私たちは、AIがそばに存在していることを知っています。それは私たちの行動を記録し、傾向を学び、さまざまなタスクを支援してくれています。しかし、それが具体的に何をしているのかを正確に説明するのは、まだ難しいところがあります。とはいえ、AIがもたらす可能性や、日常生活や仕事にどのような影響を与えているのかを考えると、議論は一気に興味深いものになります。今回の話題では、主にサイバーセキュリティ業界において、AIエージェントが何を意味するのかを取り上げます。それはまた、人間がAIと共存し、どのように活用していくのかという未来の姿を浮き彫りにするテーマでもあります。その前に、“agent(エージェント)”という言葉の辞書的な定義を、以下のように更新する必要があるかもしれません。
他者に代わって行動することを許可された人間、企業、または人工知能
あるいは、「介助動物」なども追加していいかもしれません。たとえば、家の中の汚れた洗濯物を見つけて洗濯室に運ぶように訓練された犬がいたとします。その犬はあなたに認可された「洗濯物エージェント」というわけです。床に洗濯物を放置していても、それに文句を言うなら、その犬と話し合ってください、ということになります。
私の提案をMerriam-Webster辞典が検討してくれている間に、IBMによるより具体的なAIエージェントの定義をご紹介します。
AIエージェントとは、ワークフローを設計し、利用可能なツールを活用することで、ユーザーや他のシステムに代わって自律的にタスクを実行できるシステムまたはプログラムのことです。(IBM)
特に複雑ではなく、AIエージェントがどのようにしてタスクを割り当てられ、実行するかを考えると理解しやすい定義です。ただ、最近のAIエージェントに関する記事を読むと、さまざまな疑問が提起されていることがわかります。中には「誰もAIエージェントを明確に定義できていない」と述べる記事もあります。これはFortune誌の巧妙な見出しでもあり、呼び名ではなく、「実際に何ができるのか」に焦点を当てた内容とも言えるでしょう。一方で、Wired誌のように「AIエージェントにどこまで任せるべきか?」という問いを投げかける記事もあります。
いずれも重要な視点ですが、サイバーセキュリティの文脈でAIエージェントを調べていくと、AIが業務プロセスに与える影響や、実際にどのようなタスクを担っているかがより明確に見えてきます。私たちは最近、Vectra AIの「2024年版 脅威検知とレスポンスの実態レポート」を通じて、サイバーセキュリティ分野におけるAIの導入状況について多くを学びました。しかし、本当のインパクトを理解するには、単なる導入率以上に目を向ける必要があります。
サイバーセキュリティにおけるAIエージェント
では、サイバーセキュリティにおけるAIエージェントとは一体何なのでしょうか?脅威の検知、調査、そして対応という観点から見てみましょう。防御側が攻撃を素早く察知し、阻止できればできるほど、組織のセキュリティは向上します。2024年脅威検知とレスポンス実態レポートによると、防御側は平均して1日あたり3,832件のセキュリティアラートを受信しています。この数字は前年より減少していますが、個々のアラートへの対応能力という観点から考えると、途方もない要求です。言い換えれば、もし毎日受信トレイに4,000件近くのメールが届いていたら、一体何件に返信するでしょうか?調査に参加した実務家が、平均してアラートの38%しか対応できていないと報告したのも、驚くべきことではありません。つまり、業界全体としては、対応能力が不足しているため、潜在的なインシデントに対処できていないということです。そこでAIエージェントの出番です。
AIエージェントは、防衛側が攻撃を察知し、阻止するのをどのように支援するのか?
セキュリティ担当者が平均的な1日の業務をどのように分担しているかに焦点を当てると、AIエージェントが役立つ領域が見えてきます。例えば、Vectra AIのセキュリティチーム効率ベンチマークによると、セキュリティ担当者は1日の18.4%を誤検知の調査に、27.7%をアラート管理に費やしています。この調査では、1日のうちどのタスクに時間がかかっているかを把握するために538人の担当者から回答を集めましたが、この議論においては、AIエージェントの活用が有効な領域を探ることも重要です。興味深いことに、この調査では、6人チームの平均勤務時間は1日10時間であることも明らかになっています。このシナリオにおいて、AIエージェントはどこでその価値を発揮するのでしょうか?AIエージェントの活用方法はいくつかありますが、アラートに関連する手作業の多くを削減し、そしておそらく最も重要なのは、脅威検出・対応ツールからチームが受け取る攻撃シグナルを精度の高いものにすることで、どのイベントが最大のリスクをもたらすかを把握できるようにすることです。どのように機能するか見ていきましょう。
AIエージェントは、誤検知アラートにかかる時間を削減できるか?
