長年にわたり、セキュリティチームはコストの安さ・一貫性・高品質のいずれかを選ばざるを得ませんでした。しかし今、AIがその三つを同時に実現しようとしています。
セキュリティ運用を長年支配してきたシンプルなフレームワークがあります。私はそれを「SOCトライアングル」と呼んでいます。品質・一貫性・コスト効率、この三つのバランスです。
すべてのSOCはこのトライアングルの中で動いています。調査の質を高め、より深い分析・豊富なコンテキスト・見落としの少ない検知を実現しようとすれば、時間と専門知識というコストを支払うことになります。あらゆるアラートに一貫したワークフローを適用しようとすれば、現実の複雑さや状況のニュアンスに対応するための柔軟性が失われます。コスト効率を追求すれば、その歪みはすぐに品質と一貫性の両方に現れます。
長年にわたり、SOCトライアングルはセキュリティチームの構造と運用パフォーマンスを規定してきました。だからこそ組織は成果向上のために人員を増やし、変動を減らしてスケールさせるために厳格なプレイブックに頼り、それでも理論上の最高水準には到達できず、セキュリティ品質とサービス品質の最適化に苦労し続けているのです。
この制約は、戦略上の失敗ではありません。構造的な問題です。そして最近まで、それはほぼ避けようのないものでした。
SOCがこのように設計されてきた理由
多くのセキュリティオペレーションセンターは、人間によるルーティングシステムとして設計されています。アラートが取り込まれ、トリアージされ、エスカレーションされ、複数の階層にいるアナリストによって解決されます。証拠の収集・シグナルの相関分析・意思決定といった重要なステップはすべて、人間のキャパシティに依存しています。
この依存関係が、ばらつきを生み出します。同じアラートを見ても、二人のアナリストは経験・疲労・時間的プレッシャーという要因に左右され、異なるアプローチをとることがあります。一貫性を高めようと、組織はプレイブックやワークフローを導入します。しかしこうした管理策は、特に複雑なケースでは柔軟性を損ないがちです。また、非構造化されたコンテキストに基づく意思決定や、最善の行動方針を判断するためのリアルタイムな推論が求められる場面では、ワークフローが完全には機能しないことも少なくありません。
同時に、品質か一貫性のどちらかをスケールさせようとすれば、通常はより多くの人員が必要となり、コスト効率が下がります。
これがSOCトライアングルの現実です。ある次元を改善しようとすると、必ず別の次元に摩擦が生じるシステムです。
マネージド・ディテクション&レスポンス(MDR)市場が存在するのも、この制約と無関係ではありません。組織が自社内でトライアングルを解決できなくなると、外部委託という選択肢をとります。しかしサービスモデルはトレードオフを消し去りません。それをプロバイダー側に移転するだけです。同じ人間ルーティング型アーキテクチャ・同じプレイブック・同じ採用経済が、同じ限界をもたらします。顧客は一貫性と予測可能性にお金を払い、それは手に入ります。しかし、リソースが制約でなければ本来期待したいはずの調査の深さや、自社のビジネスコンテキスト・セキュリティプログラム成熟度の目標に合わせた環境カスタマイゼーションは、なかなか得られません。
モデルが崩れ始める場所
問題はトレードオフが存在することだけではありません。その深刻さが増していることも問題です。
現代のSOCは、より多くのツールと環境にまたがって、より大量のアラートを処理しなければなりません。アイデンティティシステム・エンドポイント・クラウドプラットフォーム・脅威インテリジェンスにわたって証拠を収集・相関させる作業は、反復的であると同時に、高い認知負荷を伴います。
このプレッシャーの下で、トライアングルはさらに締め付けられます。
アナリストがすべてのシグナルを徹底的に調査する時間を持てないため品質が低下し、厳格な自動化プレイブックはセキュリティリーダーが期待する深さや細かいニュアンスを捉えきれず、エンドユーザーへの余計な摩擦を生みます。時間的制約の中で意思決定が行われるため、一貫性も損なわれます。そしてコストは上昇します。補うためには人員を増やすか、リスクを受け入れるしかないからです。
これは、SOC運用を外部委託している組織にとって特に深刻です。サービスの経済モデルがトレードオフを固定してしまいます。アラート単位の課金モデルは、各シグナルへの調査量を制限します。標準化されたプレイブックは、特定の環境へのカスタマイゼーション余地を狭めます。ティア構造が存在するのは、人間がアラートを調査するという数理的構造上、それが必要だからです。こうした仕組みはいずれも、トライアングルへの合理的な対処です。しかしどれも、トライアングルの形そのものを、そしてその根本的な制約を変えることはできません。
