ソートリーダー
自動インシデントレスポンス:AIが独自に作用できる場所と人間がまだ重要な場所

現代のSOC(セキュリティ・オペレーション・センター)には、セキュリティ関連のデータが豊富にあります。問題は、そのデータをアクションに変えることです。
不審なログインは、コンプロミスされたアカウントか、または新しい場所からログインした正当な従業員かもしれません。マルウェアの活動は、単なる誤検知かもしれません。クラウドのアラートは、単なる設定ミスかもしれません。
どのような場合でも、分析者は何が起こったのか、どの資産が影響を受けたのか、どの程度のリスクがあるのか、また行動を起こすと重要なものを壊す可能性があるのかを知る必要があります。そのためには、ツールを切り替えたり、ログを確認したり、インジケーターを強化したり、タイムラインを構築したり、承認を待つことが必要です。
AIはそのプロセスを圧縮することができます。証拠を収集し、関連するイベントを関連付けて、行動を既知のパターンと比較し、アラートを脅威インテリジェンスで強化し、数分または数秒で結論を導き出すことができます。いくつかの定義されたシナリオでは、封じ込めをトリガーすることもできます。
自動レスポンスの本当の意味
自動レスポンスには明確な境界とシナリオ固有のものでなければなりません。
自動またはエージェント型のセキュリティシステムは、アラートを評価し、周囲のコンテキストを調査し、既知のレスポンスパターンに一致するかどうかを判断し、人間の分析者を待たずにアクションを実行することができます。しかし、そのアクションは承認されたガードレールの中で発生するべきです。
例としては、コンプロミスされたアカウントを無効にする、感染したエンドポイントを分離する、既知の悪意のあるインフラストラクチャをブロックする、リスクのあるセッションを取り消す、またマルウェアを隔離することがあります。重要なのは、AIが承認されたアクションを定義された条件に対してのみ実行することです。
自動化が最も効果的な場所
自動化は、4つの条件が満たされたときに最も効果的です:
- 信号が高信頼性:アラートは強力な証拠によって裏付けられており、既知の悪意のあるインフラストラクチャ、確認されたマルウェアの動作、不可能な移動、または複数の関連するインジケーターなどです。
- 動作がよく理解されている:組織は以前にも同様のパターンを見ており、その意味を理解しています。
- アクションが限定される:レスポンスは特定のアカウント、エンドポイント、セッション、ドメイン、またはインジケーターに影響し、全体のビジネスプロセスには影響しません。
- アクションが可逆的:システムが間違っている場合、組織はアクセスを回復したり、エンドポイントを再接続したり、ブロックを削除したりできます。
コンプロミスされたユーザーアカウントは良い例です。
もしアイデンティティシステムが不可能な移動、不審なメールボックスのルール、リスクのあるOAuthアクティビティ、また既知の悪意のあるインフラストラクチャからのログインを検出すると、攻撃者は人間が最初の封じ込めステップを手動で承認する前に既に被害を与えている可能性があります。しかし、AIシステムはセッションを取り消したり、パスワードのリセットを強制したり、暫時的にアカウントを無効にしたり、分析者によるレビューのためのケースを作成したりすることができます。
感染したエンドポイントも良い例です。エンドポイントツールが非臨界的なデバイス上で既知のマルウェアの動作を確認した場合、分離によって横方向の移動を停止し、証拠を保存することができます。
人間がまだ重要な場所
しかし、人間の監視は、特に曖昧なインシデント、重要な決定、またビジネスへの影響が不明な場合には、依然として不可欠です。
従業員のラップトップを分離することは低リスクかもしれません。ただし、支払いサーバー、製造システム、ヘルスケアデバイス、または顧客向けアプリケーションを分離することはそうではありません。契約者のアカウントを無効にすることは簡単かもしれません。ただし、生産システムに結び付いた特権サービスアカウントを無効にすると、重大な混乱を招く可能性があります。
簡単に言えば、潜在的な影響が大きいほど、人間の監視が重要になります。
この原則は、2つの不利な結果を防ぎます。最初のものは、自動化が不十分な場合です。チームは明らかな封じ込めアクションの承認に時間を浪費します。2番目のものは、自動化が過剰な場合です。システムは、十分なコンテキストやコントロールなしに広範な変更を加えることが許可されます。
AIはトリアージ以外のことも自動化できる
ほとんどの人々はAI支援のアラートトリアージに精通していますが、調査は人間のタスクであると考えています。しかし、状況は変わりつつあります。
多くの調査は繰り返し実行されるステップを経て行われます。分析者はログを収集し、エンドポイントの動作を確認し、ユーザーのアクティビティを確認し、インジケーターを強化し、イベントを脅威インテリジェンスと比較し、範囲を評価し、結論を書きます。AI SOC分析者は、現在その多くを迅速かつ一貫して実行することができます。
これにより、分析者の役割は変わりますが、完全に除去されるわけではありません。代わりに、毎回のアラートに対して手動で証拠を収集するのではなく、AIによって生成された調査結果をレビューし、例外を調査し、検出を調整し、脅威を探し、複雑または重要なケースについて決定を下します。
これは重要です。なぜなら、ほとんどのSOCは、すべてのアラートを深く調査することができないからです。IBMの2025年のデータブリーチ調査によると、AIと自動化の広範な使用により、データブリーチのコストが190万ドル削減され、ブリーチのライフサイクルが約80日短縮されたことがわかりました。AIにより、チームは追加のヘッドカウントや大規模な契約チームに頼ることなく、調査の基準的な品質を向上させることができます。
導入は技術的および信頼の問題
セキュリティリーダーは、SOCにおけるAIについて慎重であることを正当化されています。誤った自動化アクションは、ユーザーをロックアウトしたり、システムを混乱させたり、SOCへの信頼を損なったりする可能性があります。AIが正確であっても、チームは決定の理由が見えなければ躊躇する可能性があります。
そのため、効果的な自動化には以下のガードレールが必要です:
- 明確なアクションの境界
- デリケートなシステムに対する人間の承認
- 決定ごとの監査ログ
- 可逆的な封じ込めアクション
- 信頼しきい値
- ロールバック手順
ほとんどのチームは、観察モードから始めるべきです。AIが調査し、提案し、行動を文書化することを許可し、人間がそれを承認するようにします。システムが特定のシナリオで信頼性が証明されると、そのシナリオは承認ベースの自動化に移行し、適切な場合には完全な自動化に移行できます。信頼は、繰り返し制御された成功によって得られます。
セキュリティリーダーが再考すべきこと
AIはインシデントレスポンスに属する。質問は、どこでAIがアクションを起こすべきかです。
頻繁で時間が敏感で、よく理解され、強い信号によって裏付けられ、かつ可逆的なレスポンスシナリオから始めます。フィッシング調査、不審なアカウントの封じ込め、 マルウェアの分離、また悪意のあるドメインのブロックは論理的な候補です。
目標は、SOCからの繰り返しの決定の引きずりを除去することであり、人間を完全に除去することではありません。AIは定義されたシナリオで検証し、決定し、アクションを実行できます。人間は境界を管理し、曖昧さを処理し、結果に対して責任を負うべきです。
t、 マルウェアの分離、また悪意のあるドメインのブロックは論理的な候補です。目標は、SOCからの繰り返しの決定の引きずりを除去することであり、人間を完全に除去することではありません。AIは定義されたシナリオで検証し、決定し、アクションを実行できます。人間は境界を管理し、曖昧さを処理し、結果に対して責任を負うべきです。












