AIはSOCを引き継いでいません。むしろ、アナリストを「エージェント管理者」に変え、反復的なアラート選別に埋もれるのではなく、自動調査を監督する立場にしています。
今までに、すべてのSOCアナリストがこれを聞いたことがあります:「AIがあなたの仕事を奪いに来ている」。
SOCチームとの会話の中で、それを聞きます。評価の際の躊躇いの中にそれを見ます。そして、ますますそれを抵抗の源として感じます。特に、AIが支援することになっている人々からです。
しかし、現実はその反対です。
Tier 1アナリストの役割を排除するのではなく、AIはそれを昇格させています。反復的なタスクで定義されていた仕事から、判断、監督、意思決定で定義された仕事へと。簡潔に言えば、SOC司令官としてより強力にしています。
仕事はいつもポイントではなかった
何が変わっているかを理解するために、Tier 1アナリストの歴史的な役割について正直に考える必要があります。
典型的なSOCでは、Tier 1アナリストは単一のフィッシングアラートを調査するために20~30分を費やす可能性があります。メールログ、エンドポイントデータ、脅威インテリジェンスツール全体でピボットし、信号を検証し、結果を文書化しています。これは必要な仕事ですが、同時に非常に反復的で時間がかかります。
現代的なセキュリティオペレーションは、人間が合理的に処理できるよりも多くのデータを生成します。単一のアラートを調査するには、アイデンティティシステム、エンドポイントテレメトリ、クラウドログ、脅威インテリジェンスソース全体でピボットすることが必要です。それを1日あたり数百または数千のアラートで乗算すれば、人間の能力と根本的に一致していないワークロードになります。
さらに重要なことに、SOCアナリストはこの種の非人間的な仕事には才能が高すぎます。何年も、私たちはこれをビジネスのコストとして受け入れてきました。AIはその方程式を変えます。
仕事をすることから指示することへ
エージェント型AIがSOCに導入するのは、委任する能力です。
アナリストが手動で証拠を集め、文脈をつなぎ合わせるのではなく、AIエージェントはリアルタイムで調査のステップを自動実行できるようになりました。システムをクエリし、信号を相関させ、証拠チェーンを構築します。これは人間をプロセスから削除しません。プロセス内で昇格させます。
出現しているモデルは、アナリストがエージェントのシステムを管理するものです。各エージェントは調査の一部について責任を持ち、アナリストが各ステップを自分たちで実行するのではなく。人間の役割はオペレータからオーケストレータへとシフトします。
セキュリティリーダーから一貫して聞くのは、「アナリストをより速く動く必要があります」ではなく、「アナリストがデータ収集を停止し、それに基づいて意思決定を開始する必要があります」です。これらは根本的に異なる問題です。そしてそれらの間のギャップは、AIが最も価値を生み出す場所です。
「エージェント管理者」の台頭
ここがTier 1の役割が進化するところです。消える場所ではなく。
この新しいモデルでは、エントリーレベルのアナリストは実質的にAIエージェントの群れを管理しています。彼らは調査をレビューし、結論を検証し、アクションがビジネスコンテキストとリスク許容度と一致していることを確認する責任があります。
彼らはすべてのステップについて「ループ内にいる」わけではありません。彼らは「ループ上にいる」です。タスク実行ではなく、結果を監督しています。
アナリストがループ内にとどまることを強制されるとき、すべての濃縮、すべてのクエリ、すべての中間ステップをチェックすると、ボトルネックになります。ループ上に移動するとき、彼らはスケールで動作でき、正しいレベルの監督で数十または数百の調査をレビューできます。
これはAIの信頼がどのように構築されるかです。人間にすべてを検証するよう求めることではなく、何でも検証する可視性を与えることによってです。
透明性はコントロールプレーンになります。アナリストはAIが何をしたか、どのようにして結論に達したか、不確実性がどこに存在するかを正確に見ることができます。時間が経つにつれて、精度が証明されるにつれて、チームに参加する新しい同僚とそうするように、彼らは自然に信頼レベルを高めます。
サイバーセキュリティが異なる理由
職の喪失への恐れは理解できます。多くの業界では、AIはエントリーレベルの役割の必要性を減らしています。サイバーセキュリティはAIが仕事を減らさない数少ないドメインの1つです。それは私たちがどの程度の仕事ができなかったかを明かすでしょう。
