SOCにおけるAIエージェント:AIへの過度な期待から実運用への移行
ブログを読む
Vectra AI、2026年のガートナー「NDRマジック・クアドラント」においてリーダー企業の一つに選出
レポートを読む
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコンのボトムライン
  1. ブログ
    >
  2. AIによる脅威検知

SOCにおけるAIエージェント:AIへの過度な期待から実運用への移行

June 24, 2026
6/24/2026
Fabien Guillot
Vectra AI テクニカルマーケティングディレクター
SOCにおけるAIエージェント:AIへの過度な期待から実運用への移行

数週間前、ミュンヘンで過去最大規模のユーザーカンファレンスを開催しました!最終日には、脅威ハンティングと調査に焦点を当てたCTF大会を開催しました。最も複雑な課題を最速で解き明かしたのは誰だと思いますか?AIです

決して簡単な問題ではありませんでした。単なる検索で済むようなものでもありません。最も難しい問題でした。しかし、2分足らずで解き明かしました。その過程では、文脈を理解し、メタデータを調査し、視点を切り替え、ペイロードを解読し、適切な追問を行い、複数のクエリを実行し、点と点を結びつけ、最終的にフラグを見つけ出す必要がありました。

つまり、SOCアナリストとよく似た働きをしなければならなかったのです。

その瞬間は、AIエージェントがどこで真の価値をもたらせるかを改めて強く実感させてくれるものでした。それは、専門知識に取って代わるわけでも、あらゆる問題を魔法のように解決するわけでもなく、アナリストの日常業務を遅らせている反復的な調査作業を加速させることにあるのです。

これらの課題を解決したのは、そのまま使える汎用的なLLMではありませんでした。それは、Vectra AI Platformを完全に運用するために必要な適切なスキルセットで最適化された、厳選されたAIエージェントでした。このプロジェクトは、イベント当日にオープンソースとして公開されました。

AIはスタックのさまざまな段階で活用されています

AIエージェントやモデルコンテキストプロトコル(MCP)などについて話す前に、一歩引いて、ある点を明確にしておくことが重要です。Vectra AIにとって、AIは決して新しいものではありません。

AIは私たちのDNAの一部です。

Vectra AIは、機械学習やAI技術を活用して攻撃者の行動を検知するために、一から構築されました。これには、既知のツールやシグネチャ、静的な指標だけでなく、攻撃ライフサイクル全体にわたる行動を特定するように設計された、教師あり学習および教師なし学習の手法が含まれています。

その違いは重要です。

攻撃者はツールを変えたり、ファイル名を変更したり、インフラをローテーションさせたり、コマンドを改変したりすることができます。しかし、その行動には依然としてパターンがあり、MITRE ATT&CK 反映されているものと同じです。攻撃者は依然として横方向の移動が必要であり、権限の昇格が必要であり、コマンド&コントロールが必要であり、データの発見、アクセス、および持ち出しが必要なのです。

Vectra AI Platformにおいて、AIは常に重要な役割を果たしてきました。それは、単に既知の悪意あるアーティファクトを探すだけでなく、MITRE ATT&CK 全体にわたる行動検知を、より広範かつ堅牢で、より有用な形で実現することです。

しかし、検知はあくまで第一段階に過ぎません。

長年にわたり、Vectra AIは、シグナルがアナリストに届く前に動作するAI機能も開発してきました。これは重要なポイントです。なぜなら、SOCにおけるAIの価値は、アナリストが自然言語で質問をしたときに何が起こるかだけにあるわけではないからです。その価値の多くは、処理パイプラインのより早い段階で何が起こるかによって生み出されるのです。

例えば、「AI Triage」は、ノイズを自動的に低減し、検知結果を運用に活かせるようにすることで、チームがアラートの洪水に埋もれることなく、重要な業務に集中できるようにします。また、Vectra AIは、AIを活用した脅威検知やAI主導の優先順位付けにも注力しており、セキュリティチームが、どのエンティティ、行動、攻撃パターンに優先的に注意を向けるべきかを把握できるよう支援しています。

