人間の代わりに意思決定やタスクの実行を自律的に行うテクノロジーという考え方は、理解なしにはなかなか受け入れがたいものです。だからこそ、最近ではあらゆる技術系の展示会、ミートアップ、カンファレンスで AI、そして最近では「エージェンティック AI」に関する話題が注目されているのではないでしょうか?以前の投稿では、 AI エージェントがサイバーセキュリティにおいてどういう意味を持つかについて少し触れましたが、今回はバズワードを超えて、AI が現代のサイバー攻撃を食い止めようとする防御側にとってなぜ「最適なツール」になりつつあるのか、特にそれが「適切な問題」に適用されたときに、どのように機能するのかを掘り下げたいと思います。
そのために、まずは脅威検知および対応に関する包括的な疑問をいくつか取り上げながら、「エージェンティック AI(agentic AI)」と「生成 AI(Gen AI)」の両方がどこに当てはまるのかを検討してみましょう。どうせなら、今もっとも話題のバズワード 2 つを使いたいと思います。ちなみに、AI エージェントは、ユーザーの代わりにタスクを実行することができるAIのことであり、生成 AIはテキストや画像といったコンテンツを生成することに特化したAIを指します。たとえば、大規模言語モデル(LLM) は、テキスト生成に特化した生成AI の一例です。
AIは防御者の検知を助け、現代のサイバー攻撃を迅速に阻止できるか?
CrowdStrike 2025 Global Threat Reportによると、攻撃者がネットワークに侵入してから内部でラテラルムーブを開始するまでの平均時間は 48 分で、これは 2024 年の 62 分から短縮されています。つまり、攻撃者はますます迅速になっているということです。そのため、「生成 AI が現代のサイバー攻撃を検知・阻止する助けになるか?」と考えたとき、私の第一印象は「ノー」です。というのも、たとえば LLM がコンテンツを生成することで、検知のスピードがどのように上がるのか、直感的には見えづらいからです。しかし実際には、生成AI は検知モデルの構築者にとって非常に貴重なリソースとなっています。
Vectra AI のデータサイエンス担当 VP、Matt Silver がポッドキャスト「Quantify Your AI Force Multiplier: Entities and Detection 」の中で説明しているように、生成AI は「正常なセキュリティデータの表現」を学習するために使うことができ、これは「下流での検知器の訓練」に役立つとのことです。基本的に、脅威検知モデルは非常に特定の攻撃者の行動を検出するように設計されますが、それを正確に行うには、「悪意のない行動」が何であるかを把握することも必要です。生成AI は大量のデータセットを処理できるため、検知モデル用のデータセットを一から構築する必要がなくなり(これは非常に時間がかかる作業です)、既存のサイバーセキュリティデータを活用して自己教師ありの事前学習を行うことが可能になります。これにより、検知モデルの構築速度が大幅に向上します。現代のサイバー攻撃がいかに高速に進行するかを考えると、検知エンジニアリングのプロセスで可能な限り遅延を取り除くことには確かな価値があります。
なぜ防衛側は、現代のサイバー攻撃を阻止するためのツールとしてエージェティックAIを加えるのか?
ここで再度「バズワード」の登場です。でも、もし私がセキュリティアナリストの立場だったら、ここは絶対に注目したいところです。たとえば、ライターやコンテンツ制作者として生成AI を使って記事執筆の下作業を一部またはすべて代行させるのと同様に(正直、これに使っていればこの記事ももっと早く出せたでしょう)、エージェンティック AI はアナリストにこう言うわけです。「3,000 件くらいあるアラートのうち、対応が必要なものを確認しましょうか?」
もちろん裏側では、もっと複雑な処理が行われているのですが(その詳細はポッドキャストで取り上げています)、AI エージェントの目的は、手が回らないこと、やりたくないこと、または専門知識を他にもっと有効に使いたい時に、それを肩代わりすることです。防御側は AI エージェントを使って、特定のホストやアカウントに関連する検知やアラートを把握することで、何が関連性のある事象かを理解できます。また、ネットワーク、アイデンティティ、クラウド領域にまたがる複数の検知をつなぎ合わせて、相互に関連するものを提示することも可能です。さらに、緊急度評価を提示することで、組織にとって最も大きなリスクとなるアクティビティを特定できます。AI エージェントは、防御側がより早く検知の文脈に到達できるよう支援します。つまり、たとえば手作業でのトリアージに時間を費やす代わりに、攻撃阻止へとより早く踏み出せるということです。
日々使っているツール、アプリ、プログラムを思い浮かべてみてください。職種に関係なく、多くの人は長年使い続けているツールを使用していたり、新しいツールを導入するとしても、それが自分の仕事をより良くする、あるいは新しいツールに順応するためのコストや時間に見合う価値があると感じるから導入するのではないでしょうか。今、AI をめぐって数多くの派手なバズワードが飛び交っていますが、結局のところ、AI も仕事を支援するための「ツール」にすぎません。そして、求める成果によっては、それが最適なツールである可能性も十分にあるのです。
サイバーセキュリティにおけるAIについて
は、Vectra AIのYouTubeチャンネルの「AI in Action」をご覧ください。