SIEM を置き換える前に：AI 駆動型セキュリティには、集中管理されたデータだけでなく、運用コンテキストが必要です

人工知能は、セキュリティオペレーションセンター（SOC）の機能のあり方を急速に変えつつあります。多くの組織が、作業負荷を軽減し調査を迅速化するために、AI ネイティブアーキテクチャを評価しています。

新たなアーキテクチャのストーリーが生まれつつあります。AI ネイティブのセキュリティベンダーが増えつつあり、テレメトリをデータウェアハウスに集中させ、AI エージェントを展開して SIEM の運用上の役割を置き換えることを提案しています。彼らはテレメトリを一元化し、AI を適用し、SOC を自動化したいと考えています。特に予算面の制約や人員不足に直面しているセキュリティリーダーにとって、これは非常に魅力的な提案です。

攻撃者は、偵察の加速、フィッシングやソーシャルエンジニアリングの自動化、回避的なマルウェア亜種の生成、クラウド環境全体にわたる ID ベースの攻撃の拡大などに、ますます AI を利用しています。脅威活動がより高速かつ適応的になるにつれて、セキュリティチームは検出、調査、対応の各段階にかかる時間を短縮するよう、ますます強いプレッシャーに直面しています。

ROI の向上への期待と変化する状況により、AI を活用したセキュリティ運用への需要が高まっています。求められているのは、より迅速な AI 主導の意思決定であり、そのためには、信頼できるコンテキスト、一貫性のあるワークフロー、そして絶えず変化する環境に対応できる運用上のガードレールが必要です。

AI は、セキュリティ運用の複雑さを解消するものではありません。それにより、一貫性があり信頼できるコンテキストの必要性がさらに高まります。セキュリティは、単なるデータの問題ではありません。それは、コンテキストのオーケストレーションの問題です。この違いを無視すると、運用上の複雑さは解消されるのではなく、単に別の場所に再配分されるだけです。

セキュリティ運用は単なるデータの問題ではない

データウェアハウスは強力なシステムです。データウェアハウスは、大規模ストレージ、集中型分析、履歴クエリにおいて優れた性能を発揮します。これらは、組織がテレメトリを統合し、チーム間で共通の分析基盤を構築するのに役立ちます。

しかし、セキュリティ運用は本質的に異なる課題をもたらします。

SOC は、データの保存と取得だけを担当しているわけではありません。プレッシャーのかかる状況下で、信頼できるセキュリティ上の意思決定を行う責任を負っています。

これには次のものが含まれます:

• リアルタイムで脅威を検出する
• ID、デバイス、クラウドサービス、アプリケーション間のアクティビティを相関付ける
• 調査の継続性を維持する
• 対応アクションを調整する
• 検出の一貫性を維持する
• 自動化を統制する
• 証拠を保持する
• 監査可能性と説明責任をサポートする

今日のセキュリティ運用は、エンリッチメントレイヤー、外部インテリジェンスソース、ID システム、クラウド環境、エクスポージャー管理プラットフォーム、リアルタイムワークフローなど、さまざまなレイヤーに存在する運用コンテキストに、ますます依存するようになっています。

AI エージェントはデータウェアハウス内のテレメトリをクエリできるかもしれませんが、効果的なセキュリティ上の意思決定は、多くの場合、動的で、外部にあり、あるいは一元化が運用上困難なコンテキストに依存します。

これには次のものが含まれます:

• 継続的に変化する脅威インテリジェンス
• 進化するインフラストラクチャに紐づくエクスポージャーと攻撃経路のコンテキスト
• ユーザー、デバイス、ワークロード、サービスにまたがるエンティティ関係
• 検出メタデータと抑制ロジック
• リアルタイムエンリッチメントパイプライン
• 行動のベースライン
• ワークフローの状態とアナリストの判断
• パイプラインの完全性とテレメトリの健全性

