「古臭い」と言われるかもしれませんが、私はSOCの「古き良き時代」を覚えています。皆がオフィスに出勤し、アプリケーションはデータセンターで稼働していて、何か問題が起きれば、いつでもデータセンターまで歩いて行って、何かのプラグを抜くことができたものです。 組織にはリスクはあったものの、適切な管理策も整っており、万が一誰かが侵入したとしても、侵害が情報漏洩に発展する前にそれを検知する時間と余裕があった。あの良き時代だ。しかし、今ではすべてがSaaSやクラウド化し、ユーザーはリモートで作業しており、何かを遮断しようとするのははるかに複雑になっている。

これが現代の企業です。その構造は複雑で、複数の領域にまたがり、クラウド、SaaS、ID管理、SASE、リモートアクセスといった領域にまたがる、より広範なハイブリッドな攻撃対象領域を生み出しています。リモートユーザーは、SASEを経由してクラウドやSaaSアプリケーションにアクセスしたり、単にEntra IDを通じてログインしたりしています。これはSOCにとって何を意味するのでしょうか? 攻撃対象領域が増えれば、アラートも増えるということです。
生成AIが登場してからまだ2年ほどしか経っていないと考えると、つい最近のことなのに、なんだか自分がとても年をとったような気分になります。攻撃者はAIを活用して、より多くの攻撃を、より迅速に行っています。攻撃者はエージェント型AIのワークフローを活用し、最大600件もの侵害されたシステムを同時に管理し、CVEの悪用を加速させています。 公開されたCVEの悪用にかかる時間は、2025年の21日から、現在では8時間に短縮されています。一度侵入すると、攻撃者はAI並みの速度で動き、侵害されたデバイス間を29分以内に横方向に移動します。テストとして、脅威研究者はClaude Codeを使用して、攻撃者が漏洩したAWSキーからクラウドデータの持ち出しに至るまでの所要時間をシミュレーションしました。その結果、わずか60秒という結果が出ました。
これにより、SOCが直面する課題は様変わりしました。単にアラートの数が増えたわけでも、攻撃が増えたわけでも、対応時間が短縮されたわけでもありません。これら3つの問題がすべて重なっているのです! 企業は変革を迫られています。さもなければ、攻撃者がAIを活用して手口を革新していくにつれ、情報漏洩のリスクは容赦なく高まっていくでしょう。
何を変える必要があるか
企業が注力すべき3つの重点事項は、以下の通りです:
- 爆風範囲の縮小
- 侵害発生後の脅威の検知
- 平均対応時間(MTTR)の短縮
これらはいずれも驚くべきことでも、目新しいことでもありません。ただ、AIを活用した攻撃においては、その重要性がさらに高まっているだけです。
爆風範囲を縮小する
万が一セキュリティ侵害が発生した場合に、影響を受ける可能性のある範囲を最小限に抑えられるよう、積極的に対策を講じる必要があります。ネットワークをセグメント化し、Zero Trust 徹底してください。ユーザーには必要な権限のみを付与し、万が一攻撃者が侵入の足がかりを得たとしても 、それ以上深く侵入できないようにしてください。
Vectra AI が、実際に付与された権限や境界を越えたアクティビティを可視化する方法について、当社のブログで詳しくご紹介しています。
侵害発生後の脅威の検知
すべての問題を修正し尽くすことは決してできません。最も成熟したチームであっても、管理対象外のデバイス、レガシーシステム、設定ミス、権限が過剰なアカウント、そしてセキュリティチームが対策を講じるよりも早く攻撃者に悪用されてしまう新たなCVEが存在します。予防は依然として重要ですが、それだけが唯一の防衛線となることはできません。
つまり、セキュリティチームはシステムが侵害されたと想定し、攻撃者が侵入した後に何が起きるかをより的確に把握できるようになる必要があります。ここで重要になるのが、行動ベースの脅威検知です。攻撃者は有効な認証情報を使用しているか? 横方向の移動を行っているか? クラウド、ID、SaaS、ネットワークの境界を越えてアクセスしようとしているか? アクセスしてはならないシステムに接触しているか? これらは、攻撃者がすでに予防的な制御を迂回してしまった場合に注目すべき行動です。
「侵害後検知」とは、侵害が情報漏洩に発展する前に攻撃者を捕捉する手法です。これにより、SOCは進行中の実際の攻撃活動を検知し、その拡散範囲を把握し、影響範囲が拡大する前に措置を講じることが可能になります。これがVectraの真骨頂ですが、ここでは詳細には触れません。この件に関しては、当社サイトで多くのコンテンツをご用意しています。
対応までの時間の短縮
脅威の影響範囲を縮小し、侵害後の脅威を検知することは極めて重要ですが、本日は「対応までの時間(Time-to-Response)」の短縮に焦点を当てたいと思います。悪意のある活動に対する対応を効果的なものにするためには、可能な限り迅速に行う必要があります。

SOCの効率性に関する議論の多くは依然として検知に焦点が当てられていますが、多くの経験豊富なチームにとって、検知はもはや対応プロセスのうち最も時間がかかるところではありません。
Vectra AIのTDIRおよびAttack Signal Intelligence 例に挙げましょう。Vectra AIの検知機能は、攻撃者のリアルタイムな活動から数分以内に作動します。優先順位の付け方も問題になりません。当社のAI優先順位付けエンジンにより、誤検知を回避しつつ実際の活動を的確に捉えるというバランスを完璧に実現しています。また、攻撃者の動きの速さに特に焦点を当て、常に攻撃者の一歩先を行けるよう努めています。 最後に、対応策の決定が下されれば、その実行は本来、迅速であるべきです。ホストが悪意のあるものであると判明した場合、それを封じ込めるために数回ボタンをクリックするだけの作業が、何時間もかかるプロセスの一部であってはなりません。対応策を講じる前に管理職の承認を3回も必要とするような状況であれば、もっと根本的な問題を抱えていることになります。
いいえ、ボトルネックは調査の方です。

