Learning Center
AI SOC 用語集

AI SOC 用語集

基本的な AI SOC ボキャブラリーの簡潔なリファレンスです。

AI SOC プラットフォームのコアコンセプト

  • エージェンシー AI: 自律的に行動するように設計されたAIは、複数のモデルにわたって推論して脅威を検知、優先順位付け、対応すると同時に、継続的に改善を行うように設計されています。
  • エアソックス: 検出、トリアージ、調査、対応、リスクといったSOCライフサイクルのあらゆる段階をAIが強化または自動化する最新のSOCアプローチ。
  • エージェンシー SOC: 意図を解釈し、コンテキストに基づいて推論し、検知、トリアージ、対応を通じて動的に行動する自律型AIエージェントを搭載したセキュリティオペレーションセンターです。これにより、SOCは事後対応型から適応型で自己改善型のものへと変化します。
  • セッション: キーやトークンなど、同じ認証コンテキストを共有する関連イベントを論理的にグループ化し、単一の ID からのアクティビティを表します。
  • アイデンティティ: システムまたはログイベントでアクションを実行するエンティティ (人間、サービス、またはアプリケーション)。
  • 資源: アプリケーション、デバイス、ワークロード、リポジトリ、インスタンスなど、システムまたは環境内の任意のオブジェクト。
  • アカウント: ID、リソース、または設定が作成および管理されるコンテナ。
  • 検知: 監視ツールまたはアナリティクスによって生成されるシグナルまたはアラートで、疑わしいアクティビティや異常なアクティビティの可能性があることが示されます。
  • データソース: 監視、検出、または分析に使用されるログ、テレメトリ、または設定データの起源。
  • ワークフロー: アラートや検出結果の分析、トリアージ、対応を行うための、構造化された一連のステップ(多くの場合自動化されています)
  • 校長: 特定の結果またはアクションに関連するプライマリ ID またはリソース。
  • アクション: ID またはリソースによって、またはそれに対して実行される操作またはアクティビティ。
  • 俳優: 環境内でアクションを実行または試行する外部または内部のエンティティ。
  • 解像度:トリアージまたは調査の決定された結果(例、真陽性、偽陽性)。
  • 推奨事項: 発見または設定ミスの処理または修正に関するガイダンス。
  • クラス分け: 検出結果、脅威、またはリソースタイプを分類して優先順位付けや分析を行うプロセス。
  • 公開アクセス可能: 外部ネットワークから制限なくリソースにアクセスできるかどうかを示します。

AI とアナリティクス

  • マルチモデル AI: さまざまなタイプのAIモデル(セマンティック、行動、知識ベースなど)を組み合わせて使用することで、より詳細な検出、トリアージ、調査、対応が可能になります。
  • セマンティックモデル: ログ、アラート、テキストを解釈して意図と意味を理解する AI モデル。
  • 行動モデル: ユーザー、システム、またはワークロードのアクティビティパターンを分析して異常を検出する AI モデル。
  • ナレッジモデル: 履歴データ、フレームワーク、外部インテリジェンスからのコンテキストを使用して検出を強化するジェネレーティブAIモデル。
  • リスクルール: 設定とログをチェックして、設定ミス、リポジトリの悪用、シークレットなどのポスチャベースのリスクを特定するための一連のルール。

アイデンティティコンセプト

  • エンタープライズアイデンティティ: 複数のアプリケーションやシステムにまたがる人間の複数のアカウントを標準的に表したもので、調査と分析を簡素化します。
  • オリジンアイデンティティ: アクションを開始した最初の人間またはマシンのエンティティ。アクションが引き受けた役割または代理人を通じて実行された場合も含みます。
  • 祖先/子孫: あるロール(祖先)が別のロール(子孫)を引き継ぐような、連鎖的な役割の引き受けまたは委任を説明する用語。
  • 認証チェーン: オリジンアイデンティティからアクションを実行する実効アイデンティティへと導く一連の役割の引き受けまたは委任。
  • 人間/機械: ID が人を表すのか、自動化プロセスを表すのかに基づく ID の分類です。
  • 管理者: リソースまたはシステムへの幅広いまたは特権的な管理アクセス権を持つアイデンティティ。
  • サードパーティ: 組織外の環境と相互作用する外部アイデンティティまたはエンティティ。
  • 高い特権: 管理者権限または広範なシステム制御に昇格できるアイデンティティ。
  • 特権過ぎ: 本来の用途に必要以上の権限が付与されたアイデンティティ。通常、権限が長期間 (たとえば 90 日間) 使用されなかった場合に決定されます。

セキュリティと調査結果

  • 脅威検出: 悪意のある、または有害な活動が発生した、または継続していることを示唆する所見。
  • リスク発見: 妥協の可能性を高めるような設定ミスや状態を浮き彫りにした所見。
  • 修復: 脅威またはリスクの発見を軽減または解決するために講じられた措置。手動でも自動でも可能です。