つまり、シグナルがアナリストに提示される段階では、すでに多層的なAIによる処理が施されているということだ。

だからこそ、次の段階はこれほどまでに強力なのです。

アナリストがVectra AI Platform内でAI支援型検索を利用する場合、あるいはチームがAPIやMCPを通じて独自のLLMやローカルエージェントをVectraに接続する場合、彼らは未加工でフィルタリングされていないテレメトリデータから作業を始めるわけではありません。彼らは、プラットフォームによってすでに検出、選別、優先順位付け、および文脈化された、AIを活用した充実したシグナルを活用しているのです。

これは大きな違いです。

SOCにおけるAIが今、脚光を浴びている。

実のところ、率直に言えば、今まさにその「瞬間」が数多く訪れているのです。どのベンダーもAIに関するストーリーを掲げています。どのアナリストレポートにもAIの視点が盛り込まれています。どのカンファレンスでも、エージェント型AI、コパイロット、アシスタント、MCP、自動化、そして「ヒューマン・イン・ザ・ループ」ワークフローが、まもなくすべてを一変させると約束するセッションが少なくとも1つは用意されています。

たぶんそうなんだろうね。

しかし、Hunt Club 、あることがはっきりと明らかになりました。それは、ほとんどのセキュリティチームが「SOCにAIが導入されるのか?」と問うていないということです。

彼らはもっと現実的なことを求めているのです:

「どこから手をつければいいのか、何を信頼すべきなのか、そして、業務上の混乱を招くことなく、これをどう活用すればよいのか?」

これが、私が先日Hunt Club で行ったセッションの主なテーマでした。このセッションでは、SOCスタックにおけるAIについて、また、セキュリティ担当者がAIをめぐる過熱した期待から実運用段階へとどう移行できるかについて話し合いました。

目標は単純明快でした。実用性を重視することです。またしても抽象的なAIに関する議論や、「SOCの未来」に関する予測を並べるようなことはしたくありませんでした。参加者の皆さんに、AIが今日すでに何ができるのか、Vectra AIがSOC内でのAI活用をどのように実現しているのか、そしてプレゼンテーションの一環として公開したオープンソースのスターターキットを使って、各チームが独自のエージェントの実験をどのように始められるのかについて、明確な理解を持って会場を後にしてもらいたいと考えました。

なぜなら、真の問題は、AIがSOCの一部となるかどうかではないからです。

肝心なのは、現時点であなたのチームにとってどの道が理にかなっているか、ということです

観客は私たちに重要なことを教えてくれました

「Hunt Club 」で最も価値のある要素の一つは、私たちが発表した内容だけではありませんでした。それは、参加者から寄せられたフィードバックでした。

セッションの中で、私たちは聴衆に簡単な質問を投げかけました。「現在のSOCはどの段階にあり、3年後にはどの段階に到達したいと考えていますか?」

その答えは、多くのことを物語っていた。

今日、ほとんどのチームは自社のSOCについて、「ルールベース」と「AI支援型 」の中間にあると説明しました。しかし、 3年後にどのような状態を目指しているかを尋ねたところ、状況は一変しました!

確かに、これらの数字は何かを物語っています。また、そこには人間らしい一面も表れています。ディフェンダーたちは野心的ですが、無謀ではないのです。

最大の飛躍は、「AIがすべてを行う」という方向ではなく、部分的な自律性の方向にある。つまり、AIが調査の全過程を遂行し、対応策を提案することはできるが、人間が依然としてすべての行動を精査し、最終的な決定を下すという状態である。

そのニュアンスは重要だ。

聴衆は「SOCからアナリストを排除してほしい」と言っていたわけではありません。彼らが言いたかったのは、「アナリストが本来得意とする業務に専念できない原因となっている、反復的で疲れる、時間のかかる作業をなくしてほしい」ということでした。

