AI SOC の内側:Swimlane が MTTR を半分に短縮した方法
続きを読む
AIを活用したエンドツーエンドの調査をオーケストレーションするためのガイド
このブログ記事は、SwimlaneのエキスパートAIエージェント群に関する4部構成シリーズの第3回目で、Hero AI調査エージェントに焦点を当てています。このエージェントは、コンテキスト切り替えというコストのかかる問題を解消します。コンテキスト切り替えは、アナリストがコンテキストを収集するために複数のツールを切り替えながら作業するため、膨大な時間を消費します。AI SOCの「頭脳」として機能する調査エージェントは、他のエージェントから高精度のインテリジェンスを統合し、顧客定義のランブックと組織の知識に基づいて評価することで、NISTに準拠した、優先順位付けされた完全な4段階の対応計画を作成します。.
このシリーズをご覧になっている方は、Swimlaneの2人のエージェントについて取り上げてきました。 ヒーローAI これまでの艦隊: MITRE ATT&CK & D3FEND エージェント 攻撃と防御の記述方法を標準化し、 脅威インテリジェンスエージェント 複数の情報源からの情報を統合し、単一の分かりやすい評価にまとめる。.
どちらのエージェントも実際の問題を解決するが、それらはあくまで入力情報であり、文脈を提供する。その文脈を踏まえて次に何が起こるかによって、調査が成功するか失敗するかが決まるのだ。.
ここは 調査員 そして、正直なところ、私が最も掘り下げてみたいと思っているのはこの部分です。なぜなら、この部分から艦隊の概念が理論的なものから、エンドツーエンドの成果を生み出し始めるからです。.
そこは、段階的な信頼関係が真に重要になる場所でもあります。エージェントが指標を充実させたり、ATT&CKの手法をマッピングしたりしている場合、ミスの影響範囲は小さいです。しかし、エージェントが調査計画を策定し、タイムラインを作成し、封じ込め策を推奨する段階になると、話は全く変わってきます。.
基準はより高く、リスクもより大きく、信頼を得るための方法もこれまでとは異なってくる。.
しかし重要なのは、このエージェントこそが、すべてのSOCリーダーが実際に望む結果を実現する鍵であり、明白な問題を確実に自動的に解決することで、チームが重要なことに集中できるようにするということです。.
コンテキスト切り替え税
どのように ヒーローAI 調査エージェントは機能します。では、それが解決する問題について話しましょう。なぜなら、それはセキュリティ運用において最も過小評価されている生産性阻害要因の1つだと私は考えているからです。.
アラートが発令され、アナリストが調査を開始すると、彼らは一つのことだけをしているわけではありません。.
- 彼らはSIEMからアラートのコンテキストを取得し、脅威インテリジェンス(TI)プラットフォームでインジケーターの評判を確認しています。.
- 彼らは過去のチケットを調べて、このホストまたはユーザーが以前にも登場したことがあるかどうかを確認している。.
- 彼らはMITREフレームワークを参照して、攻撃パターンを理解しようとしている。.
- 彼らは、規定の対応手順がどのようなものかを確認するために、運用マニュアルを参照している。.
- 彼らは作業を進めながらメモを取り、そのすべての作業に基づいて、対応策(エスカレーション、封じ込め、終結など)を提案する。.
これらの各ステップは、それぞれ異なるツール、タブ、またはワークフローに存在します。アナリストは統合レイヤーであり、その統合に伴うコストはコンテキストの切り替えです。ツールを切り替えるたびに、作業の勢いが失われます。方向転換、再読解、再文脈化が必要になるのです。.
切り替え作業には20~40%の生産的な時間が費やされる可能性があり、私がSOCチームを運営してきた経験からすると、これは調査作業としては控えめな見積もりです。.
調査エージェントは、上級アナリストが行う作業を単一のインターフェースで行うことで、ツールを切り替える際の認知的負担をなくし、その負担を軽減します。.
調査エージェントの働き方
捜査官は、 AI SOC, そして、その仕組みを見てみると、その枠組みは実際には理にかなっていることがわかる。それは単独で機能するのではなく、艦隊内の他の3つのエージェントからの高精度な出力を取り込み、それらを統合して完全な調査を行うのだ。.
