セキュリティー・オペレーション・センター（SOC）は、脅威の検知と対応において長年にわたり継続的な課題に直面してきました。これらの課題には、ほんの数例を挙げると、本物のセキュリティ・シグナルとバックグラウンド・ノイズとの識別、アラート調査のための不適切なコンテキスト、エンドツーエンドのオートメーションの欠如、ワークフローのボトルネック、アラート疲労などがあります。
何年もの間、私はセキュリティー・オペレーション、あるいはあらゆる形態のサイバー脅威管理は、20世紀半ばの民間航空会社のような大きな変化が必要だと語ってきました。その変化とはつまり、民間航空機を機械で操縦し、限られた状況においてパイロットが介入するという種のものです。同様に、新しいSOCは最小限の人間の関与で自律的なオペレーションを行うことになります。
その後、SOCアナリストはSOCパイロットとなり、仮想マシンがオペレーションを処理する一方で、関与する場所とタイミングを選択できるようになります。
サイバーセキュリティーだけが、これまでセキュリティー・コミュニティによって発見されていなかったソフトウェアやハードウェアの脆弱性を新たに発見する、謎に満ちた「ゼロデイ」現象に取り組んでいます。この概念は、次の脅威の発生源、時期、手法など、その出現を取り巻く予測不可能性を表しています。
不確実性が表面化したときには、SOCパイロット（人間のアナリスト）が指揮を執り、その専門知識を駆使してこれらの新たな脅威に対抗し、無力化します。
では、最小限の人間の介入で機能できるSOCはまだ存在しないのでしょうか。セキュリティー・ソフトウェア・ベンダーは長年にわたり、自社製品にオートメーションを組み込んできました。SOCチームは、オートメーションの境界を押し広げ、時には脅威の検知と対応の有効性を加速・向上させるための高度な自社開発ソリューションを開発してきました。しかし、SOCにはオートメーション以上のものが必要です。デジタルの自律性が必要とされているのです。
人工知能（AI）は人間の意思決定プロセスを再現できます。このテクノロジーは、サイバーセキュリティー業務、特に日常的なセキュリティー業務の変革を促進します。
脅威検知では、すでに機械学習（ML）などのAI機能が搭載されています。主要なソフトウェア・ベンダーによる統合により、脅威の特定からアラートの分類まで、さまざまなSOCテクノロジーがMLを使用しています。ただし、セキュリティー・オペレーションのオートメーションには特定の制約があります。
ほとんどのセキュリティー・オペレーション・チームにはエンゲージメント・ルールがあり、実行前にはある程度の確実性が求められます。この確実性は、エンドポイントの検知と対応（EDR）システムのようなクローズド・システムでオートメーションが一般的である理由を説明します。エンドポイント・ソフトウェアとコンソールは両方ともすべての関連変数を認識しており、応答を効果的に自動化できます。
大手ハイパースケーラーのセキュリティー・スペシャリストによる実践例をご紹介します。同社は、スタック内のすべてのテクノロジーとアセットを深く理解しているため、SOCの関与が最小限で済みます。そのセットアップは基本的にクローズド・システムとして機能するため、広範なオートメーションが可能になります。
このようなクローズド・システムを持たない組織、特にセキュリティー情報およびイベント管理（SIEM）システムを扱う企業の場合、シナリオは異なってきます。この場合、自動化と応答（SOAR）アプリケーションのプレイブックがオートメーションを管理します。
例えば、ホストがサーバーではなく、認識された悪意のあるアクティビティを実行している場合、ホストを隔離するように自動応答プレイブックをプログラムできます。しかし、このオートメーションは、クリティカル・サーバーかワークステーションかなど、アセットのアイデンティティがわからない限りは実行できません。
セキュリティー機能の自動化においてはコンテキストが最も重要であり、ここで人間のSOCアナリストが活躍します。手動の「回転イス」式データ収集、判断、分析を通じて、オートメーションがオープン・システムで効果的に動作するために必要なコンテキストを提供します。回転イス式オペレーションは、複数エージェントによる自律的なオペレーションという新しいパラダイムに道を譲る必要があります。
ここで自律的なマルチエージェント・フレームワークが登場します。IBMのサイバーセキュリティー・サービスは、 AIを使用してコンテキストの必要性を理解し、コンテキストを収集し、SOARをバイパスする場合でも、オートメーションを完了またはオートメーションを完全に処理できるように決定します。
IBMのデジタルレイバー・オーケストレーターである自律型脅威オペレーション・マシン（ATOM）は、アラートを調査するためのタスク・リストを作成します。ATOMがアセットのコンテキストが不十分であると判断した場合、他のAIエージェントを使用して欠落している情報を収集します。
回転イスのアナロジーをさらに進めると、ATOMがアセットのコンテキストの欠落を検知したときに、機能するようになります。脆弱性管理、エクスポージャー管理、構成管理データベース（CMDB）、EDRまたはエンドポイントの検知と対応（XDR）システムに関連するエージェントとプロアクティブに対話し、そのコンテキストを収集します。
次に、ATOMは、ホスト名とネットワークの場所に基づいて、特定のアセットが典型的なワークステーション・パターンと一致していると判断し、それが実際にワークステーションであると結論付けます。この推論は、人間のアナリストが適用するのと同じタイプのロジックです。
ATOM はコンテキストに応じて決定を下した後、その特定のアラートに対する固有の応答を作成します。例えば、EDRコンソールへのアプリケーション・プログラミング・インターフェース（API）呼び出しが最善の行動なのか、ワークフローがSOARシステムに戻るべきなのかを判断することができます。
AIによって、SOC担当者がSOCパイロットとしての位置付けに定着できるかどうかは未知の領域です。しかし、オーケストレーションされたマルチエージェント・デジタルレイバー機能は、これまでにIBMが取り組んできたどのテクノロジーよりも、自律的なSOCのオペレーションに必要なものに近いと言えます。完全な自律型SOCへの完全な移行はまだ実現されていませんが、この効率的で人間の介入を最小限に抑えたSOCモデルへの取り組みは、エージェント型AIの出現により大幅に前進しました。
この大きな変化により、セキュリティ・チームは反復的なタスクに煩わされることなく戦略的な取り組みを優先できるようになり、脅威管理に革命を起こすことが期待できます。AIが進化し続ける中、IBMは、SOCが単に自動化されるだけでなく真に自律的になり、迅速に運用が開始され、日常的な作業をマシンに任せられる未来を見据えています。