率直に言って、SOCにおけるAIに関する議論は、まさにその点に焦点を当てるべきなのです。

なぜなら、手動による調査から自律的な対応に至るまでの道のりは、一足飛びに達成できるものではないからです。それは成熟度の曲線なのです。

その進展が重要なのは、SOCごとに状況が異なるためです。

その場に参加していたチームの中には、すでにローカルエージェント、MCPサーバー、カスタムワークフロー、社内自動化の試験運用を行っているところもあった。一方で、まだその道のりの初期段階にあり、AIをスタックのどこに位置づけるべきか、またAIの導入によって新たなリスクや複雑さ、あるいは新たな種類の誤った自信が生じないようどう確保すべきかを模索しているチームもあった。

つまり、SOCにおけるAIの導入は、単なる技術的な問題ではないということです。それは運用モデルの問題なのです。

  • モデルに投入されているデータは信頼できるのでしょうか?
  • アナリストは、AIがなぜその推奨を行ったのかを理解できるのでしょうか?
  • 重要な決定が行われる場面では、人間を関与させ続けることはできるでしょうか?
  • 機密データを、本来送るべきではない場所に送信してしまうことを防ぐことはできるでしょうか?

この調査は、多くのセキュリティ責任者がすでに感じていたことを裏付けた。つまり、各チームは迅速な対応を望んでいる一方で、安全な対応も求めているということだ。彼らは、AIを活用して対応時間を数時間から数分に短縮したいと考えているが、同時に、管理性、透明性、そして信頼性も求めている。

SOCには、これ以上「魔法」は必要ありません。必要なのは、防御担当者の実際の働き方に合った、実用的なAIです。

SOCにおけるAIは、スタックから始まる

その成熟度曲線こそが、プレゼンテーションで「スタックにおけるAI」について触れた理由なのです。

なぜなら、AIがどこに位置するかは重要だからです。

AIが検出プロセスの最上流にのみ位置し、文脈やワークフローから切り離されてしまうと、それはノイズの多いデータを扱うチャットボットに過ぎなくなってしまいます。時には役に立ち、しばしば印象的ではありますが、正確とは言えません!  

AIをワークフローのより深い段階に組み込み、高精度の信号、調査の文脈、エンティティの挙動、対応措置、およびアナリストからのフィードバックと連携させれば、その能力は格段に向上します。これにより、情報の選別、相関分析、優先順位付け、調査、要約、脅威の探索、および対応策の指針策定を支援することが可能になります。

この区別は、システムへの信頼を築くための道のりを成功させる上で極めて重要です。

二つの道、一つの目標

Hunt Clubでは、あることをはっきりと伝えたいと考えています。SOCへのAI導入において、唯一の「正しい方法」など存在しないのです。  

始めるには、少なくとも2つの実用的な方法があります!Vectra AIでは、どちらの方法を選ばれても、最高の体験をお届けできるよう努めています!

多くのお客様にとって、最初の方法は最も迅速かつ簡単です。それはVectra AI Platformにすでに組み込まれているAI機能を利用することです。  

このアプローチは、独自のエージェントインフラを構築したり、ツールを連携させたり、ローカル設定を管理したり、カスタムワークフローを維持したりすることなく、AIのメリットを享受したいチーム向けです。AIは、実際に作業が行われる場所にすでに組み込まれています。アナリストは自然言語を使用して、調査、質問、分析の切り替え、要約を行い、検知結果やエンティティを迅速に確認・処理することができます。

すぐにその価値を実感できます!箱から出したその瞬間から

多くのチームにとって、これが適切な出発点となります。それは、野心が足りないからではなく、運用上のシンプルさを重視しているからです。彼らは、適切なデータ、適切な権限、そして適切なワークフローのもとで、製品内で機能するAIを求めているのです。

