AIエージェントがSOCを強化する場所、Dojo AIへようこそ

あまりにも長い間、セキュリティはあらゆるアラートへの対応や異常の追跡、そして明確さを欠いた時間およびエネルギーの消費などの反応型アクションにより定義されてきました。しかし、最強の戦士はフェイントのたびに攻撃を仕掛けたりしません。彼らは、重要な瞬間のためにトレーニング、準備、そしてエネルギーの温存を行うのです。これは単なる強さではなく、回復力を表すものです。

現在、この哲学はSOCにも導入されています。その名も、Sumo Logic Dojo AIといいます。

道場へようこそ

武道において、道場は争いの場ではありません。それは、規律を学び、練習を重ね、自信を育むための場所なのです。生徒たちは無駄な動きを避け、予測を行い、耐えるための訓練をします。現在、同じ哲学がセキュリティ運用をAIの新時代へと導いています。 

そこではエージェントAIアーキテクチャを基盤とした構築が行われており、複数の形のインテリジェンスと自動化が、単独ではなく連携することで機能します。自動化はスクリプトとプレイブックを通じ、繰り返し可能な規律を実現します。機械学習は、ユーザーおよびエンティティ行動分析（UEBA）などにより、異常の検出やパターンの分類、そしてインサイトのエンリッチメントを行います。生成AIは、自然言語を流暢に使いこなし、クエリや要約をシームレスなものにします。現在、エージェントは受動的にプロンプトを待つのではなく、これらの機能をオーケストレーションし、アナリストのワークフロー内でアクションを実行するようになっています

この設計の中核となるのは、エージェントがデータ、モデル、および外部ツールとインタラクションする方法を規制するガバナンスレイヤー、モデルコンテキストプロトコル（MCP）です。これにより、AIは強力であるだけでなく、信頼性が高く、回復力があり、また人間の防御者と連携している、ということが保証されます

Dojo AIでは、専門のエージェントが反復的な作業を引き受け、コンテキストを解釈し、アナリストに明確さを提供するため、人々が本当に重要な瞬間に集中できるようになります。 

設計による回復力：異なる種類のAI

運用におけるAIはこれまで、クエリを生成するコパイロット、アラートを要約するダッシュボード、コマンドに応じて応答するボットといった、迅速な解決策を約束してきました。しかし、苦悩は続きます。アナリストは依然としてアラートに溺れ、明瞭さはノイズに打ち勝つことができていません。

Dojo AIが他のツールと異なるのは、回復力の哲学に基づいているという点です。

• 道場では、規律が重要となります。そのため、顧客データがモデルのトレーニングに使われることはありません。代わりに、フィードバックによってパフォーマンスが強化され、新しい基礎モデルは偶然ではなく設計によって新たな強度の向上をもたらします。
• モデルのアップグレードは、基礎となるAIの進歩によって実現します。Dojo AIは、顧客システム内における高リスクかつ未管理のトレーニングではなく、基礎となるAWSモデルの進化による恩恵を受けます。

このバランスにより、Dojo AIはセキュリティやプライバシーを犠牲にすることなく、実用的な回復力を実現します。

今日、Dojo AIの中で生きるもの

道場とは単なるアイデアではなく、現実に存在し、現在進行形で機能するものです。これは、「インサイト」→「サマリー」→「クエリ」→「カンバセーション」という意図的な進行に従います。

• サマリーエージェント：各インサイト（何が起こったのか、なぜトリガーされたのか、どのようなコンテキストが重要なのかなど）を明確に説明し、さらなる調査が必要かどうかをアナリストがすぐに判断できるようにします。
• クエリエージェント：より詳細な情報が必要な場合、クエリエージェントが自然言語を正確なクエリに変換し、構文の記述やデバッグにかかる時間を削減します。
• Mobot：道場のセンセイであるMobotは、自然言語を通じてアナリストと各エージェントをつなぎ、適切なタイミングで正当な対応のオーケストレーションを行います。

これらのエージェントが組み合わさることで、SOCの日々のリズムが変化します。アナリストは、アラートに時間を取られることなく、認識から明確化、そして調査へとスムーズに移行することができるのです。

Dojoにおけるアクション

Tier-1のアナリストがシフトを開始したところを想像してみてください。通常、ログイン時にはアラートの壁が立ちはだかり、そのほとんどは誤検知に終わります。しかし、これからはMobotを使用することができるのです。

「24時間以内に見つかった重大性の高い脅威を表示する」と入力したとします。

アナリストは、Sumo Logicとすでに相関関係があるインサイトから開始することができるのです。サマリーエージェントは、相関シグナルからのコンテキストを追加し、インサイトがトリガーされた理由を即座に説明します。より詳細な調査が必要な場合には、クエリエージェントが数秒でターゲットを絞った問い合わせを作成します。

かつてはアラート1件に対し60分かかっていた作業が、現在では精度を犠牲にすることなく数秒で実現できるのです。

回復力の哲学を実現するためのシナリオをいくつかご紹介します。

• ランサムウェアの発生：インサイトが、異常な横方向の移動を表示します。サマリーエージェントが、ランサムウェアの動作との関連性について説明します。クエリエージェントは素早く方向転換し、他のサブネットで同様の動きがあるかどうかを確認します。
• 内部脅威：インサイトが、異常なファイルアクセスを検出します。サマリーエージェントが、ベースライン動作からの逸脱を概説します。クエリエージェントは、ユーザーアクセス履歴の30日間ビューを取得し検証を行います。
• クラウドの設定ミス：インサイトが、公開されたS3バケットを強調表示します。サマリーエージェントが、暴露リスクについて説明します。クエリエージェントはアクセスログを取得し、不正使用の可能性を検証します。

結果として回復力が向上し、アナリストは重要な脅威のために時間とエネルギーを節約することができるようになります。

Dojo AIが他のツールと違う理由

多くのベンダーがAIに関する主張を行っています。そんな中、Dojo AIを際立たせるのは道場の哲学です。

1. 妥協のない拡張：Sumo Logicによる1日エクサバイト単位のテレメトリ処理は、15年を超える運用経験に裏打ちされています。この経験値が、プライバシーバイデザインを維持しながら、比類のないコンテキストを提供します。
2. 管理された進化：エージェントは、データに対する制御なしのトレーニングではなく、厳選されたフィードバックと新しい基礎モデルを通じて改善されます。
3. コンテキスト優先の要約：個々のアラートを要約するツールとは異なり、Dojo AIはインサイトレベルで要約を行うため、ノイズがなく、明瞭さが保証されます。
4. 並列ワークフロー：エージェントアーキテクチャにより、複数のエージェントが同時に動作するため、調査と対応が高速化されます。
5. 人間中心の回復力：道場の哲学により、アナリストはメカニズムや疲労ではなく、創造性と防御に再び集中することができるようになります。

これはハイプ・サイクルの問題ではありません。SOCの最も必要とされる部分に回復力を組み込む、という行為そのものなのです。

Dojo AIの人間的側面

技術だけで戦いに勝つことはできません。そのためには人間が必要です。Dojo AIは、人間に代わるものではなく、人が有意義な作業に戻れるよう開発されたツールです。

アナリストは、限りない誤検知確認のためにこの分野の仕事を始めるわけではありません。パズルを解き、組織を守り、敵に打ち勝つために始めるはずです。Dojo AIは、そのチャンスを与えてくれるのです。

このツールは繰り返し作業を軽減し、創造性や判断力、戦略のためのスペースを作り出します。これにより、人間の防御者は本来あるべき姿、つまり回復力のあるSOCの中核になることができるのです。

さあ、道場に足を踏み入れてください。回復力そのものになるために。