この記事は元々掲載されました SC マガジン。
参加された方へ 今年の RSAC 2025、エージェントAIが会話の中で登場した可能性があります。ベンダーは何十ものエージェント AI 製品を推し進めてきましたが、その多くはセキュリティオペレーションセンター (SOC) のユースケースに合わせて調整されていました。マーケティング担当者は、自社をイノベーションの最前線に位置づけるために真っ向から取り組んでいます。
しかし、SOCにおけるエージェントAIの実用化と真の価値についての思慮深い対話は途絶えました。セールストークの多くが見逃していたものは次のとおりです。
エージェンシー SOC プラットフォームはフォースマルチプライヤーであり、それに代わるものではありません。
エージェント型SOCソリューションに関する最大の誤解の1つは、セキュリティ専門家を仕事から遠ざけ、セキュリティインシデントおよびイベント管理(SIEM)ツールなど、最も使い慣れたツールの一部に取って代わってしまうというものです。これは正確ではありません。実際、人間、SIEM、エージェントは正確ではありません。 SOC ソリューションは組み合わせて使用するとより効果的です。
セキュリティプロフェッショナルは、効果的なエージェント向けSOCツールを使用することでメリットを得られます。新製品は面倒な作業負荷を最小限に抑えることができ、アラートのトリアージと調査の実施に費やす時間が大幅に短縮され、レベルを上げて上位層の調査や対応タスクに集中できる時間が増えます。
SIEMは何十年も前から存在しており、どこにも行きません。エージェントのSOCソリューションでは、大量の履歴データや背景情報を収集して、推奨事項や回答を導き出すことができます。エージェント向けSOCツールの中には、データポイントに推論とアクションを追加するものもありますが、効果を維持するにはSIEM内のコンテキストにアクセスする必要があります。
コンテキストは見過ごされがちです。
ワークロードの最小化についての会話では見過ごされがちですが、エージェントAIの見過ごされがちな側面は、サードパーティのシステムと連携して動作する能力です。こうしたサードパーティーのツールやデータソースには微妙なインターフェイス、データスキーマ、操作があり、エージェントはツールの仕組みに関する深いコンテキスト知識がないと誤解してしまう可能性があります。AI エージェントには、データへの十分なアクセス、ワークフローの可視性、強力なフィードバックメカニズム、環境コンテキストを備えた緊密な統合が必要です。
ディープコンテキストを有効にすることを見落とした場合、エージェント AI ツールはタスクを削除するのではなく、ToDo リストにタスクを追加できます。たとえば、ソリューションがアラートをトリアージして推奨事項を提示した場合、収集されたデータには透明性が保たれますか?そのデータの透明性を得るには、別のシステムを経由する必要があるのでしょうか。それはチームにとって仕事が増えるということでしょうか?コンテキストのレベルと導入後の微調整を自動化することの重要性は、依然として見過ごされがちです。
ベンダーは、製品の真の価値を証明できるPOCを提供していません。
混雑したブースや派手なバナーがいたるところにありましたが、ブースのデモは、ベンダーが提供する最高の機能を紹介するために最適化されています。製品をユーザー自身の環境にデプロイしても得られるような洞察を提供することはできません。
エージェント型AI SOCツールに対するベンダーの主張は、時間と費用の節約から、エージェントが意思決定を行い、自律的に実行することまで多岐にわたりました。概念実証 (PoC) は、これらの主張が企業の SOC の条件下でも成り立つかどうかを検証するのに役立ちます。このツールは会社の特定のデータ量やアラートタイプで動作できますか?組織の事業運営に不可欠な技術スタック内のツールと統合できるか?
多くの人が、「POCは新しいものではない。価値があることはわかっている」と思うかもしれません。確かに、現在の経済情勢と相まって AI エージェントがセキュリティの専門家に取って代わるという誤解は、紙による評価を支持する PoC で鎮めることができるという懸念を増しています。アナリストに製品をテストし、代替品ではなく役立つことを確認する機会を与えることは、ユーザーと製品、従業員、投資意思決定者の間の信頼を築くのに大いに役立ちます。
PoCを実施し、迅速なイノベーションのために多額の投資をすぐに行いたいという衝動を抑えることで、チームはSOCのリスク選好度や運用上の微妙な違いに合わせて、ツールのロジック、ポリシー、閾値を微調整できます。
ですから、どんな新しいテクノロジーでも、私たちは必ず誇大広告のサイクルを巻き起こします。新製品の真の価値を見出すには、試乗して高い水準を維持し、約束を果たすことが必要です。結果が正確で、情報源が透明で、データがすぐにアクセスできること、組織の成功に不可欠なチームやツールの運用を補完するものであることを確認してください。
