SOCが直面している問題はよく知られており、理解され、数値化もされていますが、まだ解決されていません。
中小企業(SME)は毎日約500件のセキュリティアラートを受け取り、大企業では約3,000件にのぼります。そのうち40%は調査されることがなく、57%の企業は負荷を軽減するために検知ルールを抑制しています。ほとんどのSOCは既存のアラートの負荷に対応できず、一部の企業は未知のリスク(多くはクラウドやアイデンティティ分野)を意図的に受け入れることで負荷を減らそうとしています。
これらの数字は、主に米国の従業員1,000人以上の企業のセキュリティリーダー(CISO、セキュリティディレクター、マネージャー、アナリスト)282人を調査したProphet Securityの分析(PDF)によるものです。
同じ回答者のうち55%は、すでに何らかの形でAIをアラートのトリアージや調査に利用しており、60%は今後1年以内にAI SOCソリューションの評価を計画しています。さらに、現在のセキュリティリーダーの83%が、今後3年以内にSOCの業務の半分以上がAIによって完了すると考えています。
SOCにおけるAIの主な利用ケースは、「アラートのトリアージと調査」(回答者の67%)、「検知エンジニアリングとチューニング」(65%)、「脅威ハンティング」(64%)の3つです。「対応とインシデント封じ込め」は43%と低い結果でした。Prophetは「これは、セキュリティリーダーがAIの識別と分析の力を認識している一方で、対応や封じ込めの段階では人間の介入が重要だと考える傾向があることを示唆しています」と述べています。
Prophet Securityは、SOCアナリストのアラート疲労を引き起こす問題と、その結果生じる問題を解決することを目的としたエージェント型AI SOCプラットフォーム「Prophet AI」を提供しています。
アラート疲労の根本的な原因はデータ量の多さです。Prophetによると、組織は平均で17のアラート生成ツールを持ち、大企業では20以上のツールを持っています。「組織はデータが多いほど可視性が高まると考えています」とMalwarebytesのThreatDownリサーチ責任者であるMarco Giulianiはコメントします。しかし、実際には逆のことが起こります。「データが多すぎると可視性がゼロになります。アナリストはどこを見ればいいのかわからなくなり、シグナルはノイズに完全に埋もれてしまうのです。」
Cybermindzの創設者Peter Coroneosも同意します。データとノイズが多すぎると慣れが生じ、警戒心が低下します。「つまり、SOCアナリストが偽陽性の中から本当の脅威を見つけ出す能力は、時間とともに低下していくのです。」
広告。スクロールして続きをお読みください。
ノイズに対処するために、57%の組織が意図的に検知ルールを抑制し、何とかやりくりするためにリスクを高めているとSoftware Analyst Cyber Researchの創設者兼CEOであるFrancis Odumは述べています。「チームがアラートを抑制すると、短期的な生存性と引き換えに長期的な可視性の負債を抱えることになります。沈黙したルールはすべて、攻撃者が突き止めて商品化できるギャップとなります。SACRの調査によれば、解決策は『アナリストを増やすこと』ではなく、よりスマートな検知エンジニアリングと自動化です。」
Cyberhashの創設者Manoj Bhattは、抑制の問題についてさらに説明します。「大量のアラートがフラグ付けされていることが分かっていますが、ほとんどの人はこれを管理可能なレベルまで調整しているため、アラートが見逃される可能性があります。すべてのアラートに対応できておらず、SOCチームが見逃しているという非常に現実的な問題があります。」
リスクにさらされているのはビジネスだけではありません。人間も同様に苦しんでいます。AI and Cyber Security AssociationのCEO兼創設者Lisa Venturaは続けます。「アラート疲労は、サイバーセキュリティ専門家の士気と効果を打ち砕いています。」本来なら最前線で守るべき人々が、絶え間ないノイズに疲弊しています。「彼らはアラートに鈍感になり、調査を急ぎ、正直なところ、燃え尽き症候群で業界を去る人もいます。」
アラート疲労は、ノイズが多すぎるデータが原因です。手動でのトリアージは当たり外れが多くなり、偽陽性がアナリストを消耗させ、潜在的な偽陰性は調査されません。「アラート疲労は単なる流行語ではありません」とCustodian360のディレクターNikki Webbは説明します。「アナリストを燃え尽きさせ、組織に危険な安全の錯覚を与えます。アラートだらけのダッシュボードも、誰もきちんと調査する時間がなければ意味がありません。」
ThreatDownのシニアプロダクトマネージャーAlessandro Di Carloは問題をさらに詳述します。「影響は非常に明確です。トリアージや対応の遅れ、アナリストの疲労と離職率の増加、最終的には無害なイベントを追いかけて時間を浪費することでサービス品質が低下します。」
犯罪者によるAIの導入と活用スキルの向上が事態をさらに悪化させています。攻撃はスピード、複雑さ、ステルス性が増しています。これにより、サイバーセキュリティ版の不確定性原理という新たな問題が生じています。
「侵害後のフォレンジックプロセスを経て、どのように侵害が行われたかを特定し、今後同様の攻撃を認識・対応する計画を立てるとします」とMimotoのCEO兼共同創設者Kris Bondiは述べます。「その間に、AI強化型攻撃は何度も進化しています。組織は何世代も前の攻撃バージョンに備えていることになります。」前回の攻撃を理解すればするほど、次の攻撃については分からなくなる――これが犯罪者によるAI利用の結果です。
