トライアスリートが最高のパフォーマンスには高価なギア以上のものが必要だと知っているように、サイバーセキュリティチームもAIの成功が導入するツールよりも、それを動かすデータに大きく依存していることに気づき始めています。
サイバーセキュリティにおけるジャンクフード問題#
トライアスリートが機材に惜しみなく投資し—カーボンファイバー製バイク、水の抵抗を減らすウェットスーツ、精密なGPSウォッチ—それなのにトレーニングの燃料が加工スナックやエナジードリンクだったらどうでしょう。どんなに高級なギアを使っても、基礎が根本的に間違っていればパフォーマンスは低下します。トライアスリートは栄養をトレーニングの「第4の種目」と捉え、パフォーマンスに大きな影響を与え、レースの結果さえ左右することを理解しています。
今日のセキュリティオペレーションセンター(SOC)も同様の問題に直面しています。AI搭載の検知システム、自動応答プラットフォーム、機械学習分析など—まるでプロ仕様のトライアスロン機材のような—に多額の投資をしています。しかし、これらの高度なツールを、現代のAIモデルが効果的に機能するために必要な豊かさや文脈を欠いたレガシーデータで動かしているのです。
トライアスリートが水泳・自転車・ランニングをシームレスに連携させる必要があるように、SOCチームも検知・調査・対応を高いレベルでこなさなければなりません。しかし、SOCアナリストにとっての「第4の種目」がなければ、断片的なエンドポイントログやバラバラなアラートストリーム、相互に連携しないデータサイロで作業することになり、まるでポテトチップスとビールだけでトライアスロンを完走しようとするようなものです—どんなにトレーニングや機材が良くても、1位でゴールすることはできません。レース当日に糖分やカロリーを大量に摂取してエネルギーを確保することはできますが、それは持続可能な長期的な方法ではなく、最良のパフォーマンスを引き出す体作りにはなりません。
「私たちはAI革命の第一波を経験しており、今のところ注目はモデルやアプリケーションに集まっています」とCorelightのチーフストラテジーオフィサー、グレッグ・ベル氏は語ります。「それは当然です。サイバー防御への影響は非常に大きいからです。しかし、機械学習や生成AIツールは、消費するデータの質によって制限されるという認識が広がり始めていると思います。」
このような高度なAI能力と時代遅れのデータ基盤とのギャップが、セキュリティ専門家の間で「データ負債」と呼ばれるものを生み出しています—機械学習向けに設計されていない基盤の上にAIシステムを構築することで蓄積されるコストです。
従来のセキュリティデータは、トライアスリートのトレーニング日誌に「今日は走った。まあまあだった」とだけ書かれているようなものです。基本的な情報はありますが、詳細な指標や環境の文脈、パフォーマンスの相関関係がなく、本当の改善にはつながりません。レガシーデータフィードには通常、以下のような特徴があります:
- 断片的なエンドポイントログ:イベントは記録するが、行動の文脈が抜けている
- アラートのみのフィード:何かが起きたことは伝えるが、全体像はわからない
- サイロ化されたデータソース:システムや期間をまたいだ相関ができない
- リアクティブな指標:被害が出てからしか反応せず、過去の視点がない
- 非構造化フォーマット:AIモデルが分析できるようにするには大規模な前処理が必要
敵はすでにパフォーマンス強化済み#
ディフェンダーがAIにとって「栄養不足」なデータで苦戦している一方で、攻撃者はエリートアスリート並みの規律でアプローチを最適化しています。彼らはAIを活用し、これまで以上に迅速・低コスト・高精度な適応型攻撃戦略を生み出しています:
- 偵察やエクスプロイト開発の自動化による攻撃速度の加速
- 攻撃1回あたりのコスト削減、脅威のボリューム増加
- AIで収集したインテリジェンスに基づくアプローチの個別最適化で、より標的を絞った攻撃を実現
- うまくいった戦術の迅速な反復・改善
一方、多くのSOCはこうしたAI強化型脅威に対し、1990年代のトレーニングメニュー—心拍数だけの基本的な情報—で防御しようとしています。競合相手が包括的なパフォーマンス分析や環境センサー、予測モデリングを使っているのに、です。
