AIはいかにして明確かつ説得力のあるSOCの判断を下せるのか

AIはいかにして明確かつ説得力のあるSOCの判断を下せるのか

これは、Swimlaneの艦隊に関するこのシリーズの4番目で最後の投稿です。 ヒーローAI エージェント。 MITRE ATT&CK & D3FEND エージェント, 攻撃と防御の用語を標準化する。 脅威インテリジェンスエージェント, 複数の情報源からの情報を統合して単一の評価を行う機能、そしてエンドツーエンドの調査を統括し、自動解決への道を開く調査エージェント。これらのエージェントはそれぞれ、コンテキスト、情報拡充、分析を提供します。しかし、どのエージェントも、あらゆるアラートが最終的に行き着く疑問には答えていません。

では、これをどうしたらいいのでしょうか？

それが判断です。悪意のある、無害な、エスカレーション、クローズ。まさに決断の時であり、ほとんどのSOC（セキュリティオペレーションセンター）では、これがボトルネックとなっています。アナリストが判断できないからではなく、キューがどんどん増え続ける中で、大量の案件に対して一貫して適切な判断を下し、文書化していくことは、ほとんどのチームが運用している規模では持続不可能な要求だからです。.

評決エージェントは、相互接続されたAI推論が収束する場所です。他のエージェントが生成するすべての情報、TI合成、MITREマッピング、調査計画、過去の事例コンテキストのレイヤー、知識ベースの記事、アナリストのメモなどを取得し、十分な情報を持つアナリストが下すであろう結論を反映した説明可能な判断を生成します。評決は信頼を得るか失うかの分かれ目です。 AI SOC 現実のものとなるか、あるいは理論上のものにとどまるか。.

Hero AIエージェントについて詳しくはこちらをご覧ください

判決の構造：「悪意」または「良性」を超えて“

AIセキュリティマーケティングでよく見かける考え方、つまり判断を二者択一で捉える考え方に異議を唱えたいと思います。悪意があるか無害か、賛成か反対か、といった具合です。スパムフィルターにはそのような考え方が通用するかもしれませんが、経験豊富なアナリストが実際にどのように事件を分析するかを反映しているとは言えません。.

真の判断とは、一連の論理的思考の過程です。アナリストは次のように判断します。「アラートデータを調べたところ、この指標は情報源によって評価が分かれていることが分かりました。このユーザーから過去1ヶ月間に同じパターンが3回発生しており、毎回無害と判断してクローズしました。MITREマッピングではT1566.002と表示されていますが、D3FEND対策により、当社のメールゲートウェイが既にこの手法をブロックしていることが確認されています。また、関連するケース履歴によると、このアラートタイプに対する検出ルールの誤検出率は94%です。判断：無害、クローズ、対応不要。」“

それは二者択一の判断ではありません。それは総合的な判断です。複数の要素を考慮し、制度的な背景を適用し、判例を参照し、説明可能で正当化できる判断を下します。評決エージェントの真髄は、結果だけでなく、その理由も含めた、その推論過程を再現することにあるのです。.

これには2つの理由から重要な点がある。. 

• まず、説明可能性によって、アナリストは最初から再調査するのではなく、迅速に判断を検証できます。エージェントが作業内容を表示する場合、TI評価、MITREマッピング、過去の事例、参照したナレッジベース記事などが表示され、アナリストは数秒で確認または覆すことができます。. 
• 第二に、文書化された推論過程こそが、自動的な処理完了を正当化する根拠となります。監査担当者やコンプライアンスチームが「なぜこの案件は人間の審査なしに処理されたのか？」と尋ねた場合、答えは「AIがそう言ったから」ではありません。アナリストが適用したであろう判断を反映した、完全かつ追跡可能な推論過程を示す必要があるのです。.

スケーラビリティのパラドックスを解決する

ほとんどのSOCリーダーが抱えるパラドックスはこうだ。アナリストの注意を最も必要とするケースほど、実際には最も注意を払われない。なぜなら、日常的なケースの量が、利用可能な帯域幅をすべて消費してしまうからだ。.

典型的なSOCのキューがどのようなものか考えてみてください。おそらく60～70%件は、単純な既知の誤検知、無害なパターン、ノイズの多いルールからの繰り返しアラート、フィッシングシミュレーションなどでしょう。. 

経験豊富なアナリストであれば、これらの情報を見て5分以内に判断を下すことができますが、それでもケースを開き、情報を確認し、履歴をチェックし、決定内容を文書化し、チケットをクローズする必要があります。これを1日に数百件のケースで繰り返すと、上級アナリストは専門知識を必要としない業務にほとんどの時間を費やすことになります。.

一方、真に綿密な調査が必要なケース、新たなパターン、曖昧な兆候、深刻な事態の初期段階を示す可能性のあるアラートなどは、チームが日常業務に追われている間に、処理待ちの列に積み重なっていく。MTTD（平均処理時間）とMTTR（平均復旧時間）が悪化するのは、チームの作業が遅いからではなく、チームがこうした問題に埋もれているためである。.