多くの環境では、この運用コンテキストは絶えず変化しています。

AI は運用上の複雑さを取り除くのではなく、取り込むデータを取り巻く運用コンテキストの強み、あるいは弱みを増幅させます。

データパイプラインは戦略的なセキュリティインフラストラクチャになりつつある

セキュリティ運用をモダナイズするにつれて、データパイプラインは単なるテレメトリ転送よりもはるかに重要な役割を担うようになります。

AI 駆動型 SOCでは、パイプラインがセキュリティ上の意思決定の品質、一貫性、信頼性をますます左右するようになります。

これらは次の点に影響します。

• テレメトリはどれくらいの速さで運用可能になりますか？
• エンリッチメントと脅威インテリジェンスが正しく適用されているかどうか
• 環境をまたいでエンティティをどのように解決するか
• エクスポージャと攻撃パスのコンテキストが調査に組み込まれているかどうか
• 行動ベースラインはどのように維持されるか
• どのデータがフィルタリング、正規化、遅延、または失われるか
• どの検出が確実に実行できるか
• AIシステムが運用リスクをどのように解釈するか

パイプラインは特に重要です。なぜなら、現代のセキュリティ運用に必要なコンテキストの多くは、データウェアハウス自体の中にネイティブに存在するとは限らないからです。

脅威インテリジェンスフィード、アイデンティティ間の関係、エクスポージャ管理プラットフォーム、エンリッチメントサービス、クラウド姿勢システム、および運用ワークフローの状態は、多くの場合、複数の環境にまたがって存在し、継続的に変化します。

これにより、AIを活用したセキュリティ運用に新たな運用上の現実が生まれます。
AIシステムは、データを供給するパイプラインの強みと弱みの両方を継承します。

遅延したエンリッチメント、古いインテリジェンスフィード、壊れたパーサー、未解決のエンティティ関係、または不完全なエクスポージャデータセットは、AIシステムが脅威を優先順位付けし、調査し、対応する方法に重大な影響を与える可能性があります。

エンタープライズ規模では、信頼できるパイプラインの完全性を維持することが、信頼できるAI駆動型セキュリティ運用を維持するための基盤となります。

AIはセキュリティに関する意思決定のスピードを変えます。一貫性は依然として重要です。

サイバーセキュリティにおけるAIの最も重要な利点の一つは、調査を迅速化し、アナリストの負担を軽減できることです。

AIはセキュリティチームを次のように支援できます。

• アラート疲労を軽減する
• アクティビティの優先順位をより迅速に決定する
• 隠れた関係性をあぶり出す
• アクションを推奨する
• 調査を加速する
• 運用効率を向上させる

しかし、スピードだけでは信頼できるセキュリティ運用は実現しません。意思決定は、説明可能で、再現可能で、統制され、かつ長期にわたって一貫している必要があります。多くのAIファーストSOCアーキテクチャは、ここでますます大きな課題に直面しています。

AIシステムが進化し、プロンプトが変更され、パイプラインがドリフトし、テレメトリが変化し、エンリッチメントが失敗し、モデルが更新されるにつれて、組織はSOC自体に運用上の不整合を直接持ち込んでしまうリスクを負います。

不完全な、あるいは異なる形でエンリッチされたテレメトリを提示された2人のアナリスト、または2つのAIエージェントは、同じイベントについて異なる結論に達する可能性があります。

企業規模では、これはセキュリティ決定のドリフトという、ますます深刻化する運用上の懸念を生み出します。

AIがセキュリティ運用にますます組み込まれるにつれて、セキュリティ決定の一貫性は、AIが動作する運用コンテキストの質と安定性にますます依存するようになります。脅威インテリジェンスは常に変化しています。インフラの変化に伴い、エクスポージャデータも進化します。パイプラインが更新され、パーサーがドリフトし、エンリッチメントが失敗し、エンティティ間の関係がID、デバイス、クラウド環境間で変化します。時間の経過とともに、こうした運用上の変更は、AIシステムが同じアクティビティをどのように解釈し、優先順位付けするかを変化させる可能性があります。

課題は、もはや単にデータへのアクセスを増やすことではありません。課題は、絶えず変化する環境下においても、AIによる意思決定が信頼できる運用上の文脈に根ざしていることを確実にすることです。セキュリティ運用において、信頼はAIの知能だけでなく、組織がAIの決定を一貫して説明し、再現し、運用できる能力にもとづいて構築されます。

調査が侵害、規制上の事象、または経営幹部レベルのインシデントにエスカレートした瞬間、組織は依然として次のような重要な質問に答えなければなりません。

• なぜこの決定がなされたのですか？
• 結果を裏付ける証拠は何でしたか？
• 調査に影響を与えたコンテキストは何ですか？
• 結果は再現可能ですか？
• その対応は運用上、一貫していましたか？

