速度へ進化を

 サイバー攻撃者はすでにAI技術を使いこなしており、その脅威は今後も増すと予測されている。圧倒的な規模と速度を併せ持つ攻撃に対抗するためには、防御側もAIエージェントの力を取り入れるしかない。

 最初は人がAIエージェントを監視する形で運用を始め、企業のシステム構成やプロセスをAIエージェントに学習させる。最終的には人の介在を減らし、脅威に素早く対処できる自律的なシステムへと進化させることが、今後のセキュリティ運用における絶対条件になるだろう。AI技術は脅威であると同時に、正しく制御すれば強力な味方になってくれる。

本稿は、RSACが2026年3月25日に公開した動画「Lessons From the Agentic Frontier: How the SOC is Winning in the AI Era」を基に作成しました。

Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。

ページトップに戻る