出典: Geber86(iStock Photoより)
人工知能(AI)は、セキュリティチームが期待していた通りの働きをしている。つまり、長年ジュニアアナリストを疲弊させてきた反復的で価値の低い作業を排除しているのだ。しかし、この問題を解決することで、長期的な影響をもたらす新たな問題を生み出している可能性がある。
ログレビュー、アラートのトリアージ、ドリフト検知、基本的な調査。これらの作業は、何世代にもわたるディフェンダーがサイバーセキュリティの技術を学ぶ方法であり、直感やパターン認識、そして危機の際にシニアリーダーが頼る「筋肉記憶」を築く手段だった。今やAIがその単調な作業を担うことで、組織は基礎的な専門知識の育成を犠牲にして効率化を加速させるリスクがあると指摘する声もある。
その結果、パラドックスが生じている。AIは今日のアナリストをレベルアップさせている一方で、明日のリーダーたちには必要な実践経験が残らないかもしれない。VisaのCISOであるSubra Kumaraswamy氏は、AIが反復作業を担っても、チームは依然として「防御の技術と芸術」を学ぶ必要があると指摘する。
これにより、セキュリティリーダーが直面する戦略的な問いが浮上する。自動化が単純作業を引き受けるなら、次世代のディフェンダーは誰が育てるのか?
見習い層が失われつつある
この懸念はセキュリティ分野に限ったものではない。 最近の「60 Minutes」のインタビューで、AnthropicのCEOであるDario Amodei氏は、AIが「多くのエントリーレベルのホワイトカラー職を消し去る」可能性があると警告した。これらの職種こそが、従来は将来の専門家を育ててきたのだ。
「すでにエントリーレベルの職種が減少しているのを目にしています」と、リクルーターCyberSNの創業者Deidre Diamond氏は語る。「以前なら5人採用していたところが、今は2人、多くても3人です。自動化やAIによって、これらの職種がすべて消滅するのも時間の問題でしょう。」
今年初めのISC2の調査によると、サイバーセキュリティ専門家の52%が、AIによってエントリーレベルの人材の必要性が減ると考えているが、31%は、これらの減少を補う新たなエントリーおよびジュニアレベルの職種が生まれるとも考えている。
効率化の恩恵は歓迎されるものの、Diamond氏はリスクは基礎的なスキルだけにとどまらないと警告する。
「私が懸念するギャップは、技術的なものだけではありません。文化的、戦略的なものも含まれます」と彼女は言う。
ログレビューやアラートのトリアージのような反復作業こそが、アナリストが「正常」と「異常」を学ぶ方法だ。この経験がなければ、「将来のリーダーは、システムやデータフロー、攻撃者の行動パターンについての直感的な理解を欠き、危機時に迅速かつ的確な判断を下せなくなるかもしれません」とDiamond氏は語る。
また、組織は「自家製」人材のプールが縮小し、初期キャリアのアナリストが反復と経験によってしか身につかないパターン認識を得る機会が減る可能性もある。
AIはノイズを取り除くが、判断力の必要性は消えない
GuidePoint SecurityのCISOであるGary Brickhouse氏は、この変化を異なる視点で捉えている。彼の見解では、AIは本質的な学びを奪うのではなく、それを加速させているという。
「AIはノイズを取り除きます」と彼は言う。「私たちが持っている人材の能力を引き上げるのです。才能を置き換えるわけではありません。」
何百万ものログを眺めて異常を探す代わりに、ジュニアアナリストは調査の結果をより早く目にし、キャリア初期からより価値の高い思考に集中できるようになるとBrickhouse氏は付け加える。
「エントリーレベルの視点から見ると、AIはノイズを取り除くことで仕事を楽にしてくれます」と彼は言う。「今は結果に目を向けることができるのです。」
Brickhouse氏はまた、AIが教育エンジンになると見ている。
「彼らはAIに『ねえ、君はこれを特定したけど、なぜそうしたの?』と尋ねることができます」と彼は言う。「これによって、より早く一人前になれると思います。」
それでも、エントリーレベルのキャリアパスを成り行き任せにしてはいけないと彼は警告する。
「今、どのようなキャリアパスが正しいのか、意識的に考える必要があります」と彼は言う。
単純作業を意図的な実践に置き換える
Visaではすでに、初期キャリアのアナリストの学び方を再設計したとKumaraswamy氏は語る。そのモデルは「経験」「露出」「教育」の3本柱で構成され、好奇心が中核的な資質とされている。
「私は『経験』がアナリストの成長に最も影響を与えると信じています」と彼は言う。
その経験を生み出すため、Visaはアナリストにハッカソン、CISOチャレンジ、予防・検知・対応を横断する意図的なローテーションなど、実践的な機会を提供している。また「90/10モデル」を活用し、チームメンバーが自分の専門領域以外で10~20%の時間を専門家と共に過ごす。目的はクロスポリネーション(知識の相互伝播)であり、検知アナリストが予防の視点を得たり、レスポンダーが未知の技術を直接体験したりすることだ。
シミュレーションされたサイバー演習場やテーブルトップ演習も同様に重要だ。これらの環境は「アラートのトリアージ、パッチ適用、ログレビュー、インシデント対応を大規模に繰り返す」ことができ、ジュニアスタッフがより早く能力を身につけるのに役立つとDiamond氏は語る。
Kumaraswamy氏も同じ哲学を説明する。攻撃と防御を組み合わせることで、アナリストは攻撃者がコントロールを回避する方法や、防御側がギャップを埋める方法を学ぶ。演習や実際のインシデントのたびに、Visaのチームは何を見逃したか、なぜ見逃したかを分析し、すべての出来事を新たなプレイブックやターゲットを絞った演習に変換している。
新たなエントリーレベルの役割:席は減り、複雑さは増す
Diamond氏は、ジュニアの役割が変革すると考えている。これまでシニアアナリストのためにノイズを除去していた役割が、今後は早い段階から複雑な業務に携わり、自動化と共に働くことになるだろう。
「『ジュニア』は依然として存在しますが、その数は減るでしょう」と彼女は言う。
Diamond氏は、次の3つの分野が急速に重要性を増すと見ている:
-
自動化の監督: AI/機械学習の判断を検証し、ツールをチューニングする。
-
脅威ハンティングと異常検知: より価値の高い調査を早期に実施する。
-
分野横断的な業務: クラウド、アイデンティティ、ガバナンス、コンプライアンス、プライバシーの向上。
将来のディフェンダーを育てるには、パイプラインのより早い段階から始めることも重要だとBrickhouse氏は付け加える。彼自身の息子が高校で4年間のサイバーセキュリティアカデミーを修了し、「他の新入大学生より2歩先を行っている」と述べている。
AIはセキュリティ分野のキャリア自体を空洞化しているわけではないが、かつて人材を育てていた業務を空洞化している。人材の学び方を再設計せずに自動化を受け入れる組織は、直感や判断力にギャップを抱えた将来のリーダーを生み出すリスクがある。
雇用主は「このイノベーションによる効率化を自らのものとし、意図的にリーダーシップ開発の道筋を作らなければ、優秀な人材を維持できないでしょう」とDiamond氏は語る。
