AI対AIの今、“時代遅れ”なアーキテクチャで自社を守れるか？AI駆動型SOCの転換に着手すべき理由

AI駆動型SOCで運用のあり方はどう変わるのか

　AI駆動のセキュリティ運用を実現するうえで大前提となるのは、適切な規模と質を備えたデータだ。ゼットスケーラーは1日あたり約5000億件のトランザクションを処理する世界最大級のインライン型セキュリティクラウドとして、Zero Trust Exchangeを運用している。ユーザー、デバイス、ワークロード、アプリケーション間におけるすべての通信をインラインで検査しており、他のエンドポイントセキュリティ製品やネットワークセキュリティ製品では得られない包括的な可視性、インサイトを獲得しているとのことだ。

　同社はこの優位性を生かし、エージェント型SOCのプラットフォーム構築に必要なコンポーネントを戦略的な企業買収で獲得してきた。その中核となるのが、2024年3月に買収したAvalorの「Data Fabric for Security」だ。これは150以上の外部連携機能により、サードパーティ製品のセキュリティログやデータを取り込むセキュリティ特化型の統合データ基盤である。

　「単に膨大なデータを集めただけではノイズが多すぎる。そこから巧妙に隠されたサイバー攻撃の痕跡を探し出す作業は、干し草の山から針を探すようなものです。そこで、Data Fabric for Securityで各データにコンテキスト情報を付与し、重複を排除して正規化／統合します」（ダムレ氏）

　たとえば、複数のシステムで異なるメールアドレスに不審なログが見つかった際、相関分析でそれが同一人物のものだと特定できれば、「一人のユーザーを狙った一連の攻撃」と捉えられる。不要なアラート（ノイズ）が削減されることで、SOCは真の脅威に対してより的確かつ効率的に対処できるようになるというわけだ。

　また、脆弱性パッチの管理においても、システム同士の接続関係を分析したのち、外部から到達可能かつ重要なデータに直接アクセスできるサーバーを絞り込み、膨大な脆弱性の中から今すぐ対処すべきものに優先順位を付けられる。次に取るべきアクションを明確にすることで、限られたリソースでも飛躍的に運用効率を高められるのだ。

　そして、この統合データ基盤を実際のセキュリティ運用に生かすために、ゼットスケーラーが2025年8月に買収を完了させたのがRed Canaryである。同社はMDR（Managed Detection and Response）領域において10年以上にわたりSecOpsの実践的な知見を蓄積してきた。

　「MDR市場では多くのベンダーがしのぎを削っていますが、私たちがRed Canaryを高く評価した点は、脅威検知／対応の精度の高さです。彼らは業界で誰よりも早くエージェント型AIワークフローを自社運用に導入し、限られた人員で運用コストを抑えつつ、検知の正確性を大きく高めていました」（ダムレ氏）

　「エージェント型AIワークフロー」とは、サイバー攻撃の検知から脅威の調査、そして修復（ネットワークからの遮断など）に至る一連の対応を、AIが人に代わって自律的に行う仕組みのこと。これがData Fabric for Securityと統合されることで、セキュリティ運用は大きく変化する。

　まず、従来のゼットスケーラー製品では詳細な稼働状況を把握しきれなかったエンドポイント（端末）やアイデンティティ（認証）領域のデータも、統合して監視できるようになった。また、Red Canaryが蓄積してきた高精度な脅威検知データで訓練されたAIエージェントも活用可能だ。その結果、これまでセキュリティアナリストが30～40分かけて行っていた調査／対応の時間を3～4分に短縮しながら、99.6％という極めて高い精度で自動実行できるようになる。