人工知能(AI)、機械知能、機械学習、および深層学習などの用語はしばしば同じ意味で使用されますが、それぞれが異なる計算知能の進化段階を表しています。AIが最も広範な概念となり、これは人間の推論に関連するタスクを実行できる機械のことを表します。機械学習(ML)もこの傘下にあり、明示的なプログラミングではなく、データに基づきシステムを改善することを可能にします。MLの中でも深層学習は、膨大なデータセットに階層化されたニューラルネットワークを適用し、画像認識や自動運転車などの進歩を支えます。
ログ分析では、これらの基盤技術は従来、異常の検出やパターンの表面化、反復作業の自動化に使用されてきました。しかし、業界はエージェント型AI(データから学習するだけでなく人間のチームに代わって推論、計画、行動を行うシステム)へと移行しつつあります。深層学習が特徴抽出を自動化したのに対し、エージェント型AIは自律性と協調性をもたらします。ノイズの中から信号を見つけるだけでなく、それらの信号をコンテキストに沿って解釈し、次のステップを推奨したり、場合によっては開始したりするのです。
AIOpsからエージェント運用へ
AIOpsは長年にわたり、AIをIT運用に適用することで、アルゴリズムを使用した異常の検出や障害の予測、リソースの最適化を行ってきました。これは飛躍的な進歩でしたが、得られたインサイトを解釈し、それに基づき行動する責任は依然として人間に委ねられていました。Sumo LogicのMo Copilotに代表されるツールは、機械データに対する自然言語クエリを可能にし、質問や根本原因の解明を容易にすることでさらなる進歩を遂げました。
Sumo LogicのDojo AIは、ループに推論を埋め込むことでこれのさらなる推進を行います。エージェントは、単にプロンプトに応答したり、視覚化を作成したりするだけでなく、仮説の生成や調査の計画、行動の提案を行えるようになっています。セキュリティおよび信頼性チームにとってこれは、「支援型自動化」エージェントから、アナリストやエンジニアと連携して作業する協調型エージェントへの移行を意味します。
Sumo Logicの最初の2つのエージェントがこの変化を体現しています。サマリーエージェントは、機械学習を適用してSIEMインサイトの複雑さを実用的なストーリーラインに凝縮することで、断片化されたアラートのストリームを一貫したインシデントナラティブに変換します。 クエリエージェントは、調査の意図を自然言語で記述することをアナリストやエンジニアに対して可能にし、膨大なログデータを検索するために必要となる複雑なクエリ構文を自動的に作成します。これらのエージェントは、AIOpsのエージェント型運用への進化を体現するものです。データ処理に費やされる時間が短縮されるため、意思決定の検証と実行により多くの時間を費やせるようになるのです。
ログ分析のための機械知能
従来のログ分析における機械知能は、アクセスや使用状況、およびパフォーマンスデータからインサイトを引き出すことに重点を置いていました。セキュリティチームはこれを異常の特定やアラートのトリガーに、インフラストラクチャチームはシステム負荷やパフォーマンスの把握に利用してきました。これらのアプリケーションには依然として価値があるものの、エージェント型のコンテキストでは、検出だけでなく説明や行動も可能なシステムへの足がかりとして見ることができます。
例として、エージェント型システムは、単に異常なログイン試行にフラグを立てるのではなく、一連のイベントを明確なナラティブに要約し、どこからアクセスがあったのか、なぜ不審であるのか、どのようなリスクがあるのか、などを検証した上で適切な対応を推奨することができます。パフォーマンスが低下した場合においても、システムは根本的な原因に関する仮説を提案し、それを検証するために必要なクエリを正確に生成することができます。サマリーエージェントとクエリエージェントは、このようにしてSOCアナリストとSREの拡張機能となり、膨大なテレメトリから解決への迅速な移行を支援します。
機械データが重要な理由
インテリジェンスとスピードを実現するための機械データの活用は、現在となってはオプションではありません。これまで、企業チームは次のような質問の答えを得るためにデータに頼ってきました。「システムのパフォーマンスはどうか?」「ボトルネックはあるか?」「誰がアクセスしているか?」「異常はあるか?」しかし、これらの質問は、解釈についてのすべての責任を人間に負わせるものでした。
エージェント型AIでは、機械データが自律的な推論のための基盤となります。SOCアナリストは、もはや何十ものアラートを手作業で相関させたり、脅威インテリジェンスを個別に相関させたりする必要はありません。サマリーエージェントが発生中の状況に関する統合説明を提供してくれるためです。また、SREはプレッシャーを感じながら複雑なクエリを作成する必要がありません。クエリエージェントがこれを代わりに実行してくれるのです。機械データは依然として重要ですが、生の信号を実用的なコンテキストに変換できるエージェントと組み合わせることで、その価値はさらに高まります。
ビッグデータにおける機械学習とは