脅威の量と複雑さはチームがスケーリングできるよりも速く増加しています。攻撃者はすでにAIを使用して偵察を自動化し、コードを生成し、悪用を加速させています。防御者はこれを見送る選択肢がありません。
脅威ハンティング、検出エンジニアリング、制御最適化は、チームがアラート選別に消費されたため、歴史的にリソース不足でした。AIがその負担を取り除くとき、アナリストがするように訓練されたことをするための必要な能力を作成します。仕事は縮小しません。正しい仕事が最終的に完了します。
エントリーレベルの才能のための新しいベースライン
このシフトはエントリーレベルのアナリストから何を期待するかも変えます。
歴史的に、Tier 1の役割はアナリストが反復的なタスクを実行することで学ぶ場所として設計されていました。これらのタスクを自動化できるとき、そのモデルはもはや意味をなしません。
ベースラインはAIシステムがどのように動作するかを理解する方向に移動しています。彼らの出力を解釈し、彼らの推論に疑問を持ち、彼らの行動を導きます。人間中心のスキルはより重要になり、少なくなります。好奇心、批判的思考、および異なるシグナルをコヒーレントな物語に接続する能力。これらはAI駆動型SOCの差別化要因です。
私たちはすでに組織がこれらの役割のためにどのように採用するかを再考しているのを見ています。認証情報の強調が少なくなり、誰かが問題をどのように考え、どのように解決するかが増えています。AIが力学を扱うとき、判断が仕事です。
信頼を保つことを構築
将来が非常に明確であれば、なぜ抵抗があるのか。ほとんどの場合、それは信頼に帰結します。そして信頼は、仮定ではなく獲得しなければなりません。
失敗したデプロイメントの私が見たものは共通のパターンを共有しています。組織はAIを自動化なしから完全な自律性への二項シフトとして扱います。それはセキュリティチームがどのように機能するかではなく、それは彼らに働くように求められるべき方法ではありません。
機能するのは進行です。限定された、高信頼のユースケースから始めてください。システムがその結論にどのように到達するかについて完全な透明性を提供します。スコープを拡張する前にアナリストが結果を検証できます。そして批判的に、実践者を部屋に入れてください。実装コンサルタントやプロジェクトマネージャーではなく、SOCシフトを実行し、数千のアラートをトリアージし、困難な方法で信頼を獲得した人々。
これが、デプロイするとき、前のSOCリード、脅威ハンター、検出エンジニアをアナリストチームの直接横に働くために持ってくる理由です。彼らはソフトウェアを設定するためにそこにいるわけではありません。彼らはシステムの信頼を構築するためにそこにいます。彼らはそれを使用している人々からすでに信頼を獲得しているからです。アナリストがこのテクノロジーを展開するのを支援する人々が同じグラインドを生きているのを見るとき、会話は変わります。それは「これは私を置き換えますか?」であることを停止し、「私はこれをどのようによく使うのか」になり始めます。
その方向性のシフト。脅威からツールへ。これは成功したデプロイメントを停止したものから分ける。
信頼ギャップはテクノロジーの問題ではありません。それは人間の問題です。そして、信頼が常に閉じるのと同じ方法で閉じられます。実証されたコンピテンス、共有コンテキスト、時間を通じて。
将来のSOCは人間が主導しています
ここでの最終状態は、人間が関与しない自律SOCではありません。それはAIによって動力を与えられた人間が主導するSOCです。
AIエージェントは、セキュリティオペレーションの労働集約的で証拠集約的な側面を処理します。人間は方向、監督、および説明責任を提供します。一緒に、彼らはどちらも単独で達成できなかったスピードとスケールで動作します。それは理論ではありません。それは今日の本番環境で起こっていることです。
排除ではなく、昇格
AIがTier 1アナリストを排除することについての物語はポイントを逃します。役割は消えていません。それは再定義されています。
この新しい環境で成功するアナリストは、インテリジェンスシステムを管理し、複雑な出力を解釈し、不確実性の下で高品質な決定を下すことができる人々です。
彼らは置き換えられません。彼らは昇進させられます。
この記事はFoundry Expert Contributor Networkの一部として公開されています。
参加したいですか?
