AIがサイバーセキュリティ運用を再構築する方法

生成AIは、企業において広く普及したツールとなっています。

ボストンコンサルティンググループの最近の調査によると、50%の組織がワークフローの再設計にAIを活用しており、回答者の77%が、今後3～5年でAIエージェントが企業機能に不可欠になると考えています。

人工知能の力をよく知るCISOやそのセキュリティチームも、AIの進化による影響を他の部門と同様に受けています。

機械学習は長年サイバー運用の重要な要素でしたが、最近のAIの進歩、特に生成AIの進化により、テクノロジーはサイバー運用のより深い部分にまで広がっています。これらのツールは、一部は自社開発、他はベンダー提供のもので、フォレンジック、インシデント対応、ログ分析、オーケストレーション、脆弱性管理、レポート作成などに役立っています。

セキュリティプロセスにAIを活用する機会が増えることで、CyberOps（サイバー運用）は変革され、セキュリティ専門家の有効性と生産性が向上し、サイバーセキュリティ業務の進め方が変わりつつあります。

「AIが変えているのはCyberOpsの“何を”ではなく、“どのように”です。特定のオペレーションを実行する速度が変わり、人間はより高度なタスクに集中できるようになっています」と、PwCのCyber & Risk Innovation InstituteのリーダーであるMatt Gorham氏は述べています。

スキルの強化とタスクの自動化

AIは人間の能力を超えるスピードでタスクを実行できるため、サイバーセキュリティ部門がこなせる業務量を飛躍的に拡大できると、SANS InstituteのAIおよび新興脅威の研究責任者であり学部長のRob T. Lee氏は述べています。

さらに、AIは繰り返し作業をほぼ完璧に実行できるため、人間の従業員にはない一貫性を提供できると専門家は指摘します。

「人間は何らかの理由でベストな状態でないと結果がばらつくことがありますが、AIは同じことを繰り返し実行する決定論的なアプローチを持っているため、出力の一貫性は人間よりもはるかに優れており、予測可能です」と、EYの米国およびグローバルサイバーCTOであるDan Mellen氏は述べています。

しかし、AIはセキュリティチームのスピードや規模を高めるだけでなく、スキルレベルの向上にも貢献できると、IANS Researchの教員であり、Microsoftの金融サービス向けサイバーセキュリティアドバイザー、元コネチカット州CISOのJeffrey Brown氏は主張します。

「AIは防御のためのフォースマルチプライヤー（戦力倍増装置）であり、2つの面で力を発揮します。ジュニアスタッフの知識を大きく引き上げ、より早く成長させるとともに、シニアスタッフの効率も高めます。上位層の生産性を再定義するのに役立ちます」と彼は述べています。

たとえば、セキュリティオペレーションセンター（SOC）でのAI活用では、AIがレベル1サポート業務（チケットのトリアージやルーティングなど）の多く、場合によってはすべてを担い、SOCスタッフはレベル2やレベル3の課題に集中できるようになります。生成AIはまた、人間のSOCスタッフに自動化されたケーススタディや上位タスクのガイダンスを提供し、効率と生産性を向上させます。

AIによる雇用喪失の懸念があるものの、Brown氏は現時点でCISOはAIを従業員の代替ではなく、彼らの活動を強化するために活用していると観察しています。「AIの最も効果的な使い方は、人間がループに残っている場合です」と彼は述べています。

このように、AIはCISOチームがこなせる業務範囲を拡大し、より多くのメンバーがそれを担えるようにしています。たとえば、脅威モデリングへのAI活用により、規模が小さく専門性の低いチームでも、潜在的なセキュリティ脅威の特定・分析・緩和を積極的に行えるようになりました。これはAI導入前にはできなかった業務です。

「一般的に見られるのは、SecOpsチームが今あるリソースでより多くのことをこなし、スキルレベルも向上していることです。業務の質的なシフトアップが見られます」と、IANS Researchの教員であり公共部門CISOのWolfgang Goerlich氏は述べています。

「どれだけの専門家が必要で、どの分野の専門家が必要なのかを考える必要があります」と彼は付け加えます。

たとえば、Brown氏がコネチカット州のCISOだったとき、フィッシング対策専門のスタッフが1人いました。今では、エージェント型AIがフィッシング対応のワークフローの大部分またはすべてを自動で処理できるなら、こうした専門スタッフが必要かどうか疑問に感じているそうです。

AIの導入によって、Brown氏はサイバーチームが小規模化し、専門家も減ると見ています。むしろ「彼らは業務を遂行するAIエージェントのマネージャーになるでしょう」と述べています。

長年続くセキュリティ人材不足と空きポジションのギャップを考えると、Brown氏はそれをネガティブには捉えていません。

ただし、CyberOpsでのAI活用にはセキュリティ専門家が新たなスキルを身につける必要があり、CISOもそうした人材を採用する必要があると認めています。AIガバナンス、プロンプトエンジニアリング、データサイエンスのスキルは、あらゆるレベルのセキュリティ専門家に必須となるでしょう。

