CISOたちはAIをセキュリティ機能に適用する現実と向き合う

人工知能を活用してサイバーセキュリティ防御を強化することは、業界の話題性も後押しし、多くの企業セキュリティ担当者の最優先課題となっている。

AIは、セキュリティオペレーションセンターや詐欺メールのブロック、アクセス管理、その他多くの主要なセキュリティ機能において、従来のセキュリティツールだけでは実現できないスピード、スケーラビリティ、適応性を提供する。AIの新たな活用事例は、CISOたちのサイバーセキュリティ運用に対する考え方を変え始めており、彼らはこの技術を活用して増大する脅威から組織をより良く守ろうとしている。

CSOは、複数のCISOやセキュリティコンサルタントに話を聞き、AI導入の実務面での教訓や、期待できる成果についての率直な現実を明らかにした。

テレメトリのターボブースト

セキュリティAIと自動化は、特に滞留時間の最小化やトリアージ・封じ込めプロセスの加速において大きな価値を示し始めていると、テレメトリおよびオブザーバビリティパイプラインソフトウェアベンダーCriblのCISO、Myke Lyons氏は語る。

ただし、その成功は基盤となるテレメトリの優先順位付けと正確性に大きく依存するとLyons氏は警告する。

「私のチームでは、データ管理に構造化されたアプローチを採用しています。優先度が高く、時間的に敏感なテレメトリ（例：ID、認証、主要アプリケーションのログ）は、高保証システムに送られ、リアルタイム検知に用いられます」とLyons氏は説明する。「一方で、重要度の低いデータはコスト最適化のためデータレイクに保存され、フォレンジック価値は維持されます。」

Lyons氏は続ける。「この戦略は、アナリストのシグナル対ノイズ比を改善するだけでなく、対応時間を短縮し、インシデントの影響を軽減することで、最終的に具体的なコスト削減につながります。」

エージェンティックAIの優位性

金融サービス業界は最先端のセキュリティ技術の初期導入者であることが多い。

BOK Financialのサイバーセキュリティリスク＆コンプライアンス担当SVP兼ディレクター、Erin Rogers氏は、AIベースのアップグレードによって脅威検知・対応システムが自律的に脅威を分析し、リアルタイムで意思決定・対応を適応できるようになり、早期検知と緩和が大幅に向上しているとCSOに語った。

自動化は、ルールベースのSOAR（セキュリティオーケストレーション・自動化・対応）やEDR（エンドポイント検知・対応）ツールによって侵害の特定と対応時間を短縮してきたが、エージェンティックAI技術はパフォーマンスと成果をさらに加速させる可能性がある。

「例えば、BOK FinancialではエージェンティックAIを活用してビジネスメール詐欺の試みをリアルタイムで識別・ブロックするソリューションを導入し、進化する脅威に合わせて精度を継続的に向上させています」とRogers氏は述べる。

警鐘

他の専門家たちは、こうした初期の成功事例が他業界でも再現できるかどうかについて慎重な見方を示した。

「AIによる検知はまだ十分なレベルに達していません。むしろ、安心感を持ちすぎてしまう危険性があります」とIEEE上級会員のShaila Rana氏は語る。

Rana氏が引用した最近の調査では、AIシステムは悪意のあるファイルの89%を正しくマルウェアとして検出できた。しかし、最も厳しいテスト条件下では、AI自律型システムのプロトタイプは実際のマルウェア全体のうち26%しか検出できなかった。

これらの数字は、Microsoft ResearchによるProject Ire（AIベースのマルウェア分類プロトタイプ）の実験結果であり、自動化システムで分類されず手動レビュー予定だった4,000ファイルを対象にした厳しいテストで得られたものだ。

「この問題を認識する必要がありますし、多くの組織が適切な統合なしに自動化を進めると、解決が早くなるどころか混乱が加速するだけだと気付き始めています」とRana氏は言う。

Rana氏はこう結論付ける。「ここでの本当の『勝利』は単なるスピードではなく、ルーチン作業を処理して人間の専門家が機械ではまだ対応できない複雑かつ戦略的な問題解決に集中できるようにすることです。」

AIはセキュリティのコパイロットとして扱うべきであり、自動操縦ではない

AI脅威検知スペシャリストCyberoon Enterpriseの創業者兼CTO、Anar Israfilov氏は、自社のエンタープライズクライアントとの取り組みを通じて、人間による監督の価値とAIの出力を「現実検証」する必要性を実感したと語る。

「あるプロジェクトでは、異常検知がさまざまな『ゴーストアラート』を出し始めましたが、それはデータソースの設定が適切でなかったためです」とIsrafilov氏は説明する。「その結果、アナリストたちは再びノイズを追いかける羽目になりました。」

Israfilov氏は続ける。「これは重要な学びでした。ガバナンスと人間による監督は最初から絶対に必要です。システムが学習し、アナリストが信頼できるように、説明性ツールやフィードバックループを構築する必要がありました。」

AIはセキュリティアナリストの代替ではなく、コパイロットとして活用するのが最適だと彼は結論付けている。

「AIをアナリストのアシスタントとして積極的に活用し、アナリストを自動化で排除しようとしない企業は、はるかに良い成果を上げています」とIsrafilov氏は語る。

コンテキスト重視

ブティック型セキュリティコンサルティング会社LeMareschalのマネージングパートナー、Denida Grow氏は、彼女の実験からAIベースのセキュリティツールはまだ開発初期段階にあると示唆している。

「現時点では、AIが生成したレポートや提案だけに基づいてセキュリティ運用を行うことはできません」とGrow氏は言う。「インシデントログの要約やデータからのパターン抽出、レポート作成の迅速化などには役立ちますが、実際のセキュリティ運用を支援するには、まだ人間の関与なしには信頼できないほど未熟です。」

Grow氏によれば、コンテキストの欠如がAIベースのセキュリティツールの最大の課題だという。

「例えば脅威インテリジェンスでは、一般的な知見は提示できても、重要な地域や業界固有の詳細を見落とします」とGrow氏は説明する。「インシデント対応では、プレイブックの提案はできても、実際の人員配置や現地法、クライアントのリスク許容度など現実の変数とは合致しない場合があります。」

AIベースのセキュリティツールは問題に対する別の視点を得るのに役立つが、プロの判断の代わりにはならない。「すべての出力には、経験豊富なセキュリティ専門家によるレビュー、修正、コンテキスト付与が依然として必要です」とGrow氏は助言する。

AI＋組織知識＝成功

エンタープライズAIプラットフォームfifthelement.aiのCEO、Jonathan Garini氏は、AIはエンタープライズのセキュリティオペレーションセンターにおいて段階的な改善を達成するために最適だと主張する。

「SOCを根本から変革しようとするのではなく、多くの企業がログ分析やアラートのトリアージといった反復的で低レベルな作業量に注目しています」とGarini氏はCSOに語る。「このような状況でAIを活用することで、セキュリティチームは誤検知対応に費やす時間を削減し、アナリストがより価値の高い調査に集中できるようになります。」

もう一つの重要な教訓は、AIと組織の知識を統合する必要性だ。

「私が話を聞いた複数のCISOは、この分野での成功は生データをAIモデルに与えるだけでなく、脅威インテリジェンスフィードや過去のインシデントレポート、組織のワークフローなどのコンテキストを重ね合わせることが重要だと強調しています」とGarini氏は結論付けている。