ストライカー社のインシデントから見えてくるHandalaの攻撃手法
ブログを読む

ストライカー社のインシデントから見えてくるHandalaの攻撃手法。ブログを読む →

Vectra AI、2025年ガートナーのネットワーク検知とレスポンス (NDR) のマジック・クアドラントにおいてリーダーの1社に
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコンのボトムライン
  1. ブログ
    >

Vectra AIがAIエンタープライズをどのように保護するか

May 5, 2026
5/5/2026
Aakash Gupta
シニア・グループ・プロダクト・マネージャー
Vectra AIがAIエンタープライズをどのように保護するか

AIエンタープライズ向け次世代プラットフォームを発表した際、私たちは「セキュリティは、保護対象となる環境と同じスピードで機能しなければならない」というシンプルな考え方に重点を置きました。

それ以来、あることがより明確になってきました。AIの分野において、AIは攻撃者の動きを加速させるだけでなく、セキュリティ対策の限界を露呈させているのです。アラートは依然としてノイズが多く、調査は依然として手作業に依存しており、意思決定は依然として遅すぎます。AI機能を追加してもこの問題は解決されませんでした。なぜなら、問題はAIの不足にあるのではなく、適切な課題にAIを適用することにあるからです。

セキュリティ分野におけるAIには問題がある。それは、結果ではなく特徴量に基づいて最適化されているという点だ。

AI分野において、ほとんどのセキュリティプラットフォームは、個々の機能を強化するためにAIを活用しています:

  • より優れた異常検知
  • 通知を減らす
  • より高速な信号生成

しかし、セキュリティチームは機能の数で成功を測るわけではありません。彼らは成果で成功を測るのです。SecOpsチームは次のように問いかけます:

  • 攻撃をどのくらいの速さで検知できるでしょうか?
  • 何が起きているのか、どれくらい早く把握できるでしょうか?
  • どれくらいの速さで対応し、事態を収束させることができるでしょうか?

Vectra AIでは、本来は全く異なる領域のシグナルを相互に関連付ける アプローチを採用しています。当社はAIを単なる機能として適用するのではなく、可視化、検知、相関分析、対応というライフサイクル全体に適用することで、SecOpsの負担を軽減し、実際の運用指標の改善を図っています。

可視性:プロアクティブなセキュリティには、適切な深度での可観測性が不可欠です

十分に理解していないリスクを低減することはできません。AIを活用した企業環境において、可視性とは単にデータをより多く収集することではなく、攻撃者の行動を早期に検知できるほど十分な精度で適切なデータを取得することです。こうした環境では、AIエージェントを含む「アイデンティティ」の数が人間を上回り、活動は絶え間なく続きます。攻撃は単一の領域に留まるものではありません。ネットワーク、アイデンティティ、SaaS、クラウド、そしてAIインフラストラクチャを横断して移動するのです。

多くのツールは、こうした活動の断片しか捉えられません。Vectra AIは、これとは異なるアプローチを採用しています。当社は、ネットワークからのテレメトリ(パケットやフロー)を「グラウンドトゥルース」として基盤としています。さらに、Entra ID、M365、AWS、Azureなどのプラットフォームから得られるアイデンティティおよびクラウドのテレメトリ情報をこれに組み合わせています。これにより、以下のことが可能になります:

  • 単一の領域内だけでなく、領域を横断して行動を再構築する
  • ID、ホスト、およびサービスを統合して一貫性のある全体像を構築する
  • 東西方向のトラフィックおよび一時的なトラフィックを可視化し続ける

AIの導入が進むにつれ、この点はさらに重要性を増しています。AIエージェントは今や、同等の重要性を有するエンティティとして、同じハイブリッド環境全体で動作し、新たな攻撃経路を生み出しています。Vectra AIは、ネットワークおよびIDのテレメトリを活用し、以下の点に関する可視性を提供します:

  • AIサービスプロバイダーへのデータ移行
  • エージェント型アプリケーションおよびフレームワークの利用
  • 非公式のツール(例:オープンソースのエージェントフレームワークなど)
  • Copilot Studio、AWS Bedrock、Azure AI などのプラットフォームにおける活動

これは単なるログの集約ではありません。ハイブリッド環境全体にわたる行動の可観測性を実現し、チームがセキュリティ上の脆弱性を早期に解消し、脅威を先回りして検知し、セキュリティ態勢全体を強化することを可能にします。

検知:脅威のユースケースに応じた適切な手法の採用

AIを活用した企業における予防的防御は、アラートではなく、行動から始まります。  

単一のAIアプローチでは、あらゆるセキュリティ上の課題を解決することはできません。「無料の昼食はない」という定理が示すように 、あらゆる問題において最高のパフォーマンスを発揮する単一のモデルなど存在しないのです。攻撃者の行動も例外ではありません。

  • コマンド・アンド・コントロール型のトラフィックは、時系列データと同様の挙動を示す
  • ID特権の悪用は、多次元的な基準線のように振る舞う
  • マルチクラウド間での横方向の移動は、関係グラフのように振る舞う

これらすべてに同じモデルを使用しても、セキュリティは簡素化されません。かえって混乱を招くだけです。

Vectra AIは、セキュリティ主導のアプローチでAIを活用 しています。まず攻撃者の手法(データではなく)に着目し、それらを特徴づける行動を特定した上で、高精度な検知を実現する適切なモデルを適用します。