サイバーセキュリティにおいては、スピードと同じくらい信頼が重要です。

AIのみのアーキテクチャの隠れた運用上の負担

多くのAIファーストのセキュリティアーキテクチャは、従来の運用レイヤーを排除することでSOCを簡素化する方法として位置づけられています。

しかし、運用上の複雑さが消えることはほとんどありません。多くの場合、それは形を変えて現れます。

アナリストが検出とワークフローを直接管理する代わりに、組織は次のようなことを管理することになる可能性があります。

• パイプラインの依存関係
• スキーマドリフト
• パーサーのメンテナンス
• 脅威インテリジェンスの同期
• コンテキストエンリッチメントロジック
• エンティティ解決
• プロンプトの一貫性
• AIの監督
• ワークフローガバナンス
• 調査の再現性

運用上の負担は、目に見えるSOCプロセスから、基盤となるデータおよびAIオーケストレーション層へと移行します。

小規模な場合、これらの問題は対処可能に見えるかもしれません… エンタープライズ規模になると、運用上の脆弱性を生み出す可能性があります。

将来の SOC は運用コンテキストを基盤に構築される

組織はこの移行を、AI と SIEM のどちらかを選ぶものとして捉えるべきではありません。そのような捉え方は、セキュリティ運用の将来像を過度に単純化してしまいます。

新たな SOC アーキテクチャは、おそらく次の要素を組み合わせることになるでしょう。

• 集中型テレメトリ
• AI 支援による調査
• エンティティ中心の分析
• 脅威インテリジェンスの強化
• エクスポージャを考慮した優先順位付け
• 検出エンジニアリング
• ワークフローオーケストレーション
• 自動化
• 運用ガバナンス
• 永続的なセキュリティコンテキスト

AI はセキュリティ運用のフォースマルチプライヤーとなり、チームが調査を加速し、手動分析を減らし、隠れた関係を明らかにし、従来のワークフローよりもはるかに速く脅威の優先順位付けを行えるように支援します。アラート疲労、人員不足、運用複雑化の進行に悩む組織にとって、AI は最新の SOC のスピードとスケールを劇的に向上させることができます。

しかし、AI だけでは、信頼できる運用コンテキスト、統制されたワークフロー、一貫した人間が関与するセキュリティ意思決定の必要性を代替することはできません。セキュリティ運用には、調査と対応行動をチーム間で説明可能、再現可能、かつ整合させるための、正確な情報拡充、脅威インテリジェンス、エクスポージャ認識、エンティティ関係、ワークフローの状態、および運用上のガードレールが必要です。

成功する組織は、単に AI エージェントを大規模なデータセットに接続するだけではありません。

そうした組織は、テレメトリ、コンテキスト、運用知識、暗黙知、およびリメディエーションを、機械のスピードで信頼できる意思決定へと変換できるIntelligent Security Operations プラットフォームを構築することになるでしょう。

すべてのセキュリティリーダーが自問すべき質問

AI ネイティブのセキュリティアーキテクチャを評価する際には、自動化の主張やインフラ統合の提案にとどまらず、さらに踏み込んで検討してください。

次のような問いを立ててください。

• データウェアハウスの外部にはどのような運用コンテキストが存在するのか？
• 脅威インテリジェンスはどのように運用され、維持されるのか？
• エクスポージャと攻撃経路に関する知見は、どのように調査に組み込まれるのか？
• エンリッチメントパイプラインに障害やドリフトが発生した場合、何が起こるのか？
• AI による意思決定はどのように検証され、再現されるのか？
• エンティティ間の関係を長期にわたって維持するシステムは何か？
• アナリストと AI エージェント間で、運用上の一貫性はどのように維持されるのか？
• 自律的な行動を規定するものは何か？
• SOC の運用メモリと意思決定の基盤となるものは何か？
• 時間の経過とともにコンテキスト、パイプライン、および意思決定の質を維持するために、顧客側ではどの程度のエンジニアリング作業が必要なのか？
• 検出ロジック、エンリッチメント、および AI 駆動の意思決定は、どのようにバージョン管理、テスト、および監査されるのか？

セキュリティ運用の未来は、AI がより多くのデータにアクセスできるようにすることだけではないからです。

重要なのは、環境が進化し続ける中でも、AI によるセキュリティ上の意思決定が信頼でき、説明可能であり、運用上一貫していることを保証することです。それが、インテリジェントなセキュリティ運用の基盤となります。

Sumo Logic がどのように実現しているか、ご自身でご確認ください。デモを見る。