機械学習はかつて、大量の非構造化データの解析、パターンの明確化、および異常の検出を行うアルゴリズムとして、ログ分析自動化の頂点に立っていました。 特に膨大なデータストリームが存在する環境において、それはパワフルな推進力となりました。
エージェントの時代においては、機械学習はより大きなものを構成する要素の1つです。これはエージェントの検出・要約機能を強化するだけでなく、分類や異常検出以外のワークフローにも組み込まれています。サマリーエージェントは、MLを使用することで、何百ものアラートを1つの意味あるストーリーへと凝縮します。クエリエージェントは、MLベースの言語理解を使用することで、人間の意図をクエリの構文にマッピングします。どちらの場合においてもテクノロジーは分析にとどまらず、実務家との協調により、インサイトと行動のギャップを埋めることを実現します。
ログ分析とエージェント型AIの実用化
たった1つの組織においても、さまざまなチームが機械データへの依存を続けていますが、データとの関係は少しずつ変化しているといえるでしょう。
SOCアナリストの場合において、エージェントシステムはセキュリティ信号を即座に調査できるナラティブに抽出します。これは、誤検知に溺れることなく、リスクの評価と対応の実行に時間を費やすことができることを意味します。SREの場合において、エージェントシステムは、膨大なログセットの複雑さを解消するクエリの生成により、分散アプリケーションのデバッグを簡素化します。どちらのグループにおいても、認知負荷の軽減や調査の迅速化、そして意思決定上の信頼性向上といったメリットが存在します。
この度Dojo AIの一部となり、エージェントの動作が組み込まれたMobotは、この変化を例示しています。Mobotは、自然言語クエリの単なる実行を超え、クエリの生成や調査結果の相関分析、結果の要約などにより、調査プロセスの積極的な支援を実現しています。実践において、これはボトルネックの減少や問題解決の迅速化、そして運用回復力の向上を意味します。
エージェントログ分析における課題
エージェント型AIの将来には、新たな課題が伴います。機械データが指数関数的に増加し続ける中、エージェントは構造化、非構造化、および半構造化の入力データに対応できるように設計される必要があります。さらに重要となるのは、自律性によって生じる信頼とガバナンスに関する問題です。
SOCアナリストやSREは、重要な決定をブラックボックス化したシステムに委ねるわけにはいきません。透明性は不可欠となり、エージェントには結論に至った経緯や特定の行動を推奨する理由を説明することが求められます。役割ベースのアクセス制御(RBAC)などのガードレールは、エージェントが定義された境界内でのみ行動することを保証し、ヒューマン・イン・ザ・ループは適切な説明責任が果たされるよう制御を行います。規制の厳しい業界において、コンプライアンスは依然として最優先事項となります。エージェントシステムは、必要に応じて難読化または匿名化を行い、機密データを責任とともに処理する必要があります。
これらの課題に真摯に取り組むことで、組織は制御やコンプライアンス、信頼性を維持しながら、エージェント型AIを導入することができます。
エージェント型インテリジェンスの未来:予測と生成
生成AIは、新たなインサイトや予測、およびシミュレーションを作成する機能をもたらしました。この度、予測分析によってこれらがさらに拡張されたことで、企業チームはシステムの需要や新たな脅威を予測できるようになりました。次のステップとなるエージェント型AIにおいて、これらの予測は静的なインサイトとして残されるのではなく、コンテキストに応じた計画へと、また必要な場合には行動へと変換されます。
セキュリティにおいて、これはエージェントがゼロデイ攻撃を検知するだけでなく、考えられる攻撃パスをシミュレートしたり、最も緊急性の高い露出を優先したり、カスタマイズされた防御策を推奨したりすることができることを意味します。信頼性エンジニアリングにおいては、容量不足を予測することで、顧客が影響を受ける前に検証済みの修復戦略を生成することが可能となることを意味します。これらはもはや投機的なユースケースではなく、現在進行形の軌跡を表しています。
Sumoのサマリーエージェントやクエリエージェントのようなエージェントシステムは、断片的なアラートを一貫したストーリーに圧縮し、自然言語を正確で実行可能なクエリに変えることで、調査における進化を表しています。その結果、SOCアナリストには脅威トリアージの迅速化が、SREには根本原因分析の合理化が可能となるほか、事後対応から積極的な回復力への移行が実現します。
予測分析と生成AI、そしてエージェントの自律性の融合は、現代の運用における転換点となります。企業チームはノイズに溺れたり、次のアラートの嵐を待ったりするのではなく、明確に定義されたガードレール内で推論、推奨、および行動するインテリジェントなエージェントと連携して作業することになります。これは、セキュリティチームと信頼性チームの両方に対し、人間の専門知識が増幅される未来、そして観察するだけでなく協調を行うAIにより研ぎ澄まされる未来を示唆しているのです。