実際のところ、これは次のようなものです:

  • Command and Control:我々は、時系列における通信のパターンをモデル化するために再帰型ニューラルネットワーク(LSTM)を用い、暗号化や難読化が施されている場合でも制御チャネルを検出します。
  • ID特権の悪用:静的な基準値からの逸脱だけでなく、アクセス権の不正利用を検知するため、アカウント、ホスト、サービスにまたがる実世界の行動パターンをモデル化しています。
  • 横方向の移動: 当社は、関係性ベースのモデリングを用いて、攻撃者が各攻撃対象間をどのように移動するかを追跡しています。

攻撃者は使用するツールを変えることも、インフラを変えることもできる。しかし、行動を変えることは容易ではない。

現在、AIを活用したツールの多くは、異常を検出するために開発されています。私たちは、攻撃者の手口を検知するためにAIを開発しています。その結果、ノイズを低減しつつ、より高精度な検知が可能になります:

  • MITRE ATT&CK の90%以上MITRE ATT&CK  
  • MITRE Defendにおける各ベンダーに関する言及のほとんど  
  • 誤検知が減り、実用的なシグナルが増える

相関関係:点と点を結びつけることの重要性

AI分野において、攻撃は単発の出来事として発生するものではありません。それらは、多くのツールが個別のアラートとして表示する複数の攻撃経路にまたがり、相互に関連した行動として展開されます。攻撃者は、全体像を把握して初めてその意図が明らかになるような、連携した行動を実行するのです。

Vectra AIプラットフォームは、点と点を結びつけるために構築されています。AIを活用したデータ統合技術により、ネットワークアクティビティ、IDテレメトリ、クラウド運用、SaaSとのやり取りといった各領域における行動パターンを、単一の統合されたストーリーとして結びつけます。これは、パケット、ログ、設定データといった根本的に異なる形式のテレメトリを、独自の変換レイヤーを通じて共通の行動モデルに統合することで実現されています。  

その結果、実際の攻撃者の活動を反映した、より少ないながらも信頼性の高いアラートが生成されます。これにより、以下のことが可能になります:

  • キャンペーンレベルの可視性:単発の検知結果だけでなく、攻撃者のキャンペーン全体を可視化
  • 行動に基づく優先順位付け:静的な深刻度ではなく、進行状況とリスクに基づいて活動を評価する
  • ID中心のアトリビューション:IPアドレスのような一時的な指標ではなく、IDやホスト単位で攻撃を追跡する

これは、個々の出来事を「見る」ことと、攻撃を「理解する」ことの違いです。行動パターンを理解することは、問題の半分に過ぎません。真の課題は、その洞察に基づいて、攻撃を阻止できるほど迅速に行動することです。 

回答:応答速度の向上とは、アナリストによる処理の遅延を解消することを意味します

検出速度はもはやボトルネックではありません。ボトルネックとなっているのは判断速度です。

今日のSecOpsチームは膨大な量のシグナルに埋もれているにもかかわらず、迅速な対応に必要な文脈情報が不足しています。彼らは依然として:

  • アラートの手動による優先順位付け
  • ツール間のシグナルの相関分析
  • 何が起きているのかを理解するためのクエリの作成

攻撃者が機械並みのスピードで活動するAI企業環境では、攻撃は数分で進行する可能性があります。対応が依然として手動のワークフローに依存している場合、それはすでに遅すぎます。Vectra AIでは、単なる検知の遅延だけでなく、意思決定の遅延を解消することに注力しています。

実際のところ、これは次のようなものです:

  • AIによる優先順位付け:攻撃の進行状況に基づいて行動が自動的に関連付けられ、スコア付けされるため、チームは本当に重要な課題に集中できます
  • あらかじめ構築された調査ワークフロー:ワンクリックで、ネットワーク、ID、クラウドにわたる全容を、手動での統合作業なしに把握できます。
  • AIを活用した分析:アナリストは自然言語でテレメトリデータを照会し、状況に応じた回答や推奨される次のアクションを即座に得ることができます。

その結果、SecOpsチームの運用方法に根本的な変化が生じました:

  • 調査1件あたり45分以上の時間短縮
  • アラートの件数とノイズが大幅に減少しました。1,000件以上のIDが存在する環境において、調査が必要なケースは10件未満にとどまりました。

これは単に反応が速くなるだけではありません。検知から対応までの障壁を取り除くことで、攻撃が進行中の段階でチームがそれを封じ込められるようにするのです。攻撃者はすでに機械並みのスピードで活動しています。セキュリティチームに必要なのは、さらなるアラートではありません。必要なのは、より迅速に判断し、行動する能力なのです。

サイバーレジリエンスに対する根本的に異なるアプローチ

AIエンタープライズを防御するには、単にツールやAI機能を追加するだけでは不十分です。セキュリティの運用方法そのものを変革する必要があります:

  • 「データファースト」から「行動ファースト」へ
  • アラートから成果まで  
  • 検知速度から判断速度まで  

多くの手法は、シグナルの生成にとどまっています。しかし、シグナルだけでは攻撃を阻止できません。シグナルを理解し、それに基づいて行動してこそ、攻撃を防げるのです。

これこそが、AIを活用してAI企業を守るということなのです。そして何より重要なのは、それこそが、企業を守るチームの負担を軽減するために必要なことなのです。  

よくある質問 (FAQ)