これによりパフォーマンス格差は拡大します。攻撃者がAI活用で高度化するほど、防御側のデータ品質がますます重要になります。質の低いデータは検知を遅らせるだけでなく、AIセキュリティツールの効果を損ない、巧妙な敵に悪用される死角を生み出します。
AI対応データ:SOCに必要なパフォーマンス強化#
解決策は、AIモデルが本当に効果を発揮するために必要なものを中心に、セキュリティデータアーキテクチャを根本的に再設計することにあります。つまり、レガシーデータフィードから「AI対応」データ—AI分析と自動化のために構造化・強化・最適化された情報—への移行です。
AI対応データは、エリートトライアスリートがトレーニング最適化のために使う包括的なパフォーマンス指標と共通点があります。彼らがパワー出力やケイデンス、環境条件や回復指標まで全てを記録するように、AI対応セキュリティデータも「何が起きたか」だけでなく、その周囲の全文脈を捉えます。
これには、暗号化で証拠が隠れる前に可視性を提供するネットワークテレメトリ、行動パターンを明らかにする包括的なメタデータ、AIモデルが即座に処理できる構造化フォーマットなどが含まれます。これらはAI駆動のセキュリティ運用の3つの重要な要素を支えるために特別に設計されたデータです。
AI駆動の脅威検知は、フォレンジックレベルのネットワーク証拠によって劇的に効果が高まります。これには、オンプレミス、ハイブリッド、マルチクラウド環境全体での完全な文脈とリアルタイム収集が含まれ、AIモデルが従来のログ形式では見えない微妙なパターンや異常を特定できるようになります。
AIワークフローは、AI駆動のペイロード分析、履歴文脈、セッションレベルの要約で強化された専門家作成のプロセスを提供し、アナリストの体験を変革します。これは、世界トップクラスのコーチが即座にパフォーマンスデータを分析し、具体的かつ実践的なアドバイスを与えてくれるようなものです。
AI対応エコシステム統合により、AI対応データはSIEM、SOARプラットフォーム、XDRシステム、データレイクなど既存のSOCツールにシームレスに流れ込み、カスタム統合やフォーマット変換を必要としません。アナリストの武器庫のほぼすべてのツールと自動的に互換性があります。
優れたデータの複利効果#
AI対応データへの移行は、セキュリティ運用全体に複利的な効果をもたらします。チームは、従来のツールが見逃していたクラウドネイティブ脅威への対応に不可欠な、エフェメラルなクラウド環境での異常なアクセスパターンや権限昇格を相関させることができます。新種・回避型・ゼロデイ脅威へのカバレッジも拡大し、新たな検知の開発も迅速化します。
おそらく最も重要なのは、アナリストが生ログを解析せずともインシデントのタイムラインを迅速に把握でき、ホストやセッションを横断した疑わしい行動の平易な要約を得て、なぜそのインシデントが重要なのか明確な根拠とともに優先アラートに集中できることです。
「高品質で文脈豊かなデータこそが、AIがその真価を発揮するための“クリーンな燃料”です」とベル氏は付け加えます。「質の低いデータに飢えたモデルは、必ずや期待外れに終わるでしょう。AIによる攻撃・防御が標準となる時代、成功する組織はこの根本的な真実を理解しているはずです。AIセキュリティの世界では、あなたは“食べたものでできている”のです。」
すべてのSOCが下すべきトレーニングの決断#
AIが攻撃・防御の両方で標準となる今、AI駆動のセキュリティツールは適切なデータなしには本来の力を発揮できません。レガシーデータを与え続ける組織は、次世代技術への多額の投資が高度化する脅威に対して期待外れに終わるリスクがあります。これは既存のセキュリティ投資を置き換える話ではなく、それらに高品質な燃料を供給し、本来の約束を実現させることだと認識する組織こそが、AIの競争優位を手にできるでしょう。
AI強化型脅威との激化する戦いにおいて、最高のパフォーマンスは本当に「何をエンジンに与えるか」から始まります。
主要なLLMがすでに学習している業界標準のセキュリティデータモデルについての詳細は、www.corelight.comをご覧ください。Corelightは、SOCワークフローを支え、検知を推進し、SOCエコシステム全体を可能にするフォレンジックレベルのテレメトリを提供しています。
翻訳元: https://thehackernews.com/2025/08/you-are-what-you-eat-why-your-ai.html