AIがどのように脅威検知を変えているか

人工知能は、セキュリティチームが膨大なセキュリティデータを分析し、悪意のある活動の微妙な兆候を明らかにし、従来のツールや人間のアナリストだけでは検出できない潜在的な攻撃をより迅速に識別するのに役立つことで、サイバー脅威の検出と追跡の方法を急速に変えています。

調査会社ガートナーは、2028年までに脅威検知、調査、対応（TDIR）プラットフォームの50%が、EDR、XDR、SIEM、SOARなどの技術を含む、エージェント型AI機能を組み込むようになると予想しており、2024年の10%未満から増加する見通しです。同社は、AIが組織の脅威検知、インシデント対応、被害の封じ込めを強化するのに役立つ可能性があり、同時にセキュリティチームが継続的なスキル不足を解消し、稀なサイバーセキュリティ人材への依存を減らすのに役立つ可能性があると述べています。

スケールの問題

セキュリティ専門家によると、脅威検知におけるAIの影響の多くは、人間のチームが管理することが難しい、あるいは不可能であるとさえ思われるスケール規模でテレメトリーを処理する能力と関連しています。

現代のIT環境は、エンドポイント、ネットワーク、クラウドサービス、アイデンティティシステム全体で毎日数十億のログとイベントを生成できます。機械学習モデルは、これらのシグナルをほぼリアルタイムで関連付けることができ、異常なログインパターン、疑わしい横展開、またはデータ流出の試みなど、ノイズの中に埋もれるかもしれない行動異常を特定できます。

多くのエンタープライズセキュリティチームは、このような機能が検知能力を大幅に強化することを期待しています。AnvilogicがSANS Instituteと共同で実施した2025年調査では、回答者の45%が自社組織がすでにAIを脅威検知ワークフローに統合していると答え、88%が検知エンジニアリングが今後3年以内に重要な役割を果たすと信じています。

Accentureのシニア技術セキュリティアーキテクトであるMartin Sordillaは、組織はすでにAIを使用して、従来はTier 1およびTier 2アナリストが担当していた多くのルーチンタスクを自動化していると述べています。この作業の多くは、ログのレビュー、アラートの分類、侵害の兆候の特定、イベントの関連付け、調査中のシステム所有者への連絡を含みます。AIはこれらのプロセスを大幅に加速できます。アラート分類、ドキュメンテーション、証拠収集、証拠保全追跡などのタスクを自動化できると彼は付け加えています。

Sordillaは、組織はすでに下位層のSOCタスクで約40～50%の効率向上を見ており、人間のアナリストがより高度な調査に焦点を当て、対応活動を実施することができると述べています。

アラート疲労の軽減

Black Duckの最高商品・技術責任者であるDipto Chakravartyは、アラート分類においてAIエージェントがアラートパターンをクラスタリングしてリスクベースの優先順位付けを可能にすることで、アラート疲労を軽減していると付け加えています。

例えば、自然言語処理エージェントはスケール規模で脅威アラートを要約し、CVE.orgやCISA KEVカタログなどの脅威インテリジェンスフィードと関連付けることができると彼は述べています。

「一般的なインシデント対応ワークフローはAIエージェントの恩恵を受けるもののひとつで、一般的なインシデント向けの自動プレイブックの価値が見られるところです」と彼は述べています。

AIエージェントは、無数のソースから脅威インテリジェンスを取得・関連付けし、CVEデータなどの付加価値のあるコンテキストでアラートを充実させることで、スケール規模で脅威インテリジェンスの充実に役割を果たしています。

Databeeの最高経営責任者であるNicole Bucalaは、「AIエージェントは今日、アナリストが自然言語で質問できるようにすることで、組織化および正規化されたデータセットから洞察の導出を効果的に加速させることができます」と述べています。彼らは、このタスクに通常必要な専門的なクエリ、分析ダッシュボード、または手動分析の必要性を排除します。

AI対応検知プラットフォームは、信頼度の低い警告で分析者を氾濫させる代わりに、アラートをスコアリングして関連付け、関連したアクティビティを高忠実度インシデントにグループ化し、ルーチンまたは無害な動作をフィルタリングできます。ベンダーとアナリストによると、その結果はアラート疲労の削減と、アナリストワークフローの手動分類から深い調査と対応へのシフトです。

Ontinueの最高セキュリティ責任者であるCraig Jonesは、「AIは、生のノイズを証拠に裏付けられた、より速く、より信頼度の高い決定に変えることで、SOCが『活動劇』から逃れるのを支援しています」と述べています。