セキュリティ運用の概念

  • SOC (セキュリティオペレーションセンター): サイバー脅威の監視と防御を担当する人材、プロセス、テクノロジー
  • SIEM (セキュリティ情報およびイベント管理): サーバー、ネットワークデバイス、アプリケーション、エンドポイントなど、組織のインフラストラクチャ全体からログとイベントを収集、正規化、関連付けて、疑わしい動作の検出、調査のサポート、アラートの生成を行う一元化されたプラットフォームです。
  • SOAR (セキュリティオーケストレーション、オートメーション、レスポンス): セキュリティツールのオーケストレーションを可能にし、調査と対応のワークフローを自動化し、プレイブック主導のアクションをサポートするソリューションです。
  • MDR (マネージドディテクション&レスポンス): 継続的な検出、調査、対応を提供するアウトソーシングSOCサービス。
  • MTTD (平均検出時間): 脅威の特定にかかった平均時間。MTTD は、各脅威が実際に発生したときと最初に検出されたときとの時間差の合計を脅威の総数で割って計算されます。
  • MTTI (平均調査時間): 脅威の検出後、脅威の分析と確認にかかった平均時間。MTTI は、各脅威が検出されてから調査が完了した時点までの時間差を合計し、調査した脅威の総数で割ることによって計算されます。
  • MTTR (平均応答時間/回復時間): 脅威を封じ込め、修復し、回復するまでの平均時間。MTTR は、各脅威が確認されてから、対応または回復が完了した時点までの時間差を合計し、脅威の総数で割って算出します。
  • 偽陽性率: 誤って脅威としてフラグが付けられたアラートの割合。誤検知率は、分析されたアラート総数のうち、誤って脅威としてフラグが立てられたアラートの割合です。この値を下げると、アナリストの集中力が向上します。
  • アラート疲労: 大量のアラートとノイズ(誤検知など)が原因でアナリストの燃え尽き症候群が発生。
  • SecOps オートメーション: 自動化を利用して、アラートの重複排除、フィッシング詐欺のトリアージ、疑わしいログインの調査、クラウドの設定ミスの分析などのセキュリティ運用ワークフローを合理化および強化します。
  • TDIR (脅威の検出、調査、対応): 脅威の検出、その範囲と影響の調査、調整された対応アクションの実行を統合したセキュリティ運用ライフサイクル。3 つのフェーズすべてを継続的なワークフローにまとめることで、リスクの軽減と運用スケジュールの短縮に役立ちます。

データと可視性

  • ログの取り込み: 監視と分析のためにシステム、アプリケーション、ネットワークからデータを収集します。
  • 検出範囲: 脅威、環境、攻撃手法がどの程度監視されているか。
  • データエンリッチメント: 未処理のアラートにコンテキスト(ユーザーID、資産の重要度、脅威情報など)を追加して、より迅速な意思決定をサポートします。
  • ノイズリダクション: 無関係なデータや冗長なデータをフィルタリングして、意味のあるシグナルに焦点を当てます。

お客様の成果

  • 生産性向上: 自動化とAIの強化により、アナリスト1人または単位時間あたりに完了するセキュリティ調査の数がどのように増加するかを示す尺度。ログレビュー、エンリッチメント、トリアージなどのタスクにおける手作業が減り、アナリストはより価値の高い意思決定に集中できるようになったことを反映しています。生産性の向上は、多くの場合、自動化を行わないベースラインと比較して、比率 (たとえば、アナリスト1人あたりの処理件数が2倍多い) または増加率で表されます。
  • コスト効率: インフラストラクチャ、ツール、および人件費を抑えながら、同等または改善されたセキュリティ成果を実現できること。これは、不要なログの保存と処理を減らし、誤検出を排除し、自動化によって調査と対応を迅速化することで実現されます。コスト効率は多くの場合、運用コストの削減率または従来の SOC アプローチと比較して回避されたコストとして評価されます。
  • スケーラビリティ: セキュリティチームが、人員やコストを比例して増加させることなく、増加するアラートの量、環境、複雑さに対応できる能力。自動化と AI の強化により、小規模または中規模のチームは、従来型の大規模な SOC を構築しなくても、24 時間 365 日の監視と対応を含め、業務をエンタープライズレベルにまで拡大できます。スケーラビリティは、多くの場合、処理されたインシデントや達成されたカバレッジをアナリストの時間数やチーム規模と比較することで追跡されます。
  • オペレーショナル・レジリエンス: 大量の警報、スタッフ不足、リソース制約などのストレス下でも効果的な運用を維持できるセキュリティプログラムの能力。これは、混乱があってもSOCが脅威をどれだけうまく検出、調査、対応できるかを反映しています。主な指標には、一貫した MTTD/MTTR パフォーマンス、モニタリングの継続性、需要がピーク時に正常に封じ込められたインシデントの割合などがあります。

産業とエコシステム

  • マイターアタック&ック: 攻撃者の戦術と技法に関する知識ベースで、検出範囲のマッピングによく使用されます。
  • 脅威インテリジェンス: 攻撃者のインフラストラクチャ、ツール、キャンペーンに関するデータとコンテキスト。検出と調査を強化するために使用。
  • 自動化プレイブック: 調査または対応のための自動アクションの事前定義済みシーケンス(ホストの隔離、ユーザーアカウントの無効化など)。
  • SOC メトリクスと KPI: MTTD、MTTR、偽陽性率、アナリストの作業負荷などの定量的指標を使用して、SOC のパフォーマンスをベンチマークします。

目次

シェア

Exaforce Request Product Demo
テキストリンクテキストリンク

Exaforce がセキュリティ業務の変革にどのように役立つかをご覧ください

Exabots + ヒューマンがあなたのために何ができるか見てみましょう

デモをリクエストする
MDR の専門家に相談する
アイテムが見つかりません。
アイテムが見つかりません。