本記事は、もともとSC Magazineに掲載されたものです。
今年のRSAC 2025に参加した方であれば、Agentic AIが話題に上った可能性は高いでしょう。ベンダーは数十ものAgentic AI製品を前面に押し出し、その多くはSOCのユースケースに合わせて設計されていました。また、マーケティング担当者も、自社をイノベーションの最前線に位置付けるため、積極的に訴求していました。
しかし、SOCにおけるAgentic AIの実用的な活用方法や真の価値についての建設的な議論は、十分に行われていませんでした。多くのセールストークで見落とされていた点は、次のとおりです。
Agentic SOCプラットフォームは、代替手段ではなく戦力増幅装置である
Agentic SOCソリューションに関して耳にした大きな誤解の一つは、これらのソリューションがセキュリティ専門家の仕事を奪い、SIEM(セキュリティ情報およびイベント管理)ツールなど、現場で使い慣れたツールの一部を置き換えるというものです。しかし、それは正確ではありません。実際には、人間、SIEM、Agentic SOCソリューションは、連携して使用することでより大きな効果を発揮します。
セキュリティ専門家は、効果的なAgentic SOCツールを活用することでメリットを得られます。こうした新しい製品は、煩雑な作業負荷を軽減できます。アラートのトリアージや調査に費やす時間は大幅に短縮され、より高度な調査や対応業務に集中できる時間が増えます。
SIEMは数十年にわたって活用されてきたものであり、今後もなくなるものではありません。SIEMは大量の履歴データとコンテキストを収集しており、Agentic SOCソリューションはそれらを活用して推奨事項や対応を生成できます。一部のAgentic SOCツールはデータポイントに推論やアクションを加えますが、有効に機能し続けるには、SIEM内のコンテキストにアクセスできる必要があります。
コンテキストの重要性が過小評価されている
Agentic AIについて、業務負荷の軽減という観点で語られる中で見落とされがちな要素の一つが、サードパーティシステムと連携して動作する能力です。こうしたサードパーティツールやデータソースには、それぞれ固有のインターフェース、データスキーマ、運用方法があります。ツールの仕組みに関する深いコンテキスト知識がなければ、エージェントがそれらを誤って解釈する可能性があります。AIエージェントには、データへの十分なアクセス、ワークフローの可視性、強力なフィードバックメカニズム、環境コンテキストを備えた深いインテグレーションが必要です。
こうした深いコンテキストを実現する要素が見落とされると、Agentic AIツールはタスクを減らすどころか、ToDoリストにタスクを追加してしまう可能性があります。たとえば、ソリューションがアラートをトリアージし、推奨事項を提示した場合、そのデータがどのように収集されたかについて透明性はあるでしょうか。そのデータの透明性を確認するために、別のシステムを確認する必要があるのでしょうか。それはチームの作業を増やすことにならないでしょうか。コンテキストの深さや、導入後のチューニング自動化の重要性は、依然として見落とされがちな要素です。
ベンダーは、製品の真の価値を証明できるPoCを提供していない
会場には混雑したブースや目を引くバナーがあふれていました。しかし、ブースでのデモは、ベンダーが提供する最も優れた機能を見せるために最適化されたものです。ユーザー自身の環境に製品をデプロイすることで得られるような洞察までは提供できません。
Agentic AI SOCツールに関するベンダーの主張は、時間やコストの削減から、エージェントによる自律的な意思決定と実行まで多岐にわたっていました。概念実証(PoC)は、そうした主張が企業のSOC環境下でも成り立つかどうかを検証するうえで役立ちます。そのツールは、企業固有のデータ量やアラート種別に対応できるでしょうか。組織の事業運営に不可欠な技術スタック内のツールと連携できるでしょうか。
多くの人は、「PoCは目新しいものではなく、その価値はすでに分かっている」と考えるかもしれません。それは事実です。しかし、AIエージェントがセキュリティ専門家を置き換えるという誤解に、現在の経済状況が重なることで懸念が高まっています。こうした懸念は、机上評価よりもPoCを通じて和らげることができます。アナリストに製品をテストする機会を提供し、それが自分たちを置き換えるものではなく支援するものであると確認してもらうことは、ユーザーと製品の間、そして従業員と投資判断者の間の信頼構築に大きく貢献します。
PoCを実施し、迅速なイノベーションのためにすぐ大規模投資へ踏み切りたいという衝動を抑えることで、チームはSOCのリスク許容度や運用上の細かな特性に合わせて、ツールのロジック、ポリシー、しきい値をチューニングできます。
どのような新しいテクノロジーにも、実態の乏しい誇大な期待を生み出すハイプサイクルは避けられません。新製品の真の価値を見極めるには、実際に試し、高い基準に照らして、その約束を果たせるかを評価する必要があります。成果が正確であること、ソースが透明であること、データにすぐアクセスできること、そして組織の成功に不可欠なチームやツールの運用を補完するものであることを確認してください。