Jonesは、SOCの疲弊は現実的な懸念事項であると述べています。業界でこの最大の要因は、アラート量、断片化、および曖昧性であり、これらの圧力はスケール規模で運用されているどのチームにも存在します。彼は、アナリストはしばしば信号が低い高アラート負荷で多くの時間を費やし、その後、調査の基本を組み立てるために複数のツール間でコンテキストスイッチを行う必要があると述べています。

脅威をより早く封じ込める

Jonesは、AIによる真の成果はより多くのアラートを処理したり、より多くのチケットをクローズしたりすることではなく、より少ない間違いで実際の脅威をより早く封じ込めることであると述べています。

「AIが弱いシグナルを一貫性のあるインシデントに関連付け、調査を自動的に充実させ、明確なガードレール内で安全な次のアクションを推奨するために使用される場合、努力の測定を停止し、結果の証明を開始します」と彼は説明しています。

セキュリティ専門家は、AIがセキュリティチームで必要なスキルを変えることを期待しています。Accentureの Sordillaは、AIはジョブを排除するのではなく、セキュリティチームがルーチンタスクを自動化し、役割をエンジニアリングとシステム設計にシフトするのに役立つと述べています。従来のSOCアナリスト役（手動ログレビューに大きく焦点を当てている）は、回復力のあるシステム、自動化パイプライン、AIアシスト防御の構築に焦点を当てたセキュリティエンジニアリング役に進化する可能性があります。

初期データは、検知エンジニアリングにAIを展開した組織が測定可能な利益を見ていることを示しています。3,466人のシニアリーダーを対象としたGoogle調査では、エージェント型AIの初期採用者の約7割（67%）が、セキュリティ体制にプラスの影響を与えていると報告しました。このグループのうち、85%がAIが脅威を特定する能力を改善したと述べています。Googleが指摘したように、AIの初期採用者は、効率の面だけでなく、有効性の面でも定量化可能な利益を見ています。

同時に、専門家はAI駆動の検知は銀の弾丸ではないと注意しています。対抗者はますますAI自体を試験的に使用しており、より説得力のあるフィッシング キャンペーンを生成し、偵察を自動化し、またはマルウェアを変更してシグネチャベースの防御を回避しています。このダイナミクスは、防御側にAIを単なる別のセキュリティツールとしてではなく、人間の専門知識、脅威インテリジェンス、機械学習が一緒に機能する必要があるセキュリティ運用のより広い進化の一部として扱うよう促しています。

Acalvioの最高経営責任者であるRam Varadarajanは、「サイバー攻撃は機械速度で産業化されています。我々は同様に対応する必要があります。」と述べています。

フィッシング メールの分類、大規模なネットワーク ログを行動異常について分析し、AI対応のサイバー迷彩配置、侵害されたエンドポイントを自動的に隔離して横展開を防止するなど、大量の技術タスクを処理できる防御的AIの実装が必要であると彼は述べています。

「機械速度のAI攻撃者の場合、人間は決して追い付くことができず、これらの複雑なAI攻撃がスケール規模で発動されることになる」と彼は述べています。

AIを正しく実装する

脅威検知でAIから最大の価値を得るための鍵は、人間の関与を確保することです。Databeeの Bucalaによると、これらの洞察に基づく脅威検知または結果として得られた改善アクション、特にビジネス運用に非自明な結果をもたらすもののいずれかは、少なくとも人間の監視下に置く必要があります。

「ループ内の人間はマントラです」と彼女は言っています。「機械による決定の誤差の余幅がほぼゼロでない限り、完全な自動化を通じて発生する可能性のある多くのビジネスリスクがあります。」

AIは脅威検知で有望さを示していますが、改善が必要です。組織のベストプラクティスは、人間の検証を含むプロセスを確立し、AI要約結果と決定をスポットチェックするための適切な詳細と文脈に注意を払う人間を持つことです。Bucalaは述べています。

Accentureの Sordillaは、AIは基本的なセキュリティ衛生の代替ではないと付け加えています。組織がすでに弱いセキュリティプラクティスを持っている場合、AIは単に既存の問題を加速させるかもしれません。したがって、企業は、AIをセキュリティプログラムに追加する前に、まずNIST および国際標準化機構(ISO)のフレームワークで説明されているものなどの強力なガバナンス、明確なセキュリティ標準、成熟したプロセスを備えていることを確認する必要があります。

「AIは力の乗数です」と Sordilla は述べています。「AIを誤って展開することで、会社が間違った方向に向かっている場合、より速くドレインダウンしています」と彼は注意しています。