あなたのAI自動化プラットフォームの決定には、ある人物が欠けています。

SOCアナリストの経験がAI自動化の意思決定を左右する理由

想像してみてください。セキュリティエンジニアリングチームが、AI自動化プラットフォームの評価に数週間を費やします。概念実証を行い、統合のストレステストを実施し、どのツールがプレイブックの構築を最も洗練された体験にするかを議論します。そして、勝者を決定。導入は順調に進みます。ところが、6か月後、アナリストの満足度スコアは横ばい、MTTR（平均復旧時間）は変化せず、プラットフォームはまるで他人のために設計されたかのように感じられます。.

なぜなら、そうだったからだ。.

これは、組織がAI自動化プラットフォームを選択する際に犯す最も一般的でコストのかかる間違いの1つです。セキュリティエンジニアリングは評価を実行し、自動化を構築しますが、SOCアナリストは日々の運用を担当します。

評価における盲点

セキュリティエンジニアは統合の設定、プレイブックの作成、自動化ワークフローの設計を行うため、プラットフォーム評価を主導するのは理にかなっており、彼らは重要な役割を担うべきである。.

しかし現実には、これらのプレイブックが構築され運用開始されると、エンジニアリングチームは一歩引いて、アナリストが活躍する。アナリストはアラートの優先順位付け、インシデントの調査、そして日々のプレッシャーの中での意思決定を行う。彼らこそが、プラットフォームの主要ユーザーであり、毎日その役割を担うのだ。.

Swimlaneの調査によると、セキュリティ自動化プラットフォームで費やされる時間のうち、オーケストレーションやプレイブック作成といった作業に費やされる時間は15%未満であることが一貫して示されています。残りの85%は、アナリストがケースを処理し、データをレビューし、チームメイトと協力し、インシデントを解決に導くための作業に費やされています。.

15%向けにプラットフォームの選択を最適化すると、もう一方の85%にとって必要以上に難しくなってしまう。.

プラットフォームは、自動化とケース管理を別々のシステムに分割していることが多い。アナリストは複数のツールを行き来することになり、コンテキストが散逸してしまう。.

“「サードパーティ製のケース管理ツールを使えばいい」”

セキュリティ自動化分野のベンダーの中には、これを解決策として提案しているところもあります。 アナリストの経験 現状のシステムでは不十分なので、チームにサードパーティ製のケース管理ツールを導入するよう指示し、既存のシステムに組み込んでください。.

このアドバイスは全く的外れだ。.

ケース管理は、あれば便利な追加機能ではありません。SOC（セキュリティオペレーションセンター）の中核を成す運用ツールです。コンテキストが蓄積され、コラボレーションが行われ、組織的な知識が集約され、経営陣が状況を把握できる場所です。それが自動化、データ、ワークフローから切り離された別のツールに隔離されてしまうと、問題は解決せず、表面的な対応に留まります。.

さらに悪いことに、摩擦が生じます。アナリストはシステム間を頻繁に切り替え、データを再入力し、自動化されたデータ拡充と人間の調査との連携が途切れてしまいます。この摩擦は時間を浪費し、時間はコストに直結します。そしてセキュリティにおいては、時間はリスクを生み出すのです。.

アナリスト経験の意味

アナリストの経験は、スピード、一貫性、そしてSOCが経営陣に示す価値に直接影響を与える。.

アナリストのエクスペリエンスについて語るとき、私たちは洗練されたUIやダークモードについて話しているわけではありません。プラットフォームがアナリストの業務を、より少ない摩擦、より的確な判断、そしてより一貫性をもって進めるのに役立つかどうかについて話しているのです。つまり、あなたのプラットフォームが以下の点を満たしているかどうかを問う必要があるということです。