調査および対応エージェントのワークフロー
エージェントはまず、生の警告データ、補足情報、コンテキストなど、利用可能なすべてのケース入力を取り込みます。次に、TIエージェントの統合されたクロスソース分析、MITREエージェントの手法と対策のマッピング、およびVerdictエージェントの予備評価を重ね合わせます。.
それが情報活動の基盤だ。.
そして、ほとんどの自動化ツールにはない機能を発揮します。それは、それらすべてを顧客定義の運用手順書やナレッジベースの記事と照合することです。ここで、組織的な知識が活きてきます。文書化された手順、過去のインシデントから得られた教訓、そしてチームが(願わくば)長年にわたって蓄積してきた暗黙の知識などです。.
このエージェントは、NISTインシデント対応フレームワークを基盤としており、セキュリティチーム全体で普遍的に理解できる構造の出力を提供します。.
捜査官の調査結果:4段階対応計画
その結果、優先順位付けされた対応計画が4つの段階に分けられて策定された。
- 封じ込め: 脅威の拡散を阻止する。.
- 根絶: 根本原因を取り除く
- 回復: 通常の動作を再開する
- 硬化: 再発を防ぐ
それぞれの推奨事項は実行可能なものであり、「さらに調査することを検討してください」といった漠然としたものではなく、アナリストが実行できる具体的な次のステップ、あるいは信頼関係が築かれた場合にはプラットフォームが自律的に実行できるステップを示しています。.
エージェントは、調査概要、タイムライン、推奨アクションを単一の統合インターフェースを通じて生成します。タブの切り替え、手動での関連付け、ツールを切り替えるたびにコンテキストを再構築する必要は一切ありません。アナリストは全体像を把握し、明確な計画を立てることができます。.
AI SOCベンチマークが真価を発揮するのはここからだ
さて、ここからが私が本当に時間をかけて説明したい部分です。なぜなら、これはこのシリーズ全体の中で最も重要な概念であり、捜査官こそがそれを具体的に示す存在だからです。.
これまで私が繰り返し述べてきたように、SOCにおけるAIは完璧である必要はなく、有用であるべきです。人間と同等以上の成果を上げ、アナリストが推論を検証できる十分な説明可能性を備えている必要があります。それを証明する方法は、ベンダーのデモやマーケティング上の主張ではなく、自社のデータを用いて自社のアナリストとベンチマークを行うことです。.
Swimlaneはまさにこれを社内SOCで実行しました。約35,000件の人間の調査、実際の事例、実際の判断、実際の分析メモを収集し、そのデータセットを使用してエージェントの出力をベンチマーク、検証、調整しました。これは実験室での演習ではありません。AIが推奨するであろう内容と、経験豊富なアナリストが実際に行った内容を、大規模なケースごとに比較したのです。.
AI SOCチームのためのヒント
これは、私がAI導入に関してチームと仕事をする際に、毎回必ず推奨している方法論です。.
まずは原材料から始めましょう。過去のチケットとアナリストのメモが必要です。 なぜ 何らかの事象が終結、エスカレーション、または無害と判断された。重要なのは、その処理結果だけでなく、その過程における論理的な推論である。.
アナリストがチケットをたった一言のメモでクローズしている場合、AIの問題を解決する前に、まずドキュメントの問題を解決する必要があります。ナレッジベースやランブックが既にある場合は、調査エージェントがそれらに基づいてケースを評価できるので問題ありません。ない場合は、AIを使用して過去のケースから生成できます。.
私はこの目的でClaude Sonnetを使って良い結果を得ています。アナリストのメモ付きの過去のチケットをまとめて入力すると、パターン、判断基準、対応手順が抽出され、構造化されたナレッジベース記事が作成されます。これを出発点となるナレッジベースとして、そこから改良していくと良いでしょう。.
次に、反復作業を行います。調査エージェントをアナリストと並行して実行し、調査計画、タイムライン、推奨アクションをチームが独自に作成したものと比較します。一致する点、相違する点、そしてその理由を追跡します。.
パターンを探してください。エージェントは、情報収集を常に徹底的に行っているものの、経験豊富なアナリストなら気づくような文脈を見落としていることがありますか?エージェントが推奨する封じ込め措置は、あなたのチームが95%の頻度で同意するものですか?
