セキュリティ運用のAI化、自動化の効果と課題:Gartner Insights Pickup(393)
セキュリティ運用は、組織の業務展開において頭の痛い問題だ。自動化は課題の一部を解決するが、自動化自体は万能の解決策ではない。AIと自動化は、完全な自律性は実現しなくとも、必要とされているスケーラビリティをもたらす。特に、セキュリティオペレーションセンター(SOC)における対象を拡大し、大幅な見直しを要せずに将来の要件への対応を可能にするだろう。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
組織が直面する広範なセキュリティ問題の監視は、多くのセキュリティオペレーション(運用)チームにとって、業務を大規模に展開する上での頭痛の種となっている。監視すべき問題が増えれば増えるほど、より多くのデータや人員、技術、業務が必要になる。そして膨大なアラートが発信され、それらに対応するために必要な作業が多くのセキュリティ業務を停滞させてしまう。
自動化は、こうした課題の一部を解決する機会を提供するが、自動化自体は必ずしも万能の解決策ではない。組織は、セキュリティオペレーションセンター(SOC)に「自動化を導入する」だけでは、セキュリティ業務の大規模展開の足かせとなるこの問題を解決することはできない。新たな脅威が進化し、新たな技術が登場する中で、手動で介入する必要性は変化するが、完全になくなることはないからだ。
つまり、完全な自動化を実現することはできない。そのためには完璧な正確性が求められるが、それは無理な注文だ。変化のスピードが速いため、チームが何かの自動化を成功させるまでに、10の新たな問題が発生してしまうだろう。人間が全く関与しなくても、SOCの責務が果たされると考えるのは非現実的だ。
それでも、SOCでAIと自動化を組み合わせて導入することは避けられない。膨大な分野のログデータや複雑な調査方法、検出が難しいパターン、幅広いスキル要件といった問題の管理が、ますます困難になっているからだ。
AIと自動化は、完全な自律性は実現しないだろうが、切実に必要とされているスケーラビリティをもたらし、特に、SOCにおける対象の拡大を実現し、大幅な見直しを必要とせずに将来の要件への対応を可能にするだろう。
よりインパクトの大きい成果の実現
自動化とAIは、セキュリティ運用チームにおいて何が妥当なのか、あるいは現実的なのかについての経営陣の認識を既に変えつつある。だが、それらを中心に据えて戦略を立ててはならない。
セキュリティ運用プロセスのハイパースケール、さまざまなプロジェクトにおけるチームの効率向上、AIと自動化の実装といったことに重点を置いた戦略を策定する必要がある。Gartnerは、2027年までにSOCの一般的なタスクの25%は、自動化の強化およびハイパースケールの戦略により、コスト効率が50%向上すると予測している。
SOCのエンドツーエンドの自動化ではなく、タスクやワークフローの最適化を進める取り組みの方が、よりインパクトの大きい成果をもたらす。ワークフロー全体や役割全体を代替するよりも、例えば、アラートのコンテキスト化などの分野で、インシデント調査担当者などSOCの個々の役割を拡大することを目指す方が、現実的だ。
予算配分がセキュリティ運用ツールから自動化主導のソリューションや、AIの利用を促進するソリューションへとシフトする可能性は高い。そのため、予算を拡大してAIの機能を含めるか、単一のソリューションで自動化とAIの両方に対応できるベンダーを探すとよい。
生成AIの台頭
セキュリティ運用チームは、生成AIの可能性に関する大量の報道や宣伝にさらされている。特に、生成AIは人員不足や検知・対応能力のギャップを埋めるのに役立つとして、もてはやされてきた。しかし、Gartnerは、2027年までにSOCリーダーの30%が生成AIを本番プロセスに統合する取り組みに失敗すると予測している。出力の不正確さやハルシネーションがその原因になるとしている。
セキュリティ運用ツールによって生成されるアラートやインシデントを処理する新しい手順を構築する際に、生成AIの使用について事前に考慮する組織はほとんどない。こうした計画の欠如により、いざ生成AIを使用するとなると、生成AIの不正確さの影響を受ける可能性のある出力や取られるアクションを検証する負担の手当てが適切になされない。
また、生成AIがSOCプロセスにもたらす価値とインパクトを測定することも重視されていない。これでは、組織は生成AIの機能への効果的な支出を正当化できない。提供される価値を事後的に分析するために、多大な時間を費やすことになる。
AIを使用したSOCの取り組みに着手する前に、既存のSOCのプロセス、人員、技術のコストを測定することが重要だ。コスト削減の余地を把握することは、投資対効果の証明が必要なあらゆる場合に役立ち、AIを使用することで将来得られる価値を比較する基準を提供する。
AI技術を開発するか、購入するか
セキュリティ運用チームは、ユーザーやエンティティの行動分析など、成熟したAIベースの技術から、ぱっとしない成果しか得ていない。そのため、組織はこれらのセキュリティ製品に見切りをつけたり、ニーズに合わせて特定の検知機能を開発したりしている。
Gartnerは、2027年までにSOCの45%がAIベースの検知技術を開発または購入する決定を再検討し、セキュリティアナリストの能力強化に重点を置くと予測している。
独自開発のAIベース検知技術を既存のセキュリティツールやシステムと統合することで、自社の全体的なセキュリティ体制を大幅に強化できる。AIシステムが現在のツールやプラットフォームと完全に互換性があれば、従来の技術と先進的な技術の長所を活用し、相乗効果を発揮できる。
AI主導の技術を開発するか購入するかの選択については、財務、運用、戦略への影響を評価することが不可欠だ。同様に、選択を実行に移すために必要なスキルセットの確保も欠かせない。
セキュリティスキルの低下
経営陣がコスト削減と効率化を目的に、セキュリティ運用の自動化とAI化を推進すると、基礎的なセキュリティ分析スキルの低下につながる。その結果、2030年までにSOCチームの75%が、セキュリティ分析スキルの低下に見舞われるとGartnerは予測している。
これまでは現場でのトレーニングを通じたセキュリティスキルの学習や開発、認定資格の取得奨励が行われてきたが、今後のセキュリティ運用の基本業務は、データ入力と自動化プロセス開発が中心になるだろう。さらに、人的脅威やインシデント分析に関する専門知識やノウハウは、ベンダーやアウトソーシングプロバイダーに集中的に蓄積されていくと予想される。
組織は今すぐセキュリティアナリストと話し合い、AIやセキュリティ自動化ソリューションが実装された場合、セキュリティアナリストがどんな役割に就きたいと考えているのかを確認する必要がある。AIによるスキル低下の現実的可能性について議論し、人間主導のSOC機能が存続する分野を特定し、人間による意思決定がより必要となる役割にSOCアナリストを移行させる方法を検討しなければならない。
さらに、経営陣からの圧力に対抗して社内SOCを維持するために、ビジネスケース(投資対効果検討書)を準備する必要もある。セキュリティ運用チームは社内SOCを通じて、組織の知識、社内のダイナミクス、直感的な意思決定に関して、人間が機械に対して優位にあることを示せる。
出典:Can security operations ever be fully autonomous?(Gartner)
※この記事は、2025年1月に執筆されたものです。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。