SOCアナリストであることは確かに厳しい時代です。
毎日、彼らは半分のデータと倍のプレッシャーで高リスクの問題を解決することが期待されています。アナリストは脅威だけでなく、彼らを助けるために設置されたシステムやプロセスによっても圧倒されています。ツールは分断され、ワークフローは重い。コンテキストは5か所に分かれ、アラートは決して止まりません。速いペースで高い影響を与える役割として始まったものが、多くのアナリストにとっては、戦略や成長の余地がほとんどないアラートトリアージとデータ整理の繰り返しのループになっています。
ほとんどのSOCチームもスリムに運営されています。昨年、私たちの年次SANS SOC調査では、SOCの大多数がわずか2〜10人のフルタイムアナリストで構成されていることがわかりました。これは2017年に調査が開始されて以来変わっていない数字です。一方で、カバレッジの範囲は拡大し、オンプレミスのインフラからクラウド環境、リモートエンドポイント、SaaSプラットフォームなどに及んでいます。これがスケールで複合され、SOC環境全体でのシステム的な燃え尽きにつながり、組織が自らを守る能力を妨げる正当なビジネスリスクとなっています。
この問題に対処することは、単に人員を増やすことではありません。燃え尽きを人の問題として扱い続ける限り、SOC内で本当に何が間違っているのかを無視し続けることになります。直面している課題は、SOCの仕事がどのように設計され実行されるか、そしてアナリストが成功するためにどのように位置づけられるかの変化を要求しています。
ここで人工知能(AI)が登場します。AIの大規模な導入は、アナリストを退職に追いやる仕事の部分を最適化することで、実用的な前進の道を提供します:反復的なステップ、認知的負担、そして目に見える進展の欠如です。非効率なワークフローの合理化やスキル開発のサポートから、チーム全体のより影響力のある監視の促進に至るまで、AIはSOCの仕事をより持続可能にするための広い道を開くことができます。
スマートな自動化によるアラート疲労と反復的負荷の軽減#
低コンテキストのアラートの絶え間ない流れは、SOCチームを消耗させる最も速い方法の一つです。SANS SOC調査では、38%の組織が利用可能なすべてのデータをSIEMに取り込んでいると報告しています。それは可視性を拡大するかもしれませんが、同時にアナリストを低優先度のノイズで溢れさせます。そして、強力な相関ロジックやクロスプラットフォームの統合がなければ、完全な絵を組み立てるのは依然としてアナリストの役割です。彼らは分断されたシステムを追いかけ、手動でコンテキストを組み立て、エスカレーションが必要かどうかを判断することになります。それは非効率的で、疲れるものであり、持続可能ではありません。
SOCチームは長年にわたりタスクを自動化してきましたが、そのほとんどの自動化は、期待されたシナリオから逸脱するとすぐに崩れるような脆弱なロジック、例えば硬直したプレイブックや静的なSOARフローに依存していました。AIはそれを変えます。AI駆動の自動化は、ユニークに強力なコンテキストアグリゲーターおよび調査アシスタントとして機能することで、その圧力を和らげることができます。新しいモデルコンテキストプロトコル(MCP)によって可能になる機能と組み合わせると、言語モデルはテレメトリ、脅威インテリジェンス、資産メタデータ、ユーザー履歴を単一のビューに統合し、アナリストが直面する各ユニークな状況に合わせて調整します。これにより、アナリストは生のイベントではなく、豊富なケース固有の要約を得ることができます。明確さが推測を置き換えます。応答の決定がより速く、より自信を持って行われるようになり、これらは直接的に燃え尽きを軽減します。
ここでの鍵は、SOARとは異なり、AIが適応的な自動化を可能にし、LLMインターフェースを通じて簡単にアクセス可能にすることです。AIエージェントやMCPやAgent2Agentプロトコルのような新しい標準を用いることで、アナリストが何をする必要があるかを平易な言葉で説明し、システムが動的に自動化を構築し、どのタスクを実行する必要があるか、最適な方法で完了するかを決定する未来が今ここにあります。データの取得、シグナルの相関、応答の調整など、AIはコンテキストに基づいてリアルタイムで調整することができます。その柔軟性は特に、調査の経路が常に明確または直線的でない場合に重要です。
