サイバーセキュリティ
October 9, 2025
アラート疲労から実行可能なインテリジェンスへ: AIがSOCを再定義する方法
セキュリティ・オペレーション・センター(SOC)は、臨界点に達しています。アナリストの焼き尽き症候群は、長期にわたる重大なリスクでしたが、問題は悪化の一途をたどっています。実際、最近調査された組織の73%がサイバーセキュリティ・インサイダーズとGuruculによって報告されているように、アナリストの焼き尽き症候群と慢性的スタッフ不足に苦しんでいます。アラートのボリュームは増加しており、脅威は増殖し、アナリストはレガシーのフラグメンテーション化されたツールを使用することになっています。人間だけでこれを処理することは簡単にすぎるため、AIは急速にニーズから戦略的必須へと変化しています。今日のSOCの危機SOCにおける焼き尽き症候群の率はよく文書化されていますが、状況はまだ改善されていないため、十分に言及することはできません:アナリストは彼らのロープの末端にあります。彼らは、以下を含む悪化する課題に直面しています: アラート疲労 – アラートが多すぎるだけでなく、誤った陽性も増加しており、効果的に対応するのが難しくなります。実際、上記の調査によると、88%のサイバーセキュリティ・リーダーはアラートのボリュームが増加したと述べており、46%は過去1年間に25%以上の増加を報告しています。 新しいおよび進化する脅威 – 脅威の風景は常に変化しており、AIは悪い行為者に新しいツールを提供し、より迅速に脅威を実行できるようにしています。資格の悪用と内部リスクはさらに複雑さを加えます。 可視性の欠如とツールのギャップ – レポートによると、96%の会社は重大な盲点を持っていることを認めています。クラウド・インフラストラクチャ(74%)とアイデンティティおよびアクセス・ビヘイビア(67%)は、トップの懸念事項です。 スキル・ギャップとターンオーバー – サイバーセキュリティのスキル・ギャップは、業界全体にとって継続的な課題であり、高い焼き尽き症候群の率は高いターンオーバー・率を意味します。レベル2(L2)およびそれ以上のアナリストをシステムを通してトレーニングする必要がありますが、レベル1(L1)で焼き尽き症候群を起こしている場合、それは起こりません。従業員を探し、雇用し、オンボーディングし、トレーニングし、維持するために、多大な時間と労力が必要です。さらに、ターンオーバーに合わせて代替タレントのベンチを維持する必要があります。 AIをテーブルに導入するAIと自動化は、SOCにとって巨大な潜在性を提供しています。上記の調査で、81%の組織がSOC用のAIツールを導入または試験していることは驚くことではありません。さらに、ツールを最大限に活用している組織は、重要な結果を経験しています:60%の導入者は、調査時間が25%(または以上)短縮されたと述べており、21%は50%以上の短縮を実現しています。AIは、以下の点でアラート疲労を実行可能なインテリジェンスに変換します: ノイズ削減 – SOCにおけるAIを使用することで、組織はAI駆動の相関と優先順位付けを獲得します 迅速な調査 – AIと自動化は、トリアージ、コンテキストの収集、対応に役立ちます アナリストのエンパワーメント – アナリストの時間が解放され、より高価値の活動に集中できます 実行のギャップAIはSOCの改善に巨大な潜在性を提供しますが、問題は次のとおりです:ツールを使用しているのは31%の回答者だけです。関心は高いですが、実行のギャップがあります。AIの完全な運用化には、障害があります。1つは統合の課題です。レガシーのインフラストラクチャとフラグメンテーション化されたツールは、新しいテクノロジーの導入を困難にします。別の懸念は、透明性と説明可能性です。AIが決定を下す理由を理解するにはどうすればよいのでしょうか?2番目の障害は、AIに頼るべき信頼です。信頼はAIの成熟度のための基本的な要件です。調査参加者の9%だけが「非常に自信を持って」AIによって生成されたアラートと推奨事項を報告しました。さらに33%は「ほとんど信頼しています」が、AIの結果を確認したいと考えています。41%は、AIは全体的に役立つと考えていますが、継続的な検証が必要です。3番目の障害は、変更管理です。組織は、新しいスキルとトレーニングのニーズによって、新しいテクノロジーを導入し、AIの潜在能力を最大限に活用することが困難です。また、文化的な抵抗もあります。「私たちは常にこのように行ってきたので、変更する理由はない」という考え方です。SOCの成功のための障害の克服投資収益率の早期化を提供するパイロット・プロジェクトから始めます。アイデンティティとビヘイビアを相関させ、イベントだけではありません。アイデンティティとアクセス・ビヘイビアの可視性のギャップにより、上記の調査で回答したxx%の組織は、AIプラットフォームがログ分析だけでは不十分であることを示しています。システム全体でアクションを実行する人とデバイスを判断するには、ビヘイビアのコンテキストが必要です。SOCの成功の障害をクリアするには、いくつかのステップが必要です。まず、説明可能なAIを優先して、透明性と信頼性を確保します。説明可能で透明性のあるAIによるトリアージと調査は、L1アナリストが迅速に学習し、高いレベルでパフォーマンスを発揮し、スキルを迅速にアップグレードするのに役立ちます。2番目に、アナリストをより高価値の脅威ハンティングと戦略的イニシアチブ(Zero Trustなど)にスキルアップさせます。AIは人間を置き換えるものではなく、人間を補完するものです。これは、SOCにおけるAIの成功のための重要な区別です。信頼が確立されるまで、人間をループに維持し、AIに退屈な低影響セキュリティ・タスクを処理させ、残りをエスカレートします。3番目に、AIをSOCのコア戦略として扱い、付加価値や後付けではなく、よく考えられた包括的なアプローチの一部として扱います。SOCにおけるAIの採用の時SOCは、アラートのボリュームの増加、アナリストの焼き尽き症候群の悪化、アイデンティティベースの脅威の増加により、深刻な危機に直面しています。レガシーの防御は、合法的な行動を模倣し、静かに動作する脅威に対処することができません。AIはSOCチームがアラート疲労を軽減し、データの過負荷を克服し、コンテキストに基づいて調査するのを助けます。ブリーチが発生する前に、またはその間ではなく、ブリーチが発生する前に盲点を見つける必要があります。SOCの機能、現在の課題、戦略的ビジョンを評価し、AIが今日どこで役立つか、そして長期的にはより堅牢なセキュリティの姿勢を創造するのにどこで役立つかを特定します。
