本記事は、もともとHelp Net Securityに掲載されたものです。
LLMやAgentic AIシステムは、会議の文字起こしや要約、アクション項目の抽出、重要メールの優先順位付け、さらには旅行の計画など、日常業務の生産性向上においてすでに優れた能力を発揮しています。しかしSOCでは、ミスが実際のコストに直結します。今日のモデルは、大量のリアルタイムデータストリーム全体にわたって高い精度と一貫した実行が求められる業務では、まだ限界があります。この信頼性のギャップを大規模に解消しない限り、LLMだけでSOC業務の大半を自動化することはできません。
人間は、曖昧な問題を整理し、リスクを考慮した判断を下し、ドメイン知識に基づく直感を適用することに優れています。特に、シグナルが弱い場合、矛盾している場合、または新しい場合にその強みが発揮されます。
一方、機械は、大量・高速・非構造化データを低い限界コストで処理することに優れています。疲れることも、忘れることも、判断がぶれることもないため、脅威検知を補完する存在として理想的です。しかし、トリアージは依然として人間が担ってきました。コンテキストの統合、仮説の生成、ビジネスリスクの判断において、機械やLLMは人間を真に代替することができないためです。
SOC自動化は、まだ初期段階にあります。攻撃者がAI主導の自動化を武器化する中、防御側は、機械がマシンスピードで大半の攻撃を阻止できる均衡点に到達する必要があります。その均衡がなければ、防御側は急速に後れを取ります。
SOC内部でLLMが破綻する要因
マシンスピードの防御へ移行するには、プラットフォームが現在のLLMの限界を克服する必要があります。
- 大規模なリアルタイム取り込み ログ、EDR、メール、クラウドリソース、アイデンティティ、コード、ファイルなど、急速に蓄積されるデータを遅延や欠損なく継続的に処理すること。
- 大規模で持続的なコンテキスト 資産インベントリ、ベースライン、ケース履歴など、非常に大規模で長期的に保持されるナレッジを保存・取得し、時間の経過に伴うアクションやシーケンスを正しく解釈すること。
- 低レイテンシー・低コストの実行 フィルタリング、相関分析、エンリッチメント、推論を、流入するデータの速度に合わせて実行し、しかも非常に低コストで行うことで、エンタープライズ規模に対応できるようにすること。
- 決定論的ロジック 大規模データセットに対して思考の連鎖をたどり、再現性があり、説明可能で、理解しやすい結果に到達すること。不安定で不透明な結果では不十分です。
- 推論の一貫性 生成モデル特有の不安定さではなく、2人の人間の間で生じる判断差の範囲に収まる、調整された再現性のあるロジックを提供すること。
解決策:スタックの再考
進むべき道は、「プロンプトを増やすこと」ではありません。必要なのは、これらの問題を解決し、LLMをSOCのユースケースに適したものにする新しいタイプのモデルです。
AI/MLで実用的な成果を出したことがある人なら、モデルには高品質なデータが必要であることを理解しています。高品質な脅威検知と調査には、ログで得られる情報よりもはるかに多くのデータが必要です。そのため、ログ中心のSIEMから脱却する必要があります。例えば、業務上重要なアプリケーションで、通常とは異なる場所からファイル権限が変更されるような機密性の高いアクションを考えてみてください。イベントレコードだけでは不十分です。ファイルの種類、ラベル、変更を行ったユーザーの役割と権限、ファイルの作成者などを把握する必要があります。
これを実現するには、ログだけでなく、アイデンティティ、構成、コード、ファイル、脅威インテリジェンスを取り込み、相関分析できるリアルタイムデータウェアハウスが必要です。そのデータウェアハウス上で、これらすべてのリアルタイムデータを人間レベルの推論で処理できるAIエンジンを稼働させるべきです。
AIエンジンの一つのアプローチは、マルチモデルAIエンジンを構築することです。これは、セマンティック推論、行動分析、大規模言語モデルを組み合わせたパイプラインです。セマンティック理解と統計的MLが、低レイテンシーのパイプラインを通じて大量データの主要な処理を担い、LLMが相関分析と推論を行う対象範囲を絞り込みます。その結果、レイテンシーやコストを増大させることなく、大規模環境で信頼性の高い推論を実現できます。
このアプローチにはもう一つの利点があります。リアルタイムデータウェアハウスは、脅威を検知しアラートをトリアージするAIエンジンを継続的に学習させるうえで重要であるだけでなく、可視性とフォレンジックのための長期的なデータウェアハウスとしても活用できます。これにより、従来のSIEMを、はるかに現代的なデータプラットフォームへ実質的に置き換えることができます。AI主導SOCにおけるSIEMレスの未来が、ここから始まります。
これによりSOCはどう変わるのか
- 脅威検知(検知エンジニア) ほとんどの組織において、この希少で専門性の高い役割は、保守性の低いルールの作成やUEBAのチューニングから、適応型システムの設計へと進化します。個別の指標やシグネチャに基づく検知を作り込むのではなく、エンジニアは、ログ、アイデンティティ、構成、コードリポジトリ全体にわたってシグナルを継続的に相関分析するAI主導モデルを運用・調整します。重点は、ルール作成から、検知精度を長期的に維持するための脅威モデリングとフィードバックループへ移行します。
- アラートトリアージ(SOCアナリスト/Tier 1・2) トリアージは長い間、反復的なエンリッチメント、相関分析、ノイズ削減、ITやDevOpsのユーザーへの確認依頼などに支配されてきました。当社の高度なAIエンジンと人間による監督を組み合わせることで、こうした作業の大半は自動化可能になります。当社のトリアージボットであるエクサボットは、人間のアナリストと連携して、生産性を大幅に向上させます。時間の経過とともに、人員配置モデルも変化します。24時間365日の対応における大規模なTier 1/Tier 2チームや外部委託MSSPへの依存が低下し、全体的なコストが下がり、より多くのアラートを検知・トリアージできるようになります。
- スレットハンター ハンティングは人間の直感が最も重要となる領域ですが、遅いクエリ、分断されたツール、不完全なデータによって制約されることが少なくありません。現代的なデータアーキテクチャと前述のAIエンジンにより、ハンターは、異常を浮かび上がらせ、タイムラインを構築する自動エージェントの支援を受けながら、相関分析済みでコンテキストに富んだ情報をリアルタイムにクエリできます。何時間もかけて証拠を集める代わりに、ハンターはエージェントをプログラムして仮説を検証し、攻撃者エミュレーションを実行し、弱いシグナルを創造的に追跡します。これにより、事後対応型のケース対応から、プロアクティブな防御へと移行できます。
今後の展望
現代的なデータアーキテクチャと進化したAIモデルを組み合わせることで、今日のLLMが抱える多くの制約を克服し、Agentic AIシステムから信頼できる成果を得るために必要な人間による監督を段階的に減らせると、私たちは確信しています。これは、エンタープライズ規模の予算や人員を持たずに、エンタープライズレベルのセキュリティを実現しなければならない中規模企業にとって、特に重要です。適切に実現すれば、機械はセキュリティを民主化し、多くの組織がレガシーアーキテクチャとその制約を飛び越えられるようになります。
要するに、LLMは大きなブレークスルーです。しかし、セキュリティには、リアルタイム性、持続的なコンテキスト、決定論的ロジック、大規模環境での一貫した推論に対応するよう設計された、改良された「脳」が必要です。エクサフォースが取り組んでいるのは、まさにこの領域です。