2つ目のアプローチは、AIの導入がすでに一定程度進んでいるチーム、あるいは単に制御性を高めたいチーム向けです。Vectra AI Platformのデータを含め、自社のSOCワークフローやデータに基づいて動作するローカルエージェントを構築します。

これは、お客様の環境にすでに存在するツール、コンテキスト、プロセスと連携できる、オープンなエージェントフレームワークです。これにより、チームは体験を柔軟にカスタマイズし、独自のプレイブックを定義し、エージェントがSOC運用とどのように連携すべきかを具体的に決定できるようになります。

もちろん、この2つの道は互いに排他的というわけではありません。

両方を同時に利用することも可能です。実際、多くのチームはまずVectra AI Platformに組み込まれたAI機能から始め、成熟度や要件、自信が高まるにつれて、徐々にローカルエージェントの導入を試していくことになるでしょう。重要なのは、ある道を永遠に選び続けることではありません。今、チームに価値をもたらす道を選びつつ、次のステップへの道筋も閉ざさないことです。

そうしたチームのために、私たちは単なるスライド以上のものを提供したいと考えました。そこで、実用的なものをリリースしました!!今日からすぐに使えるターンキーソリューションです!

「Vectra AI SOC Agent Starter」のご紹介

プレゼンテーションの一環として、当社は 「Vectra AI SOC Agent Starter」を公開しました。これは、Vectra AI Platformを基盤としてAIエージェントやアシスタントを構築するためのオープンソースのスターターパックです。

このリポジトリは意図的にコンパクトに作られています。内容を読んで、実行してみて、それから機能を拡張してみてください。

その目標は単純明快です。セキュリティチームが、AIを活用した独自のSOCアシスタントを構築するための実用的な出発点を提供することです。  

このリポジトリには、エージェントがVectra AIを操作するために必要な中核的なコンポーネントが含まれています:

  • ご希望の お好みのLLM(例:Claude、GPT、Gemini、またはお好みのエージェントホストを通じて利用可能なその他のモデルなど)。
  • An MCPサーバー エージェントがVectra Platform内のデータ(検知、スコアリング、PCAP、メタデータ、ログなど)とやり取りできるようにする機能を提供する
  • エージェントのスキル SOCワークフロー、SQLレシピ、レポート作成、脅威ハンティング、PCAPトリアージに関するスキル。これらのスキルは、特にVectraプラットフォームの運用に関する専門知識を提供することを目的としています!
  • An AGENTS.md 。このファイルは、エージェントが何であるか、どのようなスキルがあり、いつそれらを使用すべきかをエージェントに指示するものです。これは、エージェント向けの導入ガイドと考えてください。  

これは完成品として位置づけられているわけではありません。これは、あなたが始められるようサポートするスターターキットです!

フォークして、調整して、独自のSOCプレイブックを追加しましょう。エスカレーションポリシー、過去のインシデント、用語、アーキテクチャ、報告フォーマット、引き継ぎプロセスをシステムに学習させましょう。自分だけのシステムに仕上げれば、エージェントのパフォーマンスは どんどん向上していきます!

なぜこれをリリースしたのか!

サイバーセキュリティの世界では、すべてを「表に出さない」ようにしたくなる誘惑が常にあります!!でも、ここでは違います!

AIの爆発的な普及、MCPの導入、そしてエージェント型ワークフローの新たな標準の登場を受けて、私たちはこれまでとは異なるアプローチを採用したいと考えました。当初から、私たちの目標は、Vectra AI Platformが単にAI対応であるだけでなく、AIによって運用可能なプラットフォームとなることを確実にすることでした。つまり、LLM主導のワークフローを通じて、安全かつ効果的に運用できるということです。

だからこそ、当社は早い段階からMCPに投資してきました。当社はNDRベンダーとして初めてMCPサーバーをリリースし顧客からのフィードバックをもとにその機能を継続的に拡充してきました。これには、マルチテナント機能や、ネットワークメタデータを直接クエリする機能などのサポートも含まれています。

