AIエージェントがSOCを強化する場所、Dojo AIへようこそ

長きにわたり、セキュリティは反応によって定義されてきました。あらゆる警報に対応し、あらゆる異常を追跡し、明確な目的もなく時間とエネルギーを消耗します。しかし本当に優秀なセキュリティ戦士は、フェイントに惑わされたりしません。彼らは訓練し、準備を整え、重要な瞬間のためにエネルギーを温存します。それは単なる強さではなく、レジリエンス（回復力）なのです。

さて、この哲学がSOCに導入されました。そして、その名は「Sumo Logic Dojo AI」です。

道場（Dojo）へようこそ

武道において道場は対立の場ではない。規律、鍛錬、そして自信を育む場所である。生徒たちは無駄な動作を省き、先読みし、耐えることを訓練する。この哲学が今、セキュリティ運用を新たなAI時代へと導いている。 

これはエージェント型AIアーキテクチャに基づいて構築されており、複数の知能と自動化が単独で機能するのではなく連携して動作します。自動化はスクリプトやプレイブックを通じて反復可能な規律を実現します。機械学習は異常を検知し、パターンを分類し、洞察を強化します。例えばユーザー・エンティティ行動分析（UEBA）がその一例です。生成AIは自然言語処理能力を提供し、クエリや要約をシームレスに実現します。そして今、エージェントがこれらの機能を統合し、プロンプトを待つ受動的な状態から脱却し、アナリストのワークフロー内で直接行動を起こすようになりました。

この設計の中核となるのは、エージェントがデータ、モデル、および外部ツールとインタラクションする方法を規制するガバナンスレイヤー、モデルコンテキストプロトコル（MCP）です。 これにより、AIは単に強力であるだけでなく、信頼性が高く、回復力があり、人間の擁護者と一致していることが保証されます。

Dojo AIでは、専門のエージェントが反復的な作業を引き受け、コンテキストを解釈し、アナリストに明確さを提供するため、人々が本当に重要な瞬間に集中できるようになります。 

設計による回復力：異なる種類のAI

運用におけるAIはこれまで、クエリを生成するコパイロット、アラートを要約するダッシュボード、コマンドに応じて応答するボットといった、迅速な解決策を約束してきました。しかし、日常の作業は続きます。アナリストたちは依然としてアラートに溺れ、雑音は依然として明瞭さを圧倒しています。

Dojo AIが他のツールと異なるのは、回復力の哲学に基づいているという点です。

• 道場では規律が重要視されます。だからこそ、顧客データは決してモデルの訓練に使用されません。代わりに、フィードバックによってパフォーマンスが強化され、新しい基礎モデルは偶然ではなく設計によって新たな強度の向上をもたらします。
• モデルのアップグレードは、基盤となるAIの進歩から生まれます。Dojo AIは、顧客システム内における高リスクかつ未管理のトレーニングではなく、基礎となるAWSモデルの進化による恩恵を受けます。

このバランスにより、Dojo AIはセキュリティやプライバシーを犠牲にすることなく、実用的な回復力を実現します。

今日、Dojo AIの中で生きるもの

道場は単なる概念ではなく、今まさに現実として存在し、息づき、機能しています。これは、「インサイト」→「サマリー」→「クエリ」→「カンバセーション」という意図的な進行に従います。

• サマリーエージェント：各インサイト（何が起こったのか、なぜトリガーされたのか、どのようなコンテキストが重要なのかなど）を明確に説明し、さらなる調査が必要かどうかをアナリストがすぐに判断できるようにします。
• クエリエージェント：より詳細な情報が必要な場合、クエリエージェントが自然言語を正確なクエリに変換し、構文の記述やデバッグにかかる時間を削減します。
• Mobot：道場のセンセイであるMobotは、自然言語を通じてアナリストと各エージェントをつなぎ、適切なタイミングで正当な対応のオーケストレーションを行います。

これらの要因が相まって、SOCの日常のリズムを変えます。アナリストは、アラートに時間を取られることなく、認識から明確化、そして調査へとスムーズに移行することができるのです。

Dojoにおけるアクション

ティア1アナリストが勤務を開始するとします。通常なら、アラートの壁（ほとんどが誤検知）にログインすることになります。しかし今や、彼らはMobotから始めることができるのです。

「24時間以内に見つかった重大性の高い脅威を表示する」と入力したとします。

アナリストは、Sumo Logicと既に関連付けられたインサイトから分析を開始します。サマリーエージェントは即座にそれらのインサイトがトリガーされた理由を説明し、関連信号からのコンテキストを追加します。より深い調査が必要な場合、クエリエージェントが数秒で対象を絞ったクエリを構築します。

かつてはアラート1件に対し60分かかっていた作業が、現在では精度を犠牲にすることなく数秒で実現できるのです。

回復力の哲学を実現するためのシナリオをいくつかご紹介します。

• ランサムウェアの発生：インサイトにより、異常な『ラテラルムーブメント（横展開）』が浮上。要約エージェントが、その動きがランサムウェアの振る舞いと一致することを説明。それを受け、クエリエージェントは即座に調査軸を切り替え、他のサブネットでも同様の動きが発生していないかを確認します。
• 内部脅威：インサイトが異常なファイルアクセスを検知。要約エージェントが基準行動からの逸脱を概説。クエリエージェントが検証のためユーザーのアクセス履歴を30日間分取得。
• クラウド設定ミス：インサイトにより公開されたS3バケットが判明。サマリーエージェントが公開リスクを説明。クエリアージェントがアクセスログを取得し、不正利用の可能性を検証。

結果として回復力が向上し、アナリストは重要な脅威のために時間とエネルギーを節約することができるようになります。

Dojo AIが他のツールと違う理由

多くのベンダーがAIを謳っている。しかし道場哲学こそがDojo AIを際立たせています。

1. 妥協のない拡張：Sumo Logicによる1日エクサバイト単位のテレメトリ処理は、15年を超える運用経験に裏打ちされています。その遺産は比類のない文脈を提供すると同時に、設計によるプライバシー保護を実現します。
2. 管理された進化：エージェントは、データに対する制御なしのトレーニングではなく、厳選されたフィードバックと新しい基礎モデルを通じて改善されます。
3. コンテキスト優先の要約：個々のアラートを要約するツールとは異なり、Dojo AIはインサイトレベルで要約を行うため、ノイズがなく、明瞭さが保証されます。
4. 並列ワークフロー：エージェントアーキテクチャにより、複数のエージェントが同時に動作するため、調査と対応が高速化されます。
5. 人間中心の回復力：『道場』の哲学により、アナリストはメカニズムや疲労ではなく、創造性と防御に再び集中することができるようになります。

これは、一過性のブーム（ハイプ・サイクル）の話ではない。最も必要とされる場所、すなわちSOCの中に、真の強靭さを築き上げるためのものなのだ。

Dojo AIの人間的側面

技術だけでは戦いに勝てない。勝つのは人間だ。Dojo AIは、人間に代わるものではなく、人が有意義な作業に戻れるよう開発されたツールです。

アナリストがこの分野に参入するのは、延々と続く誤検知をクリックするためではない。謎を解き、組織を守り、敵を出し抜くためだ。Dojo AIはその機会を提供する。

Dojo AIが反復作業を代行し、創造性・判断力・戦略立案のための余地を生み出します。人間の防御担当者は本来あるべき姿、つまりSOCの頑強な中核へと変貌を遂げるのです。

道場へ足を踏み入れよ。不屈の精神を身につけよ。