次の疑問は、防御側が自らのAIを活用することで、長年のアラート疲労、その増大要因、そして潜在的に壊滅的な影響を解決できるかどうかです。コンセンサスは「はい、ただし注意が必要…」のようです。
Prophet Securityの共同創設者兼セキュリティオペレーション責任者Grant Oviattは熱心な支持者です。「SOCアナリストは調査が必要なセキュリティアラートに圧倒され、疲労し、最終的には検知漏れにつながっています。AIは繰り返しで退屈な作業を短時間で処理でき、アナリストが高付加価値の業務に集中できるようになります。」
Zero NetworksのグローバルフィールドCTO Albert Estevez PoloはAIソリューションの「はい」の部分を説明します。「SOCには多くの手作業があり、AIは特定の作業の自動化に優れています。実際、AI-SOCというコンセプトで構築される企業が増えています。AIはAPIで呼び出せ、エージェントを構築してアラートを相関し、他のロジックを実装して偽陽性を除外できます。これはSOCアナリストにとって素晴らしいことで、AIアシスタントが下準備をしてくれるので、人間の工数を大幅に節約でき、その分AIエージェントが実行したレポートやタスクの確認に時間を使えます。」
SOC AIは作業負荷を減らし、人間の効率を高めることができます。ここで解決策の「ただし」部分が出てきます。「AIはSOCにおけるフォースマルチプライヤーとして機能します。トリアージなどの作業を自動化し、自律的な調査も行えるため、セキュリティチームはリアクティブなアラート対応から、脅威ハンティングやサイバー・レジリエンス計画、リスク軽減といったより戦略的な取り組みにシフトできます」とDarktraceのセキュリティ&AI戦略担当シニアVP兼フィールドCISOのNicole Carignanは説明します。
「しかし」と彼女は付け加えます。「この恩恵を受けるには、これらのテクノロジーを効果的に使い、運用し、ガバナンスし、そして何より信頼できる人材が必要です。AIソリューションを導入するだけでは不十分で、セキュリティ担当者は機械学習技術の仕組みや強み・限界、出力の評価方法を理解する必要があります。説明性と信頼性がなければ、AIはアラート疲労を解決するどころか悪化させるリスクがあります。」
AI SOCを単に導入し、既存のアナリストにそのまま使わせるのは間違いです。「SOCアナリストはAIモデルの仕組みや限界、AI主導のインサイトの理解方法を知る必要があります」とBugcrowdの創設者Casey Ellisは付け加えます。「これはアナリストをデータサイエンティストにする話ではありません。AIと協働するために、いつAIを信頼し、いつ疑い、どのようにノイズを減らして優先度の高い脅威に集中するかを理解できるようにすることです。トレーニングは、AIをワークフローに統合し、人間の意思決定を補強する役割を強調すべきです。」
SOC AIは、初期トリアージの「重労働」や、アラートへのコンテキスト付与、何に人間の注意を向けるべきかの優先順位付けに優れています。「これにより、アナリストは本来得意な複雑な思考や戦略的分析、意思決定に集中できるようになるでしょう」とVenturaは述べます。「ただし、AIの限界について正直である必要があります。AIは学習データが良いほど優秀ですが、バイアスを助長することもあります。さらに重要なのは、サイバー犯罪者も黙っておらず、すでにAI検知を回避する方法を模索しています。」
現状では、犯罪者のAI利用がSOCアナリストの作業負荷を急増させています。アナリストはこれに対抗するため、自らの防御AIを学び、活用しなければなりません。後者が前者を打ち消せるかどうかは未解決の問題です。SOC AIは不可欠ですが、万能薬ではありません。
SOCにおける人間の健康面は依然として最重要です。Coroneosはこれについてコメントします。AIは「ノイズのフィルタリング、アラートのクラスタリング、最重要事項の優先順位付け」などでシステム防御に役立ちます。しかし万能薬ではなく、攻撃者はAIを攻撃的に活用して急速に適応しています。防御側の精神的ストレスは依然として高いままです。「解決策は、AI主導の効率化と、人間の注意力トレーニングや警戒心維持といったレジリエンス戦略を組み合わせたハイブリッドアプローチにあります。」
SOC AIのユーザーであるWebbは次のようにまとめます。「AIはフィルタリングや情報付加はできますが、人間の判断力には代わりません。私たちのSOCでは、すべてのアラートに必ず人間の目を通します。これは絶対条件です。機械は経験豊富なアナリストのようにニュアンスや意図、ビジネスの文脈を理解できません。AIだけにその責任を任せるには、まだまだ信頼できる段階ではありません。将来は人をAIに置き換えるのではなく、AIが人を支援する形です。アナリストはSOC運用の中心であり続けるべきです。なぜなら、ノイズとリスクを本当に区別できるのは人間だけだからです。」
結論はシンプルです。Prophetの調査は、SOCが対応できていないことを示しています。犯罪者によるAIの利用はこれをさらに悪化させます。SOCによるAIの防御的利用は選択肢ではなく、不可避の必然です。しかし、これが防御側に新たな優位性をもたらすのか、単に現状維持のバランスを取り戻すだけなのかは、まだ分かりません。
翻訳元: https://www.securityweek.com/ai-emerges-as-the-hope-and-risk-for-overloaded-socs/