完全自律型のセキュリティオペレーションセンター(SOC)を謳う製品・サービスがサイバーセキュリティ市場に次々と登場し、「いずれSOCのデスクはすべて無人になるのではないか」という不安が広がっています。
しかし現実には、Infosecurity Europe 2026に出展した主要セキュリティベンダー各社は、ある一点で見解が一致しています。それは「AIはSOCそのものを置き換えるのではなく、単調なコピー&ペーストや定型チケット処理を肩代わりする」というものです。
Infosecurityの取材に対し、Dropzone AIのインターナショナル担当バイスプレジデントであるBrett Candon氏は、AIが従来の多階層型SOCモデルを、スピードアップした「ティア1.5」アナリストと戦略的エンジニアによる、よりスリムで洗練された運用体制へと転換しつつあると述べました。
AIによるSOC:ブラックボックスではなくグラスボックスとして
自動化によってSOCの課題を解決しようという試みは15年以上続いてきましたが、ベンダー各社は真の自律性を実現するには完全な透明性が不可欠だと主張しています。Candon氏は、AIは謎めいたブラックボックスではなく、透明性の高い「グラスボックス」として扱わなければならないと強調します。目指すべきは、重労働となっていた手動調査作業をAIに置き換えつつ、人間のアナリストが機械の判断過程を容易に監査できるよう、手順ごとに記録を残すことだと同氏は言います。
Abnormal AIのフィールドCISOであるPatricia Titus氏も、人間が介在するバリデーションは絶対に外せない安全網だという考えに同意します。機械が正確に動作しているかどうかを検証するためには、依然として優秀な人材が必要だと強調します。
「ツール、つまりAIツールが本当に意図した検知をできているかどうかを確認するために、定期的にデータを振り返って分析できる人材が必要です」と同氏は語りました。
さらに、AIの能力はそれを支えるセキュリティデータ基盤の質に左右されます。Vega SecurityのチーフプロダクトオフィサーであるYonni Shelmerdine氏は、AIであってもデータアーキテクチャの根本的な欠陥は回避できないと指摘します。クラウドストレージのコスト増大により重要なセキュリティログが凍結・フィルタリングされているような状況では、パイプラインの根本的な修正に人間のエンジニアリングが必要になると同氏は述べます。
Shelmerdine氏は、データが失われてしまえば「どんなに優れたAIボットも助けにはならない」と警告しています。
インターンのティア1から、プロフェッショナルなティア1.5アナリストへ
3社のベンダーがInfosecurityに語ったところによれば、この技術的転換はエントリーレベルの人材を排除するものではなく、その日常業務を根本的に再定義するものです。
繰り返しのデータ収集に何時間も費やす代わりに、若手の防衛担当者は入社初日からAI主導の調査を監督・監査する役割、すなわちCandon氏が「ティア1.5アナリスト」と呼ぶポジションへと直接ステップアップしています。
Candon氏によれば、AIが単調な初期トリアージを機械的なスピードで処理することで、人間への影響は劇的に変わります。仕事への満足度が上がり、SOC内でより有意義な業務をしていると感じるようになるほか、従来のキャリアパスよりもはるかに速く若手スタッフを専門職に昇格させられるようになったと同氏は述べています。
Titus氏もこの見解に同調します。ティア1はSOCの若手アナリストがセキュリティの基礎を「身につける」場として伝統的に位置づけられてきましたが、AIはこのオンボーディング期間を劇的に短縮すると同氏は指摘します。アナリストはAIが生成した自動ワークフローをレビュー・分析することで、基礎知識をはるかに速く習得できるようになっています。
この変化を実践するにあたり、Titus氏は自身のセキュリティチームの経験から具体的な取り組みを紹介してくれました。Abnormal AIの行動モデルを導入した後、同氏のチームは彼女が「ティア1チケット処理担当者」と表現する常勤の正社員を5名採用する必要がなくなったことに気づきました。
その代わりに、既存のフルタイムスタッフが即座に高リスクな「真のティア3レベルの調査」を担う役割へと引き上げられたと同氏は説明します。
Titus氏はその後、残ったティア1の業務を大学インターンプログラムに転換し、学生たちがAIとともにメールセキュリティや行動分析の基礎を学べる環境を整えました。
Titus氏はエントリーレベルの役割を完全に廃止することには強く反対しており、「ティア1 SOCアナリストをなくすのは愚策だと思います。なぜなら、万が一AIが機能しなくなったとき、現場に戻ってティア1の業務を担える人材が必要になるからです」と述べています。
インターンたちが卒業する頃には、AIシステムの監査方法やセキュリティ態勢の管理を深く理解しており、高いスキルを持つ正社員候補の直接的なパイプラインが生まれると同氏は説明します。
AIによるSOCにおける「サイバーディフェンスエンジニア」という新職種の台頭
アナリストが価値の高い業務へと移行するにつれ、Vega SecurityのShelmerdine氏は業界にまったく新しいアーキタイプが生まれると予見しています。それが「サイバーディフェンスエンジニア」です。高度な防衛担当者はますます受動的なアナリストという肩書きを脱し、能動的なシステム構築者としての自覚を持つようになっています。
「SOCを変えるのはAIではなく、サイバーディフェンスエンジニアです」とShelmerdine氏は言います。
同氏はこうした現代のプロフェッショナルを、高度な管理プロトコルと自然言語を使ってSecOpsプラットフォームを操り、「クエリ、ハンティング、ダッシュボード、レポート、トリアージを直感的にコーディングする」エンジニアと表現しています。
無限に積み上がるアラートキューに防御的に対応するのではなく、より優れた検知態勢を能動的に構築し、AIツールを調整することが日々の中心的な仕事となっています。
最終的に、セキュリティベンダー各社の総意は明確です。自律型SOCとは「無人の部屋」ではなく、「はるかに賢い部屋」であるということです。
10年以上にわたってセキュリティ運用を悩ませてきた手動トリアージ作業を取り除くことで、AIは人材を代替するというより、疲弊したチケット処理担当者を戦略的なサイバーエンジニアへと変革する「人材救済ミッション」として機能しています。
しかし、テクノロジー・サイバーセキュリティ業界全体で大規模なレイオフが相次ぐ厳しい状況の中、こうしたベンダーの楽観的な見通しが現実のものとなるのか、それとも経済的な圧力が企業を純粋な自動化へと向かわせ、人間の専門性が犠牲になるのかは、まだ分かりません。
Abnormal AI、Dropzone AI、Vega Securityは、それぞれブース#D145、#E40、#F160にてInfosecurity Europeに出展しています。Infosecurity Europeへの参加登録はこちらから。
翻訳元: https://www.infosecurity-magazine.com/news/ai-soc-still-need-analysts/
