私たちはAIが私たちのそばにいることを知っている。物事を把握し、私たちの傾向を学習し、様々なタスクをアシストしてくれる。しかし、私たちが使用し、共に存在しているAIテクノロジーが何をしているのかを正確に特定するのはまだ難しいかもしれない。しかし、利用可能な可能性や、それらが実際に私たちの日常生活や働き方にどのような影響を与えているのかに目を向けると、話はもっと面白くなる。この議論では、サイバーセキュリティに携わる私たちにとってAIエージェントがどのような意味を持つのか、つまり、AIと共存する人間として私たちがどのような道を歩んでいるのか、また、AIをどのように利用しているのかを浮き彫りにする話題について主に話をする。しかし、そのような話に入る前に、「エージェント」の辞書的定義を次のようなものに更新することを検討すべきだろう:
個人、企業、人工知能人工知能他人のために行動することを許可された個人、企業、人工知能。
その定義に "介助動物 "を加えてもいいのではないだろうか?犬や他の種類の介助動物は、他人の代わりに行動できるのだろうか?あなたの犬は、家中の汚れた洗濯物を集めて洗濯室に入れるように訓練されている。あなたの犬は今、あなたが許可した洗濯代行者です。これで、あなたが洗濯物を床に置いたままにしておくと、それに文句がある人は洗濯係に文句を言うことができる。
Merriam-Websterが私の要望を考慮する一方で、AIエージェントに特化したIBMの定義を紹介しよう:
人工知能(AI)エージェントとは、ワークフローを設計し、利用可能なツールを活用することで、ユーザーや他のシステムに代わって自律的にタスクを実行することができるシステムまたはプログラムを指します。-IBM
しかし、AIエージェントに関する最近の記事を読めば(たくさんあるが)、多くの疑問が投げかけられていることがすぐにわかるだろう。AIエージェントを明確に定義することはできない」と指摘する記事もある。これはFortune誌の気の利いた見出しに過ぎないかもしれないが、私たちが何かをどう呼ぶかを通り越して、それが実際にどのように私たちを助けることができるのか、あるいは私たちがそれを使って何ができるのかという論点に私たちを向かわせることに成功している。Wired』誌のこの記事のように、AIエージェントについて疑問を投げかけている記事もある。
しかし、サイバーセキュリティ全体のAIエージェントを掘り下げていくと、興味深い気づきがあります。それは、AIが私たちのワークフロー全体に及ぼしている、また及ぼす可能性のある影響をより明確に垣間見ることができるということです。私たちは最近、Vectra AI社の「2024 State of Threat Detection andレスポンス レポート」で、サイバーセキュリティにおけるAIの採用について多くのことを学びました。しかし、AIが実際にどのような影響を与え、どのようなタスクを完了させるのに役立っているのかを知るには、採用数だけでは不十分です。
サイバーセキュリティにおけるAIエージェント
では、サイバーセキュリティにおけるAIエージェントとはどのようなものなのだろうか。脅威の検知、調査、レスポンス 観点から見てみよう。防御者が攻撃をいち早く察知して阻止できれば、組織はより有利になる。2024 State of Thread Detection andレスポンス レポートによると、防御担当者は1日平均3,832件のセキュリティ・アラートを受信している。この数字は前年より減少しているが、個々のアラートに対処できることが何を意味するかを考えると、とんでもない要求である。毎日4,000通近くのメールが受信箱に届くとしたら、あなたは何通のメールに返信しますか?この調査に参加した実務家が、これらのアラートの平均38%にしか対応できなかったと報告したことは、それほど驚くべきことではない。これは業界として、帯域幅がないために潜在的な実際のインシデントに対処できていないことを意味する。AIエージェントの登場
AIエージェントは、防衛側が攻撃を察知し、阻止するのをどのように支援するのか?