スマートなフィードバックを通じたアナリストの自信構築#
燃え尽きは長時間労働だけから来るわけではありません。時には、成長せずに同じ仕事を続けたり、意味のあるフィードバックを得られないことから生じます。アナリストが進展を見ないと、すぐにフラストレーションが生じます。ここはAIが本当にサポートできる領域です。AIはアナリストが自分の仕事をその場で改善することを可能にします—検出ロジックの調整、誤検知のトラブルシューティング、迅速でターゲットを絞った提案によるより良いクエリの生成などです。このようなリアルタイムのフィードバックは、新しいアナリストにとって特に価値がありますが、経験豊富なチームメンバーも、ピアレビューを待たずにアプローチをテストする能力から利益を得ます。
これらのインタラクションは、研究者が意図的な練習と呼ぶものをサポートします:集中した反復と即時の、実行可能なフィードバックの組み合わせです。これは保持において非常に価値があります。SANS SOC調査によれば、「意味のある仕事」と「キャリアの進展」は、アナリストの保持において報酬を上回るトップ2の要因としてランク付けされました。成長を日常のワークフローに組み込むチームは、より多くの人を保持する可能性が高くなります。AIは人間のメンターシップを置き換えることはできませんが、その最も意味のある効果のいくつかをスケールで再現するのに役立ちます。
SOCリーダーがチームを管理し強化するのを助ける#
SOCリーダーは燃え尽きを軽減する直接的な影響力を持っています。しかし、時間と可視性の不足が、ポジティブな影響を与えるための最大の障害となることがよくあります。ケースロード、ノートの質、調査の深さ、応答時間などのパフォーマンスデータは、プラットフォームや調査に散在しています。それを統合する方法がなければ、マネージャーは誰が苦しんでいるのか、なぜなのかを推測するしかありません。
AIはその分析を可能にします。ケース管理とワークフローデータへのアクセスを持つモデルは、パフォーマンストレンドを表面化させることができます:どのアナリストが特定の脅威タイプを一貫してうまく処理しているか、エラーがどこに集中しているか、または品質が低下し始めているときなどです。その洞察により、マネージャーはより効果的に指導し、能力に基づいて仕事を割り当てることができるようになります。それはまた、早期に介入する機会を与えます。燃え尽きは自らを発表しません。それはゆっくりと、しばしば見えないところで構築されます。しかし、適切なシグナル—過負荷のフラグ、スキルギャップの発見、ケース品質の低下の注意—を持つことで、リーダーは問題が退出になる前に行動を起こすことができます。
時間が経つにつれて、そのようなターゲットを絞ったサポートはチーム文化を再形成します。パフォーマンスが向上し、保持が安定し、アナリストは自分が見られ、サポートされ、成功するために設定された役割で留まり、成長する可能性が高くなります。
SANSネットワークセキュリティ2025で会話を続けましょう#
SOCの燃え尽きは一度に現れることはほとんどありません。それは学習のない反復、進展のないプレッシャー、影響のない努力を通じて構築されます。AIはSOC内のすべてのストレス要因を取り除くことはできませんが、最も重要なところで摩擦を軽減するのに役立ちます。
このトピックに共鳴するなら、9月にラスベガスで開催されるSANSネットワークセキュリティ2025に参加してください。私は、より健康的で効果的なSOCを構築するためのセッションをリードします—AIを適用して燃え尽きを軽減し、ワークフローを合理化し、実際の環境でアナリストの成長をサポートする方法を含めて。
SANSネットワークセキュリティ2025(2025年9月22日〜27日)の登録はこちら。
注: この記事は、SANSシニアインストラクターのジョン・ハバードによって専門的に執筆され、寄稿されました。彼の背景とコースについてはこちらで詳しく知る。
注: この記事は、SANSインスティテュートのシニアインストラクターであるジョン・ハバードによって執筆され、寄稿されました。
翻訳元: https://thehackernews.com/2025/06/how-ai-enabled-workflow-automation-can.html