「これは非常に大きなパラダイムシフトになるでしょう」と彼は言います。「エージェントと協働できるスキルを持ち、エージェントの答えが正しいかどうかを判断できる人材が必要になります。」

「今後のセキュリティ運用はエージェントの活用が進みますが、人間の直感は代替できません」と彼は述べます。「人間とAIの共生によるパートナーシップを築き、生産性を高めつつ、常に人間がループにいることが重要です。」

ガバナンス、俊敏性、スピードの必要性

企業全体でAIの利用が加速する中、サイバーセキュリティは、AIやその利用データのセキュリティ確保の必要性から、セキュリティ運用も再構築されています。

セキュリティチームはすでにその対応に苦慮しています。

アクセンチュアのState of Cybersecurity Resilience 2025レポートによると、「77%の組織が、データ＆AIセキュリティの基本的な実践の導入で遅れを取っています。生成AI利用に関する明確なポリシーとトレーニングを実施しているのは22%のみで、AIシステムの包括的なインベントリを維持している組織はごくわずかです。これはサプライチェーンリスク管理に不可欠です。さらに、データ保護も不十分で、機密情報の転送時、保存時、処理時の暗号化やアクセス制御を完全に活用している組織は25%にとどまります。」

また、同レポートでは「セキュリティのギャップはクラウドインフラにも及んでいます。AIがクラウドベースの処理に依存しているにもかかわらず、83%の組織は統合された監視・検知・対応機能を備えた安全なクラウド基盤を確立していません」と指摘しています。

同様に、ガートナーは2025年7月のA CISO’s Guide to AI Cyber Stewardshipレポートで「CISOは企業全体のAIセキュリティ確保で遅れを取っている」と述べています。

同レポートはCISOに対し、「リテラシー、ライフサイクルガバナンス、学際的連携、人間による監督、ベースラインコントロール、AI TRiSM（信頼、リスク、セキュリティ管理）に基づくAIサイバースチュワードシップのアプローチを採用・主導し、AI関連のサイバーリスクを管理する」ことを勧めています。

セキュリティリーダーは、CyberOpsがAIガバナンス機能を強化し、自組織が導入するAIエージェントだけでなく、外部組織が自社システムにアクセスしようとする場合にも、オンボーディング、識別、認可を適切に行う能力が必要だと述べています。

「人間の認可と同じように、AIエージェントが許可された範囲を逸脱しないよう、チェック＆バランスが必要です」とMellen氏は述べています。

また、企業で使われるAIのセキュリティ確保において、セキュリティ部門はこれまで以上のスピードが求められています。

「ビジネス変化のスピードが加速し、CISOはそれに追いつく必要があります」とGorham氏は述べます。「そのために必要なスキルも変化します。サイバーセキュリティチームには、プロンプトエンジニアリングやデータサイエンスなどのAIスキルと、従来のサイバーセキュリティスキルの融合が求められるでしょう。」

サイバーチームの再構築

調査会社ガートナーの著名なVPアナリストAvivah Litan氏は、AIは失われる雇用と同じかそれ以上の雇用を生み出し、「人々がより多くのことをより良くできるようになる」と他の専門家同様に考えています。

彼女は、ハッカーがAIを使ってますます高度な攻撃を仕掛けるようになるため、新たなCyberOpsの役割が必要になると指摘します。

「AIは、組織がそうした攻撃により効果的に対抗することを可能にします」と彼女は付け加えます。

とはいえ、CISOはAIと人間の両方を最大限に活用できるよう、運用チームの再考が求められます。

「どこに人間を配置し、どこをAIに任せるのが合理的か、そしてその結果としてチームにそのスキルがなくなることの認知的コストは何かを問う必要があります」とGoerlich CISOは述べます。「セキュリティは長年人手不足でしたから、そこには大きなメリットがあります。しかし一方で、SOCチームがただボタンをクリックするだけの存在になってしまうのは避けたいものです。」

Goerlich氏は、CISOは人材戦略をアップデートし、既存スタッフの育成や将来のポジションに適した新規採用のロードマップを作成する必要があると述べます。将来的にはAIやAIエージェントと協働することになるからです。ただし、セキュリティ運用に不可欠な人間の知性を失わないようにしなければなりません。

これは特に重要です。なぜなら、CISOが知っているように、悪意ある攻撃者もAIを活用しており、彼らは企業の倫理や規制に縛られない分、より速いペースでAIを使いこなしているからです。

敵対者がAIを使ってリアルタイムで変化するマルウェアを生成し、従来のパターンマッチングツールや他のサイバーセキュリティ機能の有効性を低下させている現状を踏まえると、防御側のCISOがAIを効果的に活用する重要性はますます高まっています。

Goerlich氏が指摘するように、「今後のセキュリティ運用はAI対AIになります。マシン対マシンで、人間がコックピットで正しいことが行われているかを監督することになるでしょう。一方で、攻撃側でも同様にAIが使われます。これこそが、私たちがセキュリティ運用のあり方を根本から再考する理由です。」