セキュリティ担当者が平均的な勤務時間中にどのようにタスクを分担しているかに注目すると、AIエージェントが有用な領域がいくつか見えてくる。例えば、Vectra AIのセキュリティチーム効率ベンチマークによると、セキュリティ担当者は1日のうち18.4%を誤検知の調査に、27.7%をアラートの管理に費やしている。この特定の調査では、1日のうちどのタスクに時間を取られているかを理解するために、538人の実務者から回答を集めましたが、この議論では、AIエージェントが意味を持つ可能性のある場所を確認するのにも役立ちます。興味深いことに、この調査では、6人チームの平均で1日10時間労働が普通であることも共有されている。このシナリオでは、AIエージェントはどこで稼ぐのだろうか?方法はいくつかあるが、AIエージェントはアラートに関連する手作業の多くを取り除くのに役立ち、おそらく最も重要なことは、チームが脅威検知ツールやレスポンス 受け取る攻撃シグナルを高めることである。AIエージェントがどのように機能するのか見ていこう。
AIエージェントは、セキュリティ警告の誤検知に費やす時間を短縮するのに役立つか?
すべての誤検知アラートは、その関連性を判断するために、人間のアナリストまたは何らかの自動化(可能な場合)によってトリアージされる必要があります。そのため、アナリストの1日の5分の1近くが誤検知に費やされているのです。しかし、そうする必要があるのだろうか?トリアージ処理にAIを適用する機能は目新しいものではありませんが、その機能はますます向上しており、現在ではAIトリアージ・エージェントがミックスされているため、セキュリティ・チームはトリアージ業務を簡単に軽減することができます。つまり、AIを使用してアラートを評価し、正常なネットワーク動作と悪意のある可能性の高い動作を分離したり、エンティティ(ホストまたはアカウント)の重要性に基づいてセキュリティに関連する検出を判断したりすることができます。
AIエージェントは、チームが受け取る大量のセキュリティ警告を管理するのに役立つか?
チームが受信するアラートの量(毎日3,832件)が物事を不可能にしているだけでなく、データセンター、キャンパス、リモートワーカー、クラウド、アイデンティティなどにまたがる現代のネットワークの複雑さにより、適切なテクノロジーなしでは、各サーフェスにわたってアラートをつなぎ合わせる可能性は非現実的なものとなっている。このような環境では、あらゆる方向から寄せられるサイロ化されたアラートをつなぎ合わせるのにかかる労力によって遅延が発生するため、攻撃者は成功を収めることができます。様々なサーフェス間で検知やアラートを相関させることは新しい概念ではないが、AIエージェントは、防御者が個々のサーフェス間ですべてのアラートを見る必要がなくなるため、それを容易にする。例えば、AWSのアラートは、Entra IDのアラートと同じIDに関連付けられているため、関連付けられる可能性がある。AIはこれを認識し、両方のアラート、または環境内の任意のサーフェスからそのIDに関連付けられて受信した任意の数のアラートを含む攻撃プロファイルを自動的に構築する。これにより、チームが対処しなければならないアラートの数を減らすことができる。
AIエージェントはサイバー攻撃を阻止できるか?
アラートの数が減ったとしても、防御者にとって最も有用な情報は常に、実際に発生している攻撃を知らせるアラートを知ることである。先に述べたように、防御側は攻撃を見て阻止する必要があり、AIエージェントが優先順位付けを支援できるようになりました。攻撃の優先順位付けのためのAIエージェントは、環境全体で見られるあらゆるタイプの攻撃者の行動を検出し、攻撃の進行速度や使用されているテクニックなどを考慮し、環境内のすべてのセキュリティ・アラートに対して緊急度を評価することができます。AIの優先順位付けエージェントは、基本的に環境全体で起こっているすべてのことを考慮に入れ、最大のリスクをもたらすものから重大性の高い順にランク付けすることができる。これにより防御者は、各アラートに関するすべてのコンテキストを一箇所でトリアージし、つなぎ合わせることができるため、必要に応じて専門知識を活用してさらに調査を行ったり、攻撃を阻止するために前進したりすることができる。
防衛側にとって、AIエージェントは単に誤検知の一掃やアラートの管理を支援する手段ではなく、手動で行うことで発生するレイテンシーなしに攻撃を確認し、阻止するために使用できる正確な攻撃シグナルを得るための手段に急速になりつつある。そして、そのような良いこと以外にも、「私のエージェントに相談してみてください」という言葉を言いたくない人はいないだろう。
AIエージェントの詳細とVectra AIの使用方法については、ポッドキャストをご覧ください:AIエージェントによる脅威検知の加速。
あるいは
セキュリティ・チームがAIによってどのように実際のビジネス成果を得ているか、その一端をご覧ください:
- 潜在的な脅威を52%多く特定
- アラートの監視とトリアージにかかる時間を51%削減
- アラートの評価と優先順位付けにかかる時間を60%削減