AIはセキュリティオペレーションセンター(SOC)に定着しました。そのスピードは、過去のどのテクノロジーの波よりも速いものです。実務担当者の約5人に4人が、日常業務でAIや機械学習ツールを活用していると回答しています。ところが、一段階掘り下げると問題が浮かび上がります。同じチームの中でも、構造・ガバナンス・継続的な検証を備えた明確なワークフローにこれらのツールを組み込んでいるのは、およそ3分の1にすぎません。残りのメンバーは、使い方や確認方法に関する共通のルールブックもないまま、ケースバイケースで独自にAIを使用している状況です。
これにより、最新のSANS SOCサーベイが描くAIの実態は、二つの側面に分かれます。導入は広く普及しています。しかし、組織への統合はそれに遅れを取っています。今年で10年目を迎えるこの調査は、監視やセキュリティオペレーション業務に携わる444名の回答を基にしており、上級幹部向けの別設問も設けられています。
AIツールは自信に満ちた、整然とした回答を生成できます。そしてその出力を疑う能力を持たないままに信頼してしまうアナリストが、弱点となります。複数のSANSインストラクターが同じ観点に行き着いています。危険は、結果をそのまま受け入れる人間と、誤った内容であっても権威あるように見えるツール、その両方に潜んでいます。
リーダーと現場チームが描く「異なる組織像」
この調査にはCISOおよびVPレベルのリーダーが回答するセクションがあり、その内容は主要な調査結果をさらに複雑なものにしています。幹部と実務担当者は同じ組織について語りながら、その機能についてまったく異なる結論に達しているのです。
最も顕著な例がスタッフィングです。サイバーセキュリティリーダーの過半数は、経営陣がSOCの採用・定着ニーズに細心の注意を払っていると答えています。一方、実務担当者でそれに同意するのは約3分の1にとどまります。この27ポイントの乖離は、この設問が設けられた毎年にわたって変わっていません。幹部は自分たちの意図を語り、実務担当者は自分たちの体験を語ります。どちらの説明も正確であり、その両者の距離こそが定着率問題の出発点となっています。
その影響は士気の問題にとどまりません。SOCを運営する人々が、リーダーシップ層から自分たちのスタッフニーズを軽視されていると感じると、チームは組織としての知見を蓄積し、若手アナリストをシニアへと育て上げる力を失います。深刻な脅威環境が求めているのは、まさにそうした継続性です。
アナリストを引き留めるもの
この調査は10年にわたって定着要因を追跡してきており、その答えは一貫しています。「やりがいのある仕事」が3年連続で首位を占め、次いでキャリアアップの機会とトレーニングが続きます。報酬は4位です。
これは給与競争に勝てない組織にとっても示唆に富む結果です。やりがいのある業務、明確なキャリアパス、スキル開発への投資は、それだけで強力な定着力を発揮します。昇給ばかりを優先してこの3点を軽視する組織は、本質的な問題を見誤っていると言わざるを得ません。
可視性——あらゆる意思決定の根底
サイバーセキュリティリーダーが最大の障壁として挙げるのは、企業全体の可視性の欠如です。実務担当者が最初に挙げるのは、熟練スタッフの不足です。これらは一つの問題を二つの視点から描いています。リーダーシップ層は環境全体を把握できておらず、チームは環境を計装するための人員を確保できていません。
この二つは互いに悪循環を生み出します。人員が手薄であれば環境の一部が計装されないまま残り、リーダーは見落としている範囲の全容を把握できず、人員増強の必要性を訴えることが難しくなります。どちらか一方だけを解決しても、両方の問題は残り続けるのです。あるSANSインストラクターは、可視性の問題の多くをアイデンティティ管理に起因するものと指摘しています。多くのチームが対応済みと思い込みながら、エンドポイントに注ぐほどの丁寧さで設計することがほとんどない領域です。
インテリジェンスが導くのは予算よりも日々の業務
脅威インテリジェンスはSOCにおいて標準的な存在となっています。ほとんどのチームがインシデントレスポンス、脅威ハンティング、日々の防御にそれを活用しています。しかし、翌年度の投資判断に活かしているのは、一部のチームにとどまっています。
インテリジェンスは、どの脅威が活発で、攻撃者がどの資産を狙っているかを組織に示します。その情報こそ、予算交渉の場に持ち込まれるべきものです。しかし多くのチームは、インテリジェンスをアナリストのデスクにとどめたまま、年間支出をベンダーの提案書や過去のパターンから決めています。長期的に見れば、投資に一切反映されないインテリジェンスはリーダーシップ層での存在感を失い、単に容認されるだけのコストセンターへと落ち着いてしまいます。
10年間のデータが示す大きなメッセージは一貫しています。SOCは変化を、自分たちのペースと条件に合わせて、着実に吸収します。AIはそのリズムが許す以上の速さで到来しており、セキュリティオペレーションを統制する仕組みが、管理を求められるツールに追いついていけるかどうか、今後数年が試練の時となるでしょう。
翻訳元: https://www.helpnetsecurity.com/2026/06/17/sans-ai-in-the-soc/
