セキュリティオペレーションが突如として注目を集めている。
この1年間で、「AI SOC」は新興カテゴリとして位置づけられ、新たなスタートアップ企業の波、新しい用語、そして自律性とエージェントに関する数多くの主張とともに語られてきた。この関心の高まりは本物であり、的外れでもない。しかし同時に、誤解を招く印象も生み出している。つまり、AI駆動型セキュリティオペレーションが最近の発明であり、依然として大部分が理論的段階にあるという印象だ。
実際はそうではない。
SOCは、AIが約束の段階を超えて本番環境に移行した数少ないエンタープライズ環境の1つである。それは刺激的だったからではなく、避けられなかったからだ。アラート量は何年も増加し続けている。攻撃者は防御側が人材を雇用できるよりも速く自動化を進めてきた。そして、SOC業務の中核的な仕組み(トリアージ、調査、相関分析)は、10年以上にわたって意味のある変化を遂げていない。
この現実こそが、現在のベンダー流入を促進している要因である。また、一部のプラットフォームが、他社がすでに何年も前から運用している領域に参入している理由でもある。
SOCが他のAIユースケースと異なる理由
ほとんどのエンタープライズAI施策が苦戦するのは、すでに機能している業務を最適化しようとするためだ(たとえ非効率的であっても)。セキュリティオペレーションには、そのような余裕は決してなかった。人間の規模の限界に、ずっと前に到達していたのだ。
この運用モデルは、攻撃者が偵察、フィッシング、ラテラルムーブメントを機械速度で自動化している現在でも続いている。オファー・スマダリ氏(Torq共同創業者兼CEO)は筆者に次のように語った。「AIは悪意ある者たちによって使用されている。彼らは毎日新しい攻撃ベクトルを構築している。そして、SOCはすべての検知システムからのアラートを受け取る唯一の存在だ」
SOCチームが圧倒されているのは、アナリストにスキルが欠けているからではない。毎日必要とされる意思決定の数が、人間が合理的に処理できる量を超えているからだ。大規模な環境では、これは毎日数億、場合によっては数十億のセキュリティイベントが検知システムを通過することを意味する。
この力学は、CISOやセキュリティ専門家と直接協働する専門家たちにとって見過ごせないものだ。「セキュリティアナリストが苦戦しているのは、スキルやトレーニングが不足しているからではない。業務量が容赦なく、エラーの許容範囲がゼロだからだ」と、デン・ジョーンズ氏(909Cyber創業者兼CEO)は述べた。「だからこそ、SOCは今日AIが真の価値を提供できる数少ない場所の1つなのだ。AIは創造的であったり洞察力を発揮しようとしているわけではない。人々を疲弊させ、真のリスクを見えにくくする反復的で大量の作業を引き受けることで、人間が実際に判断を必要とする意思決定に集中できるようにしているのだ」
アナリストの支援から業務量の処理へ
初期のセキュリティ自動化は支援に焦点を当てていた。ツールはアラートを充実させた。プレイブックは一部の手作業を削減した。それでもアナリストが負担の大部分を担っていた。
変化したのは範囲である。AIシステムは現在、SOCワークフローの定義された部分を独自に処理している。特に、業務が反復的でルールベースである場合だ。移動の異常。ID確認。フィッシングのトリアージ。セキュリティ態勢を改善することなく、アナリストの時間を消費していた作業だ。
スマダリ氏は、経営幹部や従業員が通常とは異なる地域や国からログインした場合の一般的なシナリオと、それが正当なものかセキュリティイベントかを検証するためにアナリストが経なければならない手順について説明した。「これは20分の作業だが、AIで完全に自動化でき、もう誰もやる必要がない」。価値は目新しさではない。規模だ。この20分を毎日数千のアラートに掛け合わせれば、運用上の影響は明確になる。
ここでSOCは他の多くのAI取り組みと分岐する。成果は目に見える。計算は成り立つ。応答時間が改善され、アナリストの業務負荷が変化する。
新しく感じられるが、そうではないカテゴリ
これらの機能がより目に見えるようになるにつれ、市場はAI SOCを新たに形成されつつあるカテゴリとして扱うことで反応してきた。Prophet Securityや7AIのような新しいベンダーが、エージェント的なメッセージングで立ち上がっている。
市場の観点からは、このフレーミングは理にかなっている。運用の観点からは、重要な文脈を見逃している。
一部のプラットフォームは、現在の関心の高まりのずっと前から、実際のSOC環境内でAI駆動型自動化を何年も適用してきた。Torqはその一例である。
野心的なロードマップと進化する用語を掲げた新規参入企業がこの領域に殺到する中、Torqは他社が測定される基準点としてますます機能している。同社はすでに、持続的なエンタープライズ展開、大規模なアラート量、そしてパイロット環境ではなく本番SOC内で運用することに伴う運用上の期待をナビゲートしてきた。
その意味で、TorqはAI SOC領域の事実上のリーダーである。このカテゴリは現在新興として扱われているが、Torqの地位は現職に近いものを反映している。つまり、それが表すものにようやく追いつきつつある市場における確立されたプラットフォームなのだ。
エンタープライズが安定性を重視する理由
大企業はスタートアップ企業と同じ方法でセキュリティツールを購入しない。彼らはリスク管理とイノベーションの受け入れとのバランスをより重視する。
キャリアの初期、私は有望な技術が停滞するのを目にした。それは機能しなかったからではなく、購入者が実績のないベンダーの手に重要な業務を委ねることを正当化できなかったからだ。機能は重要だ。しかし、拡張し、複雑な環境をサポートし、長期にわたって一貫して提供する能力も同様に重要だ。
スマダリ氏は率直に述べた。「エンタープライズは安定性を求めている。5000のエンドポイントから20万に拡張できること、そしてそれでも運用できることを知りたいのだ」。この期待は、AI SOCの議論が加速する中で購買決定を形成する。
また、この領域における最近の資金調達活動が注目を集めながらも、根本的に物語を変えていない理由の説明にもなる。Torqは最近、Merlin Venturesが主導し既存投資家が参加した1億4000万ドルのシリーズDラウンドを企業価値評価額12億ドルで発表した。この資本は、独自の規制と監督要求を持つ連邦政府および公共部門組織からの関心の高まりを含め、すでに規模で運用されているアプローチへの継続的な信頼を示している。
人間の防御者にとって何が変わるか
最も重要な変化は、技術的なものではないかもしれない。それは人々の仕事がどう変わるかだ。
AIが反復的な調査と初期トリアージを引き継ぐとき、アナリストは消えない。彼らの役割が進化する。スマダリ氏は、アナリストから経営幹部への自身の道のりと、初期のSOC業務の負担を振り返った。「人々が毎日退屈な作業をする必要がなければ、より深く掘り下げることができる。AIが到達できない場所へと」
この変化、つまりアラート追跡者から調査官へ、対応者から戦略家への変化は、AIを規模で展開する組織ですでに起きている。
AI SOCの背後にある真実
新しいカテゴリとしてフレーミングされているものは、遅れた認識としてよりよく理解される。AIがSOCに到来したのは、トレンディだったからではない。古いモデルが機能しなくなったからだ。
より多くのスタートアップ企業がこの領域に参入するにつれ、市場は目新しさと実行力を選別するだろう。セキュリティオペレーションは野心だけでは報いない。日々、プレッシャーの下で運用するプラットフォームに報いるのだ。
それが、エンタープライズAIが自らを証明しようとしてきたすべての場所の中で、SOCが定着し始めている理由かもしれない。未来の理論的ビジョンとしてではなく、すでに存在していた問題への対応として。