• 統合型ケースマネジメント それは、自動化が実行されるプラットフォームと同じプラットフォーム内に存在し、別のツールへのデータ引き渡しを介して存在するものではありません。.
• A 共通データモデル これにより、あらゆる統合においてデータが標準化されるため、アナリストは数十ものツールから出力される生データやノイズの多いデータではなく、一貫性のある構造化された情報を見ることができる。.
• 専用に構築されたアナリスト向けアプリケーション カスタムフィールド、カスタマイズされたUI、そしてアナリストが実際にどのように考え、トリアージを行うかに基づいて設計されたワークフローを備えており、エンジニアが構築しやすいものに基づいて設計されたものではありません。.
• ダッシュボードとレポート これにより、アナリストはケースの状況をリアルタイムで把握でき、リーダーはSOCの価値を実証するために必要な指標を得ることができます。.
• AIを活用した意思決定支援 これにより、推奨事項が提示され、反復作業が自動化され、アナリストの判断力が向上します。SOCにおけるAIは、アナリストを迂回するのではなく、アナリストの作業効率と能力を向上させるべきです。最適な実装では、アナリストがケースに触れる前に、既存のツール群に基づいた情報提供、推奨される対応策、および対応計画を提示します。最終的な判断はアナリストが行います。これが、MTTR（平均復旧時間）を短縮し、優秀な人材を確保する方法です。.

重要なビジネス成果

CISOやSOCディレクターは皆、経営陣と同じような会話を交わす。「SOCは何をしているのか、そしてそれは機能しているのか？」彼らに求められるビジネス成果は抽象的なものではない。具体的なものだ。

• リスク軽減と任務遂行の保証
• 業務効率と規模
• アナリストの経験と知識の保持
• コンプライアンス、コスト、そして成長促進

アナリストが不満を抱えていたり、作業が遅かったり、プラットフォームを活用するのではなく回避策を講じているような状況では、これらの成果はどれも達成できません。アナリストの経験 は 業務効率化の手段。アナリストの定着率向上 は リスクレバー。統合ケースマネジメントで収集された知識。 は 組織のレジリエンス（回復力）。これらは単なる漠然としたメリットではなく、測定可能で、役員会レベルで評価される成果です。.

エンジニアを満足させる一方でアナリストを不満にさせるプラットフォームは、それらの期待をすべて満たすことはできないだろう。.

より良い評価フレームワーク

解決策は、評価からセキュリティエンジニアを排除することではなく、チーム全体を巻き込むことです。簡単に言い換えると次のようになります。

評価対象領域	エンジニアの視点	アナリストの視点（これは読み飛ばさないでください）
プレイブックビルダー	自動化の構築の容易さ、ローコードの柔軟性、統合の深さ	アナリストには結果がどのように提示されるのか？ 分析結果は読みやすく、活用しやすいものになっているか？
ケースマネジメント	フィールドやデータ構造をカスタマイズすることはできますか？	トリアージ、調査、そして調査結果の記録を1か所で行うことは、直感的に理解しやすいでしょうか？
データモデル	統合されたデータ間で、取り込まれたデータはどの程度正規化されていますか？	一貫性のある構造化されたデータを見ているのか、それともツールが出力した生データを解釈しているだけなのか？
報告	運用指標用のカスタムダッシュボードを作成することはできますか？	自分の担当案件数、優先度キュー、SLAステータスを一目で素早く確認できますか？
AI機能	AIはどのような自動化タスクを処理するのか？	AIは私の意思決定をより良いものにしてくれるのか、それとも単に私の担当する案件の件数を減らすだけなのか？

SOCにおける最も重要なユーザー

セキュリティエンジニアは不可欠な存在です。彼らが構築する自動化システムこそが、規模拡大を可能にするのです。しかし、日々のセキュリティ運用において、プラットフォームの最も重要なユーザーとなるのはアナリストです。彼らこそが、脅威を検知し、事案を解決し、組織を守り続ける存在なのです。.

統合されたケース管理機能、一貫性のあるデータモデル、専用アプリケーション、そして業務を補完するAIを備えた、顧客にとって最適なプラットフォームを選択すれば、顧客体験が向上するだけでなく、組織が重視するあらゆる成果、すなわち、応答時間の短縮、アナリストの定着率向上、コンプライアンス体制の強化、そしてその価値を実証できるSOC（セキュリティオペレーションセンター）の実現にもつながります。.

次回、チームがセキュリティ自動化プラットフォームを評価する際には、始める前に「これは一体誰のためのものなのか？」というシンプルな質問を自問自答してください。そして、そのプラットフォームを一日の85%も利用している人々が、意思決定の場に必ず同席するようにしてください。.