すべての誤検知アラートは、人間のアナリストまたは何らかの自動化(利用可能な場合)によって関連性を判断するためにトリアージされる必要があります。そのため、アナリストの1日の約5分の1が誤検知に費やされています。何かが悪意のあるものか無害なものかを知る必要がありますが、これは非常に手作業が多く、時間と専門知識を要するプロセスになる場合があります。しかし、本当にそうである必要があるのでしょうか? トリアージの処理にAIを適用する機能は目新しいものではありませんが、機能は向上し続けており、現在ではAIトリアージエージェントが組み込まれているため、セキュリティチームはトリアージの責任を簡単にオフロードできます。つまり、AIを使用してアラートを評価し、通常のネットワーク動作と悪意の可能性のあるものを区別したり、エンティティ(ホストまたはアカウント)の重要度に基づいてセキュリティに関連する検出を判断したりできます。
AIエージェントは、大量のアラートにどう対応するか?
チームが受信するアラートの量(1日あたり3,832件)が困難を極めるだけでなく、データセンター、キャンパス、リモートワーカー、クラウド、アイデンティティなどにまたがる現代のネットワークの複雑さにより、適切なテクノロジーなしに各サーフェス上のアラートをつなぎ合わせることは非現実的です。攻撃者がこのような環境で成功を収めるのは、あらゆる方向から届くサイロ化されたアラートをつなぎ合わせる作業によって生じる遅延のためです。さまざまなサーフェス上の検出やアラートを相関させることは新しい概念ではありませんが、AIエージェントによってこれが容易になります。防御側は個々のサーフェス上のすべてのアラートを確認する必要がなくなるためです。たとえば、AWSのアラートは、同じアイデンティティに関連付けられているため、Entra IDのアラートと関連付けられる可能性があります。AIはこれを認識し、環境内のあらゆるサーフェスからそのアイデンティティに関連付けられて受信した両方のアラート、または任意の数のアラートを含む攻撃プロファイルを自動的に構築します。これにより、チームが対処しなければならないアラートの数が削減されます。
AIエージェントはサイバー攻撃を阻止できるか?
アラートの数が少ない場合でも、防御側にとって最も有用な情報は常に、どのアラートが実際に発生している攻撃の兆候であるかを把握することです。前述のように、防御側は攻撃を検知して阻止する必要があり、AIエージェントは優先順位付けを支援できるようになりました。攻撃の優先順位付けを行うAIエージェントは、環境全体で確認されたあらゆる種類の攻撃者の行動を検出し、攻撃の進行速度や使用されている手法などを考慮し、環境内のすべてのセキュリティアラートの緊急度を評価できます。AI優先順位付けエージェントは、基本的に環境全体で発生しているすべての事象を考慮し、最もリスクの高い順にアラートをランク付けできます。防御側は、各アラートに関するすべてのコンテキストを一か所に集約してトリアージし、まとめておくことができます。そのため、専門知識を活用して必要に応じてさらに調査を進めたり、攻撃の阻止を進めたりすることができます。
防御側にとって、AIエージェントは誤検知の除去やアラート管理を支援する手段にとどまらず、手作業で発生する遅延なしに攻撃を検知・阻止するための正確な攻撃シグナルを得る手段へと急速に進化しています。そして、こうした優れた機能に加え、「エージェントに相談したい」という気持ちが誰にでもあるのではないでしょうか。
AIエージェントの詳細とVectra AIの使用方法については、ポッドキャストをご覧ください:AIエージェントによる脅威検知の加速。
あるいは
セキュリティ・チームがAIによってどのように実際のビジネス成果を得ているか、その一端をご覧ください。
- 潜在的な脅威を52%多く特定
- アラートの監視とトリアージにかかる時間を51%削減
- アラートの評価と優先順位付けにかかる時間を60%削減