アラートのトリアージや基本的な調査といったTier 1アナリストの業務は消えつつありますが、急成長する役割も存在します。キャリアを再構築中の方にも、SOCのスキルを刷新しようとしている方にも役立つ、注目の候補職種をご紹介します。
AIが人々の仕事を奪うという恐ろしい予測は、長年にわたって語られてきました。実際、すでにその現象は起きています。しかしそれは、テクノロジーの進歩が牽引してきたあらゆる労働トレンドと同様に、新たな雇用とスキルの需要が生まれないことを意味するわけではありません。
セキュリティオペレーションを例に挙げてみましょう。歴史的に、セキュリティオペレーションセンター(SOC)は3層のアナリストモデルに基づいて構築されてきました。Tier 1アナリストは若手要員で、活動を監視してアラートをトリアージする役割を担っていました。その仕事はしばしば「eyes-on-glass(画面に目を凝らす)」と表現され、ノイズの中からシグナルを見つけ出す作業でした。Tier 2アナリストは、Tier 1チームが怪しいと判断した(大量の)アラートの調査を専門としていました。本当に疑わしいものや悪意あるものが発見された場合は、修復措置を講じるか、ITチームなどと連携してインシデント対応にあたっていました。そしてTier 3アナリストは最も上級の人材で、主にスレットハンティングとエンジニアリングに従事していました。ハンティング以外にも、詳細なフォレンジック調査、コントロールのチューニング、検知エンジニアリングなども担当していました。
2026年現在、AI-SOC(エージェント型SOC、自律型SOC、人間が補強するAI-SOCなどとも呼ばれます)は存在するだけでなく、急速に成熟しつつあります。最新の集計では、このマーケットへの参入を主張するベンダーは120社を超えています。
現時点では、AI-SOCの機能は自律的なアラートトリアージと基本的な調査に集中しています。不審なログインやEDRアラートなど、何か異常が見受けられると、エージェントがさまざまなツールを呼び出してアラートを充実させ、活動のタイムラインを作成し、信頼スコアを生成し、修復手順の提案まで行います。まさに効率的なTier 1アナリストと言えるでしょう。
近い将来、AI-SOCは自動修復機能によってTier 2アナリストの業務にも踏み込んでいくでしょう。また、エージェントスウォーム(群れ)は検知、調査、修復、さらにはシステムチューニングといった専門的な役割を担うようになります。スレットハンティングや継続的なポスチャ管理のためのエージェントを提案するベンダーも登場しています。
まだ多くのイノベーション、開発、実環境でのテストが必要ですが、エージェントがより多くの重要な作業を担うようになることは明らかです。では、人間はどこに位置づけられるのでしょうか?以下に、サイバーセキュリティの専門スキルが求められ、高い需要が見込まれるいくつかの役割をご紹介します。
セキュリティデータエンジニア
AIエージェントが価値を発揮するためには、適切なデータへの継続的なアクセスが不可欠です。これには、基本的なSIEMパーサーやAPIコネクタの域を超えることが求められます。セキュリティデータエンジニアは、脅威インテリジェンス、アイデンティティとアクセス管理(IAM)、クラウドログ、エンドポイント・ネットワーク・アプリケーションのテレメトリ、ビジネスコンテキスト、サードパーティのアクセスパターンなど、あらゆるデータを熟知している必要があります。
これらすべてのデータは、マルチモーダルな取り込みをサポートする統合データレイヤーに収められなければなりません。そのためには、多様なアセット、クラウドインフラ、SaaSアプリケーション、アイデンティティプロバイダーからの、コンテキスト豊富で正規化された高品質なロギングを確保するため、大規模なデータパイプラインを管理する必要があります。
理想的には、セキュリティデータエンジニアが Open Cybersecurity Schema Framework(OCSF)などの標準規格を活用し、現在の混乱した多様なデータフォーマットとAPIを、統一された一貫性のあるデータレイヤーへと変換していくことが期待されます。
AIセキュリティエージェントオーケストレーター
エージェントベースのソリューションがスウォームへと増殖するにつれ、オーケストラの指揮者のような役割を担う人材が必要になります。これには、境界とガードレールの定義、メモリ永続化の確立、自律的な行動をとれるエージェントと依然として人間の関与が必要な活動の判断など、マルチエージェントシステムを構築する方法の理解が求められます。
技術的なエージェント知識に加え、AIセキュリティエージェントオーケストレーターは、ビジネス中心のAIアプリケーションとワークフローへの深い理解と、それらが最新の脅威インテリジェンスとどう関連するかの把握も必要です。
AIモデルトレーナー
「セットして終わり」ではなく、セキュリティオペレーション向けのAIモデルには、脅威、業界、ビジネスプロセスに基づいた各組織固有のコンテキストに合わせた継続的な更新が求められます。
AIモデルトレーナーは、ローカルの脅威インテリジェンス、アセットの重要度マップ、新しいアイデンティティ、内部ネットワークのアーキテクチャ変更でモデルを更新するために、検索拡張生成(RAG)を巧みに扱えるようになる必要があります。また、正確で最適化された結果を確保するためのデータセットのファインチューニングにも精通していなければなりません。
AI支援型スレットハンター
AIエージェントを活用することで、スレットハンティングは断続的な活動から継続的な活動へと進化します。これは、新しい侵害指標(IoC)といったサイバー脅威インテリジェンス(CTI)の更新トリガーを超えて、MITREのATT&CKフレームワーク全体を通じたキャンペーンとTTPにわたる攻撃者の行動知識に焦点を当てることを意味します。
近い将来、エージェントが基本的な作業を担い、AI支援型スレットハンターは自身の経験を活かして、標準的な検知ロジックでは見逃す可能性が高い、非常に高度で独創的かつ複雑な攻撃シナリオを考案するようになります。そしてハンターはAIを活用して、膨大なデータセットに対して複雑なクエリを瞬時に作成します。目標は、ファイルハッシュやIoCといった単純な攻撃者の手口ではなく、機密データの窃取やデータ暗号化など、攻撃者の「意図」を追い求めることです。
AI精通型レッドチーミング/ペネトレーションテスター
AIがエンタープライズ、SaaSアプリケーション、サードパーティ全体に広がるにつれ、組織はソフトウェアサプライチェーン全体のエンタープライズAIインフラとアプリケーションの弱点やギャップを発見する、新世代のレッドチーマーを必要とするようになります。
これを実現するために、AI精通型レッドチームやペネトレーションテスターは、AIが実現した新しいタイプのセキュリティ防御を回避するスキルセットと知識を備えている必要があります。セキュリティコントロールを突破した後は、レッドチーミングやペネトレーションテストの役割は企業の内部AIデプロイメントへの攻撃へと移行し、データポイズニング、プロンプトインジェクションの脆弱性、さまざまなAIモデルの構築とファインチューニングに使用される基盤データストアへの不正アクセスなどをテストします。
よく言われるように、「AIがあなたの仕事を奪うのではなく、AIを上手に活用する人があなたの仕事を奪う」のです。この論理に従い、スキルに投資し、上記のような職種を目指すサイバーセキュリティの専門家は、職業的に成功し、経済的に豊かになり、組織にとって非常に価値ある人材となるでしょう。