そこでアナリストは、検知結果を分析し、一連の活動を把握し、攻撃のタイムラインを構築し、外部の状況を照合し、内部の状況を確認し、影響範囲を評価し、その動作が悪意のあるものか無害なものかを判断し、どのような対策を講じるべきかを決定した上で、他の担当者が理解できるレポートやエスカレーション要約を作成しなければなりません。この作業は価値のあるものですが、その大部分は反復的な情報の収集と整理作業でもあります。
その区別は重要です。重要なのは、調査が簡単だということでも、アナリストが重要でない作業に時間を費やしているということでもありません。 重要なのは、アナリストが、状況に対して判断を下す前に、全体像を把握するために過度な時間を費やすことを余儀なくされることが多いという点です。彼らは、あるシステムから別のシステムへ情報をコピーしたり、IPアドレスが既知のものかどうかを確認したり、アカウントの通常の動作を調べたり、観測された権限が重要かどうかを理解しようとしたり、複数のツールに散在する断片的な情報からインシデントの経緯を組み立てたりしているのです。
データの統合はLLMの最大の強みであり、それにより、調査の自動化はSOCにおけるAIの最も明確な活用機会の一つとなっています。
しかし、安易にAIをワークフローに導入する前に、現状と今後の方向性について考えてみましょう。
AIを使ってみましょう
以下のフレームワークは、自動運転車を含む多くのAIシステムにおいて一般的に採用されている考え方です。

各ステップにおいて、AIの統合が進み、手作業は減少しています。

Vectra AIの調査によると、当社の顧客の80%が、少なくとも部分的な自律型システムの導入を目指しています。これは、SOCの機能を飛躍的に向上させ、組織の安全性を高めることになるため、当然のことと言えます。
しかし、現時点でその水準に達しているのはわずか10%に過ぎず、レベル4、つまり完全自律運転を実現した企業は1社もありません。これはまったく驚くことではありません。AIは過信されがちであり、万が一ミスを犯した場合、誰が責任を負うのかが不明確だからです。 また、これらのシステムのコストは不明確であり、多くの組織が確立に苦労している「グラウンド・トゥルース(真の実測データ)」に依存している。企業は、OpenAIのようなAI企業がベンチャーキャピタル(VC)の資金援助による「夢のような環境」から抜け出し、利益を上げ始めるようになった際のコストを見積もるだけでなく、適切な管理体制を整備しておく必要がある。 もう一つ考慮すべき点は、AIシステムを駆動するデータは正確かつ網羅的でなければならないということです。例えば、シグナルが検出されない場合、必ずしも何も起きていないことを意味するわけではありません(攻撃者がエンドポイント保護をどのように迂回できるかについてはこちらを参照)。そして、こうした状況を認識するには、多くの場合、非常に熟練したアナリストが必要となります。
しかし、現状に満足している人は誰もいない。アナリストのバーンアウトは報告されている。彼らが導入しようとしているAIは機能しておらず、まるで単純なCopilotチャットボットが、文脈や顧客環境への理解なしに回答しようとしているかのようだ。結局、アナリストは多くの場合、別のウィンドウに内容をコピー&ペーストすることになってしまう。AIの出力は賢く聞こえるが、だからといって正確であるとは限らない。
AIへの行き方
では、どのようにすれば、AIを活用した先を見越したSOCを実現できるのでしょうか? 当社のお客様は、その実現に向けて主に4つの道筋を検討しているようです。

どの道を選ぶかは、シンプルさと制御性の間のトレードオフを選ぶことに他なりません。最もシンプルな解決策は、ベンダーが提供する既製のツールを使用することですが、そこには限界があります。その反対の極端な例として、完全にカスタマイズされたAIエコシステムを構築することも可能です。
どのような方法をお選びになっても、Vectra AI Platformはそれをサポートします。APIやMCPを介して当社のインサイトにアクセスする場合でも、UI内のエージェントを活用する場合でも、あるいは当社のエージェントにAPIやMCPへのアクセス権限を付与する場合でも同様です。重要なのは、Vectra AIがAIネイティブセキュリティの専門家であるからこそ、皆様がご自身の環境におけるエキスパートとなれるよう、その環境を容易に整えることを目指し、実現していくということです。
ユートピアはもうすぐそこだ
攻撃者が初期アクセスから実質的な被害をもたらすまでに数分しかかからないのであれば、数時間に及ぶ調査プロセスでは不十分です。対応時間を短縮し、侵害が情報漏洩に発展する前に検知することが不可欠です。対応時間の短縮は、単に情報漏洩のリスクを低減するだけでなく、アナリストの生産性向上、より短い時間でより多くのアラートを監視できること、そして何よりも、SOCのスタッフの満足度向上につながります。これにより、スタッフは最も価値が高く興味深い事象や、実際の意思決定に集中できるようになります。
SOCにおいて、AIはもはやオプションではなくなりました。なぜなら、従来のモデルでは新たな課題に対応しきれないからです。攻撃対象領域は拡大し、攻撃者の動きはより迅速になっており、インシデントを把握するために必要な手作業がボトルネックとなっています。成功を収める組織とは、単にコンソールにチャットボットを追加するだけの組織ではありません。AIを活用して調査プロセスそのものを、慎重かつ透明性を持って再設計し、アナリストがシステムの動作を信頼できるよう十分な制御を施す組織こそが、成功を収めるのです。

.jpg)