あらゆるものを自律化すると約束する「AI SOC」スタートアップの波が高まっています。これらのスタートアップは、アラートの優先順位付け、脅威の調査、さらにはプレイブックの実行まで行います。ボタンを押せば、あとは機械に任せて、魔法のように面倒が片付くというわけです。
何かが壊れるまでは、実に魅力的に聞こえます。そしてその瞬間には、セキュリティ担当者だけでなく誰もが同じ質問をします。「一体何をしたのか?」 そして、まさにそのとき、これらのシステムはリスクへと変わるのです。
ブラックボックスAIの問題点
こうしたプラットフォームのほとんどはブラックボックスです。入手できるあらゆる場所からデータを貪欲に集め、それを不透明な推論ループに通し、結論だけを吐き出します。彼らがめったに見せないのは、その中間プロセスです。思考プロセス、実行したクエリ、取得した証拠、あるいは結果を左右した誤った前提は示されません。そのため、AIが誤った判断を下したときにデバッグするのではなく、AIが何を推測したのかをこちらが推測することになります。
それが根本的な問題です。AIは確率的に動作します。真実そのものではなく、可能性の高さに基づいて動作します。仮説を立て、その中には賢明なものもあれば、全く的外れなものもあります。
しかし、仮説は、実際の決定論的なデータに対して検証されたときに初めて有用になります。つまり、クエリを実行し、ログを取得し、コンテキストを確認し、進むべき方向を調整するということです。もしAIがそれを迅速かつ透過的に行えないのであれば、それは知能を装ったノイズに過ぎなくなります。
アーキテクチャがAI SOCを決定します
ここでアーキテクチャが将来を左右します。プラットフォームがAIに複数のデータレイクにまたがる処理を強制し、すべてをその場で正規化し、遅いクエリの応答を待たせるような設計であれば、AIは十分な速さで反復処理を行うことができず、役に立つことができません。遅延だけでも、「自律的な」推論という発想は完全に崩れます。そのため、多くのAI SOCツールはデモでは印象的に見えるものの、実際のインシデント状況下では機能しなくなります。こうしたツールは、この用途のために構築されたものではないデータ層に依存しています。
ホワイトボックスアプローチ
代替案はホワイトボックス方式です。理由を隠すのではなく、あえて明らかにします。AIの仮説、それを検証するために実行されるクエリ、そしてその考えを裏付ける、あるいは反証する結果に至るまで、すべてのステップが可視化され、確認可能です。AIがなぜそのような行動をとったのか疑問に思う必要はありません。そこに至るまでの推論の連鎖が見えるからです。それは監査し、修正し、最終的に信頼できるものになります。
Sumo LogicがDojo AIでホワイトボックスアプローチを採用する方法
ホワイトボックスAIのアプローチは、SOCアナリストエージェントとMobotの設計に大きな影響を与えています。収集される証拠、その収集理由、その要約などを確認できます。そのうえで、なぜそのような選択をしたのか、どのように証明できるのかを、AIに対して正確に問い直すことができます。
そして、透過的な推論と、高速クエリ、正規化されたデータ、一貫性のあるパイプラインといった決定論的なツールを組み合わせることで、AIの価値を引き出すループがようやく実現します。Sumo Logicには、決定論的なツールとしてAIが利用できる最高のアーキテクチャとログプラットフォームがあります。AIは何が真実である可能性が高いかを示し、基盤となるプラットフォームがそれを即座に証明または反証します。両者は対立するのではなく、互いの効果を高め合います。
違いはここにあります。ブラックボックスAIは信頼を前提とし、ホワイトボックスAIは信頼を獲得します。次の自動化の波を生き残るのは、後者を求めるチームです。
Sumo Logic がどのようにホワイトボックスAIアプローチを取っているかご覧ください。デモを申し込む.