長年にわたり、これはビジネスを行う上でのコストとして受け入れられてきました。それが自社運用であれ、外部委託であれ。
AIが制約を変える方法
AIはよく効率化のツールとして語られます。しかしより本質的な変化は、特定のSOCワークフローの実行方法そのものが変わる点にあります。
SOCの業務の多くは、一定のパターンに従っています。データを収集し、シグナルを相関させ、追加の問いを立て、結論を導く。これらのワークフローは複雑ですが、反復可能です。専門知識と同じくらい、一貫性とスケールが求められます。
これらのワークフローが人間のキャパシティという制約から解放されたとき、SOCトライアングルは形を変え始めます。
品質が向上します。調査においてより意味のあるデータを取り込み、リアルタイムで推論を適用し、近道を使わずに非構造化情報やビジネス固有のコンテキストを考慮に入れることができるからです。一貫性が向上します。同じロジックがすべてのアラートに適用されるからです。コスト効率が向上します。スケールアップが人員の線形増加に依存しなくなるからです。
今日、私はこれが本番環境で実現されているのを目の当たりにしています。かつてTier 1・Tier 2アナリストのシフトの大半を費やしていた調査が、今では数分で解決されます。しかもそれは、同じ時間枠で人間のプロセスが生み出せる以上の深いコンテキストを伴っています。同じ厳密さが、注目を集めた数件の話題のアラートだけでなく、すべてのアラートに適用されます。一部の案件に深く取り組むか、多くの案件を浅く処理するかという選択は、もはやセキュリティリーダーが迫られるトレードオフではなくなりつつあります。
これらの次元が、初めて厳密な対立関係を脱しようとしています。
トレードオフから拡張へ
これはSOCトライアングルをなくすわけではありません。それを拡張するのです。
すべてのワークフローが自動化できるわけではなく、すべての意思決定が反復可能なプロセスに還元できるわけでもありません。戦略的な判断・インシデントのリーダーシップ・リスク許容度の設定は、依然として人間の責任であり、ビジネス上の意思決定です。
しかし、SOCチームが活動する境界線は、もはや旧来の制約に縛られていません。
品質・一貫性・コストの三つから一つを選ぶのではなく、機械による実行に最も適した種類の業務においては、組織は三つすべてを同時に向上させ始めることができます。それが自社のSOC内で起きるのか、それを運用するパートナーとのサービス関係の中で起きるのかを問わず、これは意義深い変化です。
最も影響が大きい領域
影響が最も顕著なのは、パフォーマンスのギャップが最も大きかった大量処理ワークフローです。具体的には、アラートのトリアージと情報付加・初期調査と証拠収集・システムをまたいだ相関分析・定型的なレスポンス推奨がその対象です。これらは、人間主導のプロセスが最も多くの変動をもたらす領域であり、時間的プレッシャーが品質を最も劣化させる領域であり、スケールコストが最も可視化される領域でもあります。そしてこれまで歴史的に、トレードオフが避けられなかった領域でもあります。
人間の役割の進化
AIは人間の専門知識を不要にするわけではありません。その専門知識が発揮される場所を変えるのです。
機械が反復的な業務を担うようになると、人間の力はより高付加価値な活動へとシフトします。曖昧なシグナルの解釈・複雑なインシデントの管理・ポリシーの策定・リスクに基づく意思決定がその典型です。運用モデルは、人間が実行するワークフローから、人間が統治するシステムへと移行します。
それは、自社内であれ外部委託であれ、セキュリティ運用に何を期待すべきかを変えます。「先週何件のアラートをクローズしましたか」という会話が、「私の環境でどのようなパターンが見えていますか?そして何をすべきですか?」へと変わります。アウトプットはスループットではなく、判断力です。これは、多くのセキュリティチームがこれまで購入してきたものとは異なるプロダクトであり、多くのMDRプロバイダーがこれまで販売してきたものとは異なるサービスです。
重要なシフト
長年にわたり、SOCリーダーはトライアングルを固定された制約として受け入れてきました。今変わりつつあるのは、ツールだけではありません。セキュリティ業務が遂行される経済構造そのものです。
トライアングルは依然として存在します。しかしそれは、もはや厳格なトレードオフの集合を規定するものではありません。SOCの一部と、それを支えるサービスにおいて、そのトレードオフは緩み始めています。
制約が長らく結果を左右してきたこの分野において、このシフトは大きな意味を持ちます。
本記事はFoundry Expert Contributor Networkの一環として掲載されています。
参加をご希望の方はこちら
