誰もが、改良されたモデルとよりスマートなエージェントを備えた高度なインテリジェンスレイヤーを構築し、脅威の検出、調査、対応を自動化しています。これは、AI SOCへと成熟するために必要な取り組みです。しかし、SOCにおいてAIから最も大きな価値を得ている組織は、インテリジェンス層だけに焦点を当てているわけではありません。それらの組織は、まずデータ基盤の構築に注力しています。
AIがSIEMの機能を代替できるかどうかについての議論は、最も重要な問いから注意をそらすものです。つまり、AIを信頼できるものにするのに十分なほどデータ基盤が強固かどうかです。SOCの自律性が高まるにつれて、データ品質の重要性はさらに増します。エージェントはテレメトリデータから推論を行います。エージェントはそのデータから学習します。エージェントはそのデータに基づいて意思決定を行います。データ基盤が脆弱な場合、自律性を高めることは、より速くミスを引き起こすだけです。
SIEMは過去の技術ではありません。SIEMこそが、将来のAIを信頼できるものにする要素です。
AIの活用が進むほど、SIEMの重要性はさらに高まります
AIエージェントは、何もないところから知見を生み出すのではなく、データに依存しています。そのデータの質によって、エージェントが正しい判断を下せるか、それとも素早く誤った判断をしてしまうかが決まります。エージェントが誤検知に基づいて自律的に行動したり、関連する2つの信号が相関されない別々のシステムに存在していたために脅威を見逃したりした場合、それはAIの失敗ではありません。それは、AIが依存するデータ基盤に問題があるということです。
SOCの自律性が高まるにつれて、データ品質にかかるリスクも高まります。インテリジェンス層は毎年進化し続けているため、データ基盤は信頼性が低くなるのではなく、より高い信頼性を備えている必要があります。AIの導入が進んだからといって、SIEMの必要性が減るわけではありません。むしろ、SIEMはこれまで以上に重要になっています。
SIEMだけが大規模に実現できる機能
データ収集に使えるツールは多数存在します。検出を実行できるツールも多数存在します。自動化を行うツールも数多く存在します。しかしSIEMだけが、ポイントソリューションやAIネイティブプラットフォーム、寄せ集めのツールスタックでは確実に代替できない、企業規模での特定のニーズに対応できます。AIがSOCにおいてより大きな役割を果たすようになるにつれて、これらの機能はますます重要になります。
- 高度なログライフサイクル管理:データ階層化により、ホット、ウォーム、コールドの各レイヤーにデータを格納し、コストとアクセス性のバランスを取ります。正規化と解析によって、乱雑で一貫性のないデータを構造化された読みやすい形式に変換します。
- 長期的な行動ベースライン設定:機械学習モデルは、正常な行動を理解するために履歴データを必要とします。環境全体にわたってデータを収集・保持するSIEMは、機械学習モデルが異常と正常な動作を区別するために必要なコンテキストを提供します。
- 大規模なソース間相関:脅威が単一のログソースだけに現れることはまれです。SIEMは、さまざまなツールからのログソースをリアルタイムに相関させ、散在する信号を明確で文脈に沿ったインシデントへと変換します。
- フォレンジック検索と脅威ハンティング:影響範囲を特定するために6か月分の生データを検索する必要がある場合や、仮説に基づいて脅威ハンティングを行うために強力な検索能力が必要な場合には、こうした状況に対処できるようモデルはまだ訓練されていないため、体系的なアプローチが必要になります。
- コンプライアンス、監査、および証跡管理:SIEMは、HIPAAやPCI-DSSなどの基準を満たす組み込みダッシュボードを使用して、数秒でレポートを生成できます。AIが自律的に行動する場合、その行動は記録され、説明されなければなりません。SIEMは、デジタル証拠の検証可能な証拠管理経路を提供します。
- カスタムビジネスロジックと決定論的ルール: SIEMは決定論的ルールに基づいており、そのルールが破られたときにそれを認識します。すでに疑わしいと判断されたものが本当に疑わしいかどうかをエージェントが推論するのを待つのではなく、既知の脅威を迅速に顕在化させるための明確なルールが必要です。
- 統合されたアナリストワークベンチ: 寄せ集めのツールスタックでは、アナリストの体験が分断されてしまいます。SIEMは、検出、調査、対応を1つのワークスペースに統合します。アナリストは互いに、またエージェントとも協力し、調査内容を確認し、措置を承認し、インシデントをクローズします。これらをすべて1か所で行えます。
SIEMは進化しており、それこそが重要なポイントです
従来のSIEMは、動作が遅く、高価で、維持管理が面倒であるという評判を得ました。その批判は長い間妥当でした。現在ではその妥当性は低下しており、SIEMがAI SOCをサポートできるかどうかを評価する際には、その違いを見極めることが重要です。
最新のSIEMには、以前は別のツールが必要だった機能が含まれています。ユーザーおよびエンティティ行動分析(UEBA)およびセキュリティオーケストレーションおよび自動応答(SOAR)は、後付けではなく組み込みになっています。検出エンジニアリングは機械学習によるルール提案によって強化されており、アナリストワークベンチは静的なアラートキューから、人間のアナリストとAIエージェントが協力して調査を行う協調的な環境へと進化しています。
実務的な判断基準は、SIEMが次の3つのことを実行できるかどうかです。環境が必要とする速度と規模でデータを取り込むこと、アナリストとエージェントがコンテキストを共有して作業を引き継ぐエージェントワークフローをサポートすること、そして機械学習モデルや大規模言語モデル(LLM)が自信満々に誤るのではなく信頼できるものとなるような、正規化され、相関付けられ、履歴が保持されたデータ品質を提供することです。
AIプラットフォームを購入する前に尋ねるべき3つの質問
SOCマネージャーは、多くのAIネイティブプラットフォームを評価しています。購入前に、次の3つの質問をし、回答がどのように表現されているかを注意深く聞いてください:
- あなたのAIはどこからデータを入手していますか?データは、AIレイヤーに到達する前に、どのように取り込まれ、正規化され、相関付けられますか?コネクタが中央での正規化なしにサイロ化されたソースからデータを取得する場合、AIは一貫性のないデータで動作することになります。
- これまで見たことのないデータはどのように処理しますか?プラットフォームが処理するように設計されていないデータをどのように取り込み、正規化するかを尋ねてください。プラットフォームが新しいデータソースへの対応に苦慮すると、高度な攻撃者が潜むことができる盲点が生じる可能性があります。
- エージェントが行動すると、監査可能性はどうなりますか?監査証跡のない自律的な行動は、コンプライアンス上の問題を引き起こします。エージェントの判断がどのように記録されるのか、具体的に尋ねてください。回答が不明確であったり、監査証跡が同一システム内のみに存在する場合は、注意すべきギャップです。
まず基盤を構築する
AI SOCは現実のものになっています。その機能は、長年にわたり業務量の多さと人員不足に悩まされてきたセキュリティチームにとって、まさに画期的なものです。
しかし、最も恩恵を受けるチームは、最高のAIプラットフォームを見つけたチームではありません。彼らはデータ品質を後回しにするのではなく、前提条件として捉えた人たちです。まず強固な基盤を築き、その上にインテリジェンス層を構築します。
問題は「SIEMはまだ必要か?」ではありません。むしろ、「私のデータ基盤は、AIを信頼できるものにするのに十分なほど強固だろうか?」という問いが重要です。
AIを支える基盤をご覧ください。デモを予約する.
