Brian Contosは、30年以上にわたり成功企業の構築とサイバーセキュリティの普及に携わってきたMitigaのフィールドCISOである。
現代の脅威は高速で動くが、検知はそれ以上に速くなければならない。AI技術の精度と人間の直感を組み合わせることで、攻撃が拡散する前に阻止することが可能になる。
現代のサイバーセキュリティは単一の戦いで定義されるものではない。それは、脅威の進化、検知、対応という3つの相互接続された戦線にわたる継続的なキャンペーンである。各柱は他の柱を強化する。一つを理解するには、それが他の要素をどのように形作り、また他の要素によってどのように形作られるかを理解する必要がある。
これらの柱は一体となって、攻撃に耐えるだけでなく、適応し、加速し、攻撃を上回るように設計された完全な防御戦略を形成する。検知はその橋渡し役だ。脅威がどのように進化するかについての情報と、組織の対応を定義する戦術的決定を結びつける。
強力な検知がなければ、緩和策は静かに失敗し、対応は手遅れになる。
検知の必要性
すべての攻撃を阻止しようとするのをやめよう。それらを見ることに長けるべきだ。
今日のセキュリティオペレーションセンター(SOC)は、データ、アラート、複雑さの容赦ない急増に直面している。マルチクラウド環境、リモートワークフォース、SaaSの拡散により、可視性は人間のスケールを超えて断片化している。その結果、アラート疲れ、データ過負荷、見逃されたシグナルの集合体となり、攻撃者はそれを喜んで悪用する。
手動のトリアージ、ルールベースの検知、静的なプレイブックなどの従来の防御策は、現代の攻撃の速度に追いつけない。速度が重要なキーワードであり、攻撃者はかつてないほど速くなっており、今後も指数関数的にその傾向は続くだろう。検知もそうでなければならない。
ここで、もう一つのバズワード、AIが単に役立つだけでなく、必要不可欠になる。
AIを力の乗数として活用する
AIはアナリストの優位性を回復するためのものだ。世界中のSOCでは、大規模言語モデル(LLM)と機械学習システムが重労働を担当している—異常を相関付け、大量のログを分析し、人間がリアルタイムで処理できないパターンを検出する。
速度は利点だが、それ以上に重要なのは精度だ。AIはクラウド、SaaS、ID、ネットワーク層全体からのテレメトリを文脈化し、表面的なアラート相関を超えて行動のベースラインと逸脱をマッピングできる。
言い換えれば、2つの銃でターゲット射撃をしているところを想像してほしい。片方にはショットガン、もう片方にはスナイパーライフルがある。ショットガンは広範囲で扱いにくい。繰り返しや運によって、精度の高いターゲットに当たるかもしれない。しかしAIは、的確なスナイパーライフルのようなものだ。
従来の検知は散弾発射と祈りだった。AIは重要なものを正確に特定し、ノイズを排除し、誤検知を稀な例外に変えることで、精度を高める。
その精度はまた、俊敏性を解き放つ。一律の対応をトリガーする静的なルールの代わりに、AIは複数のツールにわたるデータを分析して最適なアクションを推奨、あるいは自動化する「ジャストインタイム対応」を可能にする:ブロックする、隔離する、あるいは待機する。
秒単位で測定される脅威の状況において、決定を動的に調整して実行する能力こそが、不可欠な検知と効果的な対応のギャップを埋めるものだ。
基本を正しく理解する
AIが検知を変革する前に、基盤がしっかりしていなければならない。収集していないものを分析することはできず、文脈化していないものを理解することもできない。
効果的な検知は、依然としてクリーンで包括的かつ一元化されたデータから始まる—アクセス可能で正規化され、システム間で相関付けられたログだ。多くの組織はこのステップをスキップし、生データが存在することを確認せずにAI検知・対応ツールを追いかける。AIは不良データを修正できない。実際にはそれを増幅する可能性がある。
アラートではなくログこそが、真の洞察が存在する場所だ。アラートは要約に過ぎない;質の高いログは現実のソースコードだ。アラートだけでモデルをトレーニングすることは、本を読む代わりに書評を研究するようなものだ。ニュアンス、タイミング、侵害の微妙なシグナルを見逃してしまう。
現代の検知には、大規模でフィルタリングされていないテレメトリを処理し、それを理解可能にする、スケーラブルで分散型のデータレイクへの投資が必要だ。そうしてはじめて、その上にAIを重ねることが意味を持つ。
人間の要素
これらの欠点に続いて、最も高度なAIでも人間の直感に取って代わることはできない。相関付け、クラスタリング、計算はできるが、ビジネスの文脈や組織のニュアンスを解釈することはできない。それが検知の最後の一マイルであり、人間がまだ支配している領域だ。
AIは90%の道のりをカバーするかもしれない。人間は最後の10%を提供する—分析を行動に変える精密な判断だ。理想的なモデルは協調的検知だ:
• AIはスケールを処理する—分散システム全体で数十億のイベントを相関付ける。
• 人間は文脈を処理する—プロセス、優先順位、意図を理解する。
• 一緒に、彼らは最初のバズワードである速度を処理する—攻撃者の予想よりも速く、より確実に行動する。
このパートナーシップは組織全体をよりスマートにする。AIがノイズをフィルタリングすることで、ジュニアアナリストでさえ、反応的なトリアージからプロアクティブな戦略へとシフトし、準備態勢を強化し、インシデントプレイブックを洗練させ、検知をより広範なビジネス目標に合わせることができる。
拡大する脅威の状況
一方、敵は立ち止まっていない。AI駆動の攻撃者は加速しており、脆弱性の発見から悪用までの期間を数週間から数時間に短縮している。攻撃チェーン全体が現在は自動化されている。かつては専門家チームを必要としたことを、単一の攻撃者が今では実行できる。
その結果、より速く、より安価で、よりターゲットを絞ったキャンペーンが生まれている:超パーソナライズされたフィッシング、自動化された横方向の移動、サイロ化された防御をすり抜けるIDベースの悪用だ。
だからこそ、ID、クラウド、SaaSエコシステム全体の可視性は譲れないものだ。一つの柱でも欠けていれば、盲目的に運用していることになる。クラウドプロバイダーはインフラを保護するが、アプリケーションレベルのセキュリティはあなた次第だ。そうでないと思い込むと、自己満足と妥協につながる。
戦略的シフトの管理
予防はまだ重要だが、バランスは検知と対応へとシフトしている。制御できるものを強化できるが、クラウド時代では、あなたの境界は何千ものシステムにまたがっている。
明日のSOCは、拡張計画、リスクモデル、事業継続戦略に情報を提供する戦略的神経中枢だ。パノラマ的な可視性が基盤となる。それがなければ、最もスマートなAIも役に立たない。それがあれば、反応的から予測的へ、攻撃者に遅れをとるのではなく戦いをリードすることへと移行できる。
検知はレジリエンスが始まる場所だ。それは情報と行動が出会う場所であり、シグナルが物語に変わり、物語が積極的な防御に変わる場所だ。問題は攻撃されるかどうかではなく、それをどれだけ早く見て対応するかだ。