しかし、MCPは物語の一部に過ぎない。

また、アナリストが調査中に実際に投げかけるような質問に対応できるよう、APIの機能強化にも注力してきました。というのも、アナリストが「何が起きたのか」「どのエンティティが重要なのか」「何が変化したのか」「何がリスクとなるのか」、あるいは「次に何をすべきか」を理解しようとする場合、プラットフォームはAIエージェントが効率的に活用できる形で、適切なコンテキストを提供する必要があるからです。

その研究内容の一部については、以前のブログ記事でも詳しく紹介していますのでAIを活用したセキュリティプラットフォームに対する当社の考え方をより深く理解したい方は、ぜひそちらもご覧ください。

こうした理由から、Vectra AI SOC Agent Starter では、さらに一歩先を行きたいと考えたのです。

  • 単にその概念を説明するだけではありません。
  • 単にアーキテクチャ図を示すだけではいけない。
  • 単に「AIエージェントが登場する」と言うだけではいけない。

私たちは、当社が開発・選定・テストを行ったローカルSOCエージェントを、チームが(わずか数分で!)すぐに使い始められるよう、実践的で段階的な方法を提供したいと考えました。

その考え方はシンプルです。顧客や実務担当者に、安全な出発点を提供することです。彼らが、自社のSOCワークフローに基づいて、読み、実行し、テストし、適応させ、拡張できるようなものを提供します。

これは決して、「いつかAIがSOCを救う」といった類の話にするつもりはありませんでした。それよりもはるかに実践的な内容です。今日から安全に実験を始める方法をご紹介します。

次のようなプロンプトを試してみてください:「vectra priorities」

Vectra AI スキルに含まれるエイリアスを使用すると、Vectra AI プラットフォームから優先順位付けされた最新の実体が自動的に分析されます。

「CISAからの勧告です。当社のテナント全体で、この勧告に記載されている内容をすべて確認してください。」

こうした例こそ、私たちが「親しみやすいもの」にしたいと考えていたワークフローそのものです。なぜなら、AIエージェントを理解する最良の方法は、アーキテクチャ図を眺めて感心することではなく、実際にワークフローを実行し、どこが役立つか、どこに安全策が必要か、そしてチームがどこをカスタマイズしたいかを確認することだからです。

行動喚起

SOCにおけるAIの導入は、必ずしも分岐点である必要はありません。それを「成熟への道のり」と捉えてください。

まずは、Vectra AI Platformにすでに組み込まれているAI機能から始めてみてください。これが、価値を最も早く得るための最速の方法ですアナリストがすでに使用しているワークフロー内で、AIを活用した検索、AIによる調査、コンテキスト情報の充実、優先順位付け、そしてガイダンスを直接利用できます。

その後、チームでさらなるカスタマイズが必要になった際には、「Vectra AI SOC Agent Starter」を活用してローカルエージェント機能を拡張してください。独自のツールを連携させ、プレイブックを組み込み、SOC特有のコンテキストを追加し、チームの実際の業務スタイルに合わせてエージェントをカスタマイズできます。

これらの手順は互いに排他的ではありません。多くのチームは、即効性のある価値を得るために組み込みのAIを、そして長期的にさらに詳細なカスタマイズを行うためにローカルエージェントを、両方併用しています。

目標はシンプルです。まずは実践から始め、信頼を築き、人間が主導権を握り続け、SOCの成熟度が高まるにつれて自律性を高めていくことです。スターターキットをぜひお試しいただき、組み込みのAI機能を体験し、フィードバックをお寄せください。また、オープンソースプロジェクトへの貢献や、ライブデモのご依頼も歓迎します。私たちは、皆様のSOC運用において、今すぐAIを有効に活用できるようサポートいたします。

SOCの未来は、AIをめぐる過熱した期待によって決まるわけではありません。AIをどのように活用すべきかを理解している防御担当者たちによって決まるのです。

よくある質問 (FAQ)