そのベンチマークプロセスこそが、エージェントがより大きな裁量権を得るための手段なのです。それは初日からすぐに変わるものではなく、段階的な信頼関係の構築によって成り立つものです。.
AI知識基盤の構築
最後に、実践的な話題で締めくくりたいと思います。なぜなら、多くの組織がここで行き詰まっているのを目にするからです。彼らは自動的に完了する結果を求めますが、それを可能にする知識基盤の構築を怠っているのです。.
調査エージェントの能力は、事件評価に使用する手順書やナレッジベース記事の質に左右されます。もし組織の知識が上級アナリストの頭の中にしか存在しない場合(正直に言って、ほとんどのSOCではそうなのですが)、エージェントは適切な提言を行うために必要な背景情報を得ることができません。.
チームが実際に特定の種類の事件を処理する方法に合わせた計画ではなく、一般的な調査計画が提供されることになります。.
解決策は、多くの人が考えているよりも簡単です。過去6~12か月分のクローズ済みチケットを取り出してください。アナリストのメモがきちんと記載されているもの(たとえ内容に一貫性がなくても、それは普通のことです)に注目してください。AIを使用して、共通のパターンを抽出します。どのアラートタイプがこれらのケースを生成したか、どのような情報拡充手順が実行されたか、典型的な意思決定基準は何か、そしてどのようなアクションが推奨されたかなどです。.
それをナレッジベース記事やランブックにまとめましょう。完璧である必要はありません。エージェントが参照でき、チームが時間をかけて改善していける出発点が必要です。.
私はこれを複数の環境で試してきましたが、結果は驚くほど一貫しています。ナレッジベースを構築し、エージェント群をシャドウモードで運用し始めてから数週間以内に、エージェントがアナリストが作成するであろう調査計画と一致する調査計画を作成し始めるのがわかります。.
ベンチマークテスト開始から数ヶ月以内に、自動クローズ候補となる案件が初めて特定されます。四半期以内には、ティア1案件の相当な割合を自信を持って自動クローズできるようになり、アナリストは人間の判断が必要な調査に時間を費やすことができるようになります。.
それがAI SOCです。初日からチームを置き換える魔法のようなモデルではありません。それぞれが特定のタスクを得意とし、互いに連携し、時間とともにその役割を拡大していく、専用に設計されたエージェントの集合体です。調査エージェントは、それらすべてが集約される場所であり、真の投資対効果(ROI)が発揮される場所です。.
このシリーズの最終回では、実際に判断を下す「評決エージェント」について解説します。調査エージェントが頭脳だとすれば、評決エージェントは意思決定者と言えるでしょう。どうぞお楽しみに。.
自社のSOCをAIと比較する準備はできていますか?
アナリストは、あらゆる調査において6つのツール間の統合レイヤーとなるべきではありません。SwimlaneのHero AI調査エージェントは、単一のインターフェースからNISTに準拠した完全な調査計画を作成し、ベンチマーク設定、信頼性の構築、そして人間の手を必要としないケースの自動クローズを支援します。.
要約:ヒーローAI捜査官
このエージェントはAI SOCの頭脳として機能しますが、その有効性は既存の知識基盤に完全に依存します。セキュリティリーダーは、組織の知識を上級アナリストだけに任せるのをやめるべきです。これが、組織が自動クローズの導入を遅らせる主な理由だからです。.
これを修正するには:
- アナリストのメモを含め、過去6~12ヶ月間のクローズ済みチケットを抽出することを任務とする。.
- AIを活用して共通パターンを識別・抽出する:
- アラートの種類
- 決定基準
- 推奨される対策
- これらの知見を、エージェントが必要とする基礎知識ベースとして体系化する。.
- この知識を実践に移すために、段階的な信頼フレームワークを適用する。.
- 四半期以内に、ティア1案件の相当な割合を自律的に自動解決できるようにすることで、調査エージェントの投資対効果を明確にし、チームが複雑な人的判断を要する業務に集中できるようにします。.
English 
Français 
Deutsch 
日本語 
한국어 
Português 
Español