セキュリティは「Waymoの瞬間」を迎えており、終わりのないアラートから脱却し、人間のアナリストよりも速く脅威を調査・修正できる自律システムへと移行している。
Waymoは最近、大きなマイルストーンを達成した。1億7000万マイル以上の自律走行が、重大な衝突や負傷なしで行われた。何年も前は、自動運転は常に手の届かないところにある約束として扱われていた。複雑すぎ、リスクが高く、現実世界には準備ができていなかった。その議論はもはや信じられない。自律システムは現在、高速・大容量環境で人間を上回る性能を発揮している。これは完璧だからではなく、重要な瞬間で速いからだ。
これは自動運転車に関する記事ではない。セキュリティは同じ転換期に近づいている。
問題は検知にあったのではない
この10年間、セキュリティ業界は検知に焦点を当ててきた。重点は、より多くのアラートを生成し、信号品質を向上させ、カバレッジを拡大することにあった。これらの取り組みは意味があったが、飽和点に近づいている。検知の継続的な進歩にもかかわらず、ディフェンダーはまだ遅れており、攻撃者は優位性を保っている。
CrowdStrikeによると、横移動は現在平均29分で発生する可能性がある。このウィンドウ内で、理解と不確実性の違いが、インシデントが封じ込まれるか拡大するかを決定する。可視性は重要だが、OODAループ(理解、方向付け、決定、実行)を通じて移動する能力は、ますます圧縮された時間ウィンドウ内で、より重要になる。
セキュリティチームはアラートやデータの不足によって制約されていない。答えの不足によって制約されている。各アラートは、アナリストがツール全体でピボットし、断片化されたコンテキストをアセンブルし、イベントを再構築し、影響を決定する必要があるプロセスを開始する。このプロセスは基本的に時間制約があり、ほとんどの環境ではまだ数時間かかる。
攻撃者はより短いタイムラインで動作し、人間主導の調査では対応できない構造的な非対称性を作成している。業界は検知の改善に失敗していない。主な制約を誤認識している。調査速度が制限要因だ。
セキュリティはまだ人間の速度で動く
インフラストラクチャ、クラウド、AIの進歩にもかかわらず、セキュリティ運用の基本的なワークフローは根本的には変わっていない。本質的に、セキュリティはまだ人間主導のプロセスとして動作している。アラートが生成され、アナリストが調査し、コンテキストが手動でアセンブルされ、圧力下で決定が下される。このモデルは環境がより小さく、攻撃者の速度がより低かった場合は十分だったが、現代の条件下では機能しなくなる。
今日の環境は、手動調査が重要な時間ウィンドウ内で処理できる量と多様性を超える信号を生成する。制限はデータへのアクセスではなく、それを迅速に解釈して行動する能力だ。その結果、チームは時間内に観察から方向付けへ移動するのに苦労し、下流の決定と対応を遅延させる。
観察と方向付けの圧縮
従来のワークフローでは、本番ワークロードへの異常なアクセスを示すアラートが一連のアクションを開始する。アナリストはログをクエリし、アイデンティティアクティビティを相関させ、システム変更を確認し、タイムラインを構築しようとする。各ステップはレイテンシを導入し、観察から方向付けへの遷移を遅くする。
現代的なシステムでは、調査はイベント自体の構造化された理解から始まることができる。調査シーケンスはシステムに吸収される。アラートが提示される時点で、関連するコンテキストはすでにアセンブルされている。関連するアイデンティティ、アクセスパス、行われた変更、そして行動が確立されたパターンと一致するか、またはリスクを表すかどうか。
アナリストの役割も同様にシフトする。イベントを再構築する代わりに、アナリストは完成した分析を評価し、適切な対応を決定する。これはOODAループの前半を圧縮し、チームが観察から決定へ、はるかに少ない摩擦で移動することを可能にする。これはレイテンシを削減し、一貫性を向上させ、意思決定の速度を環境の速度と一致させる。
決定から行動へ、遅延なしで
調査の加速化は問題の一部にしか対処しない。残りの課題はOODAループを完了することだ。チームが迅速に決定に達しても、アクションはしばしば手動プロセスによって遅延される。修復には、システム全体での調整、影響の検証、慎重な実行が必要だ。実際には、これは決定と対応の間にレイテンシを導入する。
エージェントベースの修復はこの遅延を取り除く。システムは人間の監視下で直接行動することができる。決定のしきい値に達すると、エージェントはワークロードを隔離し、資格情報を取り消し、アクセスパスをブロックするか、人間の監視下でリアルタイムでポリシーを適用して、制御を確保できる。これらのアクションは調査中に生成される同じコンテキストの理解に基づいており、過剰反応のリスクを低減しながら速度を向上させる。
これはOODAループの後半を閉じ、決定が速く下されるだけでなく、より速くより一貫して実行される。
AIがタイムラインをさらに圧縮する
組織がAIを採用するにつれて、同じ制約がより深刻になる。これらのリスクは新しい問題を導入しない。それを加速させる。AIドリブンのアプリケーションはインフラストラクチャ速度ではなく、インタラクション速度で動作する。環境はもはや単なるワークロードではなく、ユーザー、モデル、データ間のインタラクションだ。
プロンプトインジェクション、モデルの悪用、意図しないデータ公開などのリスクは、迅速に、分散されたサーフェス全体で展開する。これらのリスクには、迅速な理解と対応、多くの場合は単一のインタラクション内での対応が必要だ。それらを管理するには、同じ機能が必要だ。脅威よりも速くOODAループを実行する能力。
AI採用により、セキュリティシステムはインタラクションを観察し、意図とコンテキストを方向付け、リスクについて決定し、リアルタイムで行動する必要がある。定期的なテストや表面的な行動観察などの従来のアプローチは不十分だ。セキュリティシステムが積極的に弱点を調査し、防御を継続的に検証する、継続的検証モデルが出現している。
速度が優位性になる
自動運転は完璧を達成したから成功したのではなく、重大なシナリオでより良い結果を示したから成功した。Waymoはより多くのデータを見たり、より良いアラートを生成したりして勝ったのではなく、人間のドライバーができるよりも速く知覚、決定、アクション間の時間を縮めることで勝った。
セキュリティは同じ転換を経ている。攻撃者が分単位のタイムラインで動作する環境では、OODAループの人間速度の完了に依存するワークフローは構造的に不利だ。セキュリティの将来は、より良い可視性またはより正確な検知によって定義されない。攻撃者が環境を悪用できるよりも速く、観察、方向付け、行動、決定できる(エンドツーエンド)システムによって定義される。
この記事はFoundry Expert Contributor Networkの一部として公開されています。
参加しませんか?