ヒーローAI評決エージェントのご紹介

評決エージェント ルーチン的な判決を機械の速度で処理し、人間レベルの推論を行うことで、このサイクルを断ち切ります。 AIエージェント ケースを詳細に分析し、Verdict Agentが過去の状況、ナレッジベース（KB）の記事、アナリストの過去の事例と照らし合わせて評価することで、明白な事柄については自信を持って判断を下すことができます。しかも、毎回、疲労や手抜きをすることなく、完全な文書化を行いながら処理します。これにより、アナリストは、曖昧なケース、新たなパターン、そして人間の知性を必要とする調査など、本当に重要な業務に時間を費やすことができるようになります。.

これは、ほとんどのAIマーケティングが約束するものの、実際にはほとんど実現されない拡張性に関する鍵となる要素です。なぜなら、ほとんどのアプローチは、すべてをこなす単一のモデルで解決しようとするからです。. スイムレーンタービンの エージェント型AIアーキテクチャこそが、このシステムを機能させる鍵です。TIエージェントは既にインテリジェンスを統合し、MITREエージェントは既に技術と対策をマッピングし、調査エージェントは既に計画を策定しています。評決エージェントが判断を下す時点では、3つの専門エージェントから得られた事前処理済みの高精度なコンテキストに基づいて処理が行われており、すべての推論を一度に行おうとする必要はありません。.

スイムレーンタービンについて詳しくはこちらをご覧ください

人間が関与し続けるAIガバナンスのための4つのステップ

ガバナンスについて直接取り上げたいと思います。なぜなら、CISOやコンプライアンスチームにとって、議論が真剣なものになるのはまさにこの点だと分かっているからです。AIエージェントが人間のレビューなしに案件を処理することは、効率性という点では素晴らしいように思えますが、ガバナンス上の影響は決して軽視できません。エージェントが誤った判断を下したらどうなるでしょうか？監査人がその手法に疑問を呈したらどうなるでしょうか？規制当局が意思決定プロセスを解明しようとしたらどうなるでしょうか？

これが私の考え方であり、私が複数のAI実装で使用してきたフレームワークです。.

1. シャドウモードのベンチマークテストから始めましょう

まず、最初から自律的な解決を目指すわけではありません。エージェントがアナリストと並行して、シャドウモードで判断を下すことから始めます。エージェントが独自の判断を下し、アナリストも独自に判断を下し、両者を比較します。これが、このシリーズを通して私が述べてきたベンチマーク段階です。Swimlaneは、エージェントが自律的な結果を信頼し始める前に、約35,000件の人間の調査結果と比較して、自社のエージェントのベンチマークを実施しました。これは、省略できる近道ではありません。.

2. 段階的な自治権レベルを定義する

第二に、自動クローズは全か無かという二者択一ではありません。段階的な定義が可能です。特定のケースタイプにおいて、エージェントがアナリストの判断と98%以上の確率で一致するケースは、自動クローズ候補となります。一致率が90%のケースでは、ワンクリックで確認できるよう、アナリストに判断結果が提示されます。エージェントが信頼度が低いと判断した場合、またはケースタイプが十分にベンチマークされていない場合は、完全な人的調査が行われます。これは切り替えではなく、連続的なスペクトルなのです。.

3. 推論の全過程を文書化する 

第三に、すべての自律的な判断には、ケース記録に完全な推論過程が文書化されます。エンリッチメントデータ、TI合成、MITREマッピング、過去の判例、参照されたナレッジベース記事、そして判断に至った具体的なロジックなどが含まれます。ケースを再開または再検討する必要がある場合でも、調査記録は完全です。監査担当者が質問した場合、回答は追跡可能です。これが、AI駆動の判断が現状よりも正当性が高い理由であり、劣っている理由ではありません。なぜなら、現在、ほとんどのSOCでは、クローズされたケースの「文書化」は「FP - クローズ済み」というアナリストの1行のメモだけで終わっているからです。Verdict Agentは、時間的制約のある状況下でほとんどの人間が作成するよりも、はるかに詳細な記録を作成します。.

4. 継続的なフィードバックループを実装する

第四に、そしてこれは非常に重要な点ですが、フィードバックループを構築します。自動的にクローズされたケースが再開された場合、アナリストが判決を覆した場合、またはパターンが変化した場合、そのデータがシステムにフィードバックされます。組織の知識はアナリストの頭の中に閉じ込められることなく、彼らが退職すると同時に失われることもないため、エージェントは時間とともに能力が向上します。.

結論：事後対応型トリアージから戦略的自律性へ

このシリーズは、シンプルな論文から始まった。 AI SOC これは巨大な魔法のモデルではありません。アナリストのワークフローの各ステップに対応するAIエージェントの集合体であり、それらが連携して、時間の経過とともにより大きな役割を担う権利を獲得していくのです。.

このシリーズで取り上げた4つのエージェントは、より大規模なエージェントのエコシステムの一部であり、 スイムレーン・マーケットプレイス、, さらに、独自のエージェントを構築する機能も備えています。 タービンキャンバス. このシリーズから何か一つでも覚えておいてほしいことがあるとすれば、AI SOCはあなたのチームを置き換えることではないということです。AI SOCは、相互接続されたAIエージェントのネットワークを構築し、ルーチンワークを担う権利を獲得することで、チームメンバーが本当に重要な業務に集中できるようにすることなのです。.