セキュリティ運用チームはかつてないほど懸命に働いている。ツールもかつてないほど優れている。それでも、ほとんどのSOCは毎日、アラートの大半を見逃し続けている。
Ponemon Instituteは、Croglの委託による2026年版セキュリティ運用状況レポートを発表した。このレポートは、2026年におけるセキュリティ運用の実態──SOCチームの実際の有効性、AIが役立っている領域と役立っていない領域、そして好成績を上げている組織とそれ以外を分ける要因──を調査している。Croglはセキュリティ運用向けのAI搭載プラットフォームを販売しているため、このスポンサーシップは念頭に置く価値がある。しかし、本レポートのデータは、私が長年セキュリティ実務者から聞いてきた内容と一致しており、詳しく検討する価値がある。
アラート量の問題は人々が認めるより深刻だ
調査対象組織の平均は、1日あたり4330件のセキュリティアラートを生成している。これらを管理する責任を負うのは7人のIT担当者だ。これらのアナリストが最終的に調査するのは、受信したアラートのわずか37%である。
つまり平均的な日において、セキュリティアラートの約3分の2が完全に未調査のまま放置されている。チームが気にかけていないからではない。ツールが動作していないからでもない。単に、人間のスピードでは処理しきれない量なのだ。
アラートの特定と対応において自組織を有効と評価しているのは、わずか43%の組織のみである。
AIはSOCに導入されている──しかし統合は機能していない
調査対象組織の62%が何らかの形でAIを採用している。SOCを持つ組織のうち、57%がすでにSOC内にAIを展開している。これはもはや未来の話ではない。
しかし、AIを展開することと、大規模に機能するAIを展開することの間には、現実的なギャップがある。SOCにおけるAIの最大の障壁について尋ねられたとき、50%が既存のワークフローへのAI統合の困難さを指摘した。別の49%は、データが分散しすぎており、正規化が困難だと述べた。
この2つの回答は、実際には同じ問題である。AIがSOCワークフローへの統合に苦戦するのは、基盤となるデータが断片化されているからだ──情報を共有するように設計されていないシステム間に散在しているのだ。その上に機能的なAIパイプラインを構築するには、まず数カ月のデータ正規化作業を行わなければならない。そして、その正規化プロジェクトは、新しいデータソースがオンラインになった瞬間に破綻し始める。
AI単独で脅威削減に非常に有効だと答えたのは、わずか44%の回答者だった。アラート過多への解決策として位置づけられてきた技術としては、かなり期待外れの数字である。
アナリストは依然として最も重要な変数だ
52%の回答者が、AI搭載SOCにおける最後の防衛線として、人間のアナリストを非常に有効と評価した。AI単独について同様に答えたのは44%のみだった。AIは処理量においてより高速で優れているが、曖昧なシグナルに対して判断を下したり、不完全な情報で重大な決定を下したりするようには設計されていない。これらは依然として人間の能力であり、この調査はそれを反映している。
SOCにおけるAIの最も多く挙げられた利点はスピードだった──67%がアラート解決の迅速化に役立つと述べ、57%がより優先度の高い作業のためにアナリストの帯域幅を解放すると述べた。そこに価値がある。
Croglの最高経営責任者(CEO)であるモンジー・メルザ氏は、この緊張関係を直接的に指摘した。「誰もがAIがSOCアナリストを置き換えるかどうかを尋ねている」と同氏は述べた。「データが示すのは、人間のアナリストが依然としてAI搭載SOCにおいて最も有効な要素であるということだ。攻撃者はエージェントシステムを使用している。SOCにはエージェントシステムと新しいプロセスが必要だ。真の問題は、あなたのAIがアナリストをより優れた存在にするのに十分かどうかだ」
一貫性と可視性は、ほとんどの展開が認識するより大きな問題だ
63%の回答者が、AIの動作における一貫性が非常に重要または極めて重要だと述べた。これは理解できる。AIシステムがケースを解決済みとマークし、アナリストがその理由を確認できない場合、信頼は崩壊する──そして信頼が崩壊すると、アナリストはAIと協働するのではなく、AIを回避して作業するようになる。一貫性こそが、ツールが実際に使用されるかどうかを決定する要因である。
ガバナンスの問題は、SOCフロアよりも深く根ざしている。IANSによる別のレポート(Artico SearchおよびThe CAP Groupとの共同調査)では、95%の最高情報セキュリティ責任者(CISO)が定期的に取締役会にサイバーセキュリティについて報告しているが、その関係を強固で協力的と表現する取締役会はわずか30%だった。取締役会回答者のほぼ半数──47%──が、特にAI駆動型リスクに関する報告には改善が必要だと述べた。
これには実際的な影響がある。取締役会がAIリスクの明確な全体像を得られなければ、CISOはそれを適切に統治するための予算と権限を得られる可能性が低くなる。そして、SOCにおけるAIガバナンスが脆弱であれば、支援を目的としたツールが新たなエクスポージャーを生み出す可能性がある。
この点について──Ponemon回答者の61%が、サードパーティAIベンダーがセキュリティデータをAIサービスの訓練や強化に使用することに強い懸念を抱いていると述べた。セキュリティデータは特定の方法で機密性が高い。インフラストラクチャのトポロジー、検知ロジック、対応プレイブックを露呈する──攻撃者にギャップがどこにあるかを教えるものだ。そのデータがサードパーティのAIパイプラインに入ると、組織はもはやそれを制御できなくなる。
調査対象のSOC環境の45%は、エアギャップネットワーク上で運用されている。これらのチームにとって、クラウドホスト型AIツールはトレードオフの決定ではない。単に選択肢ではないのだ。
より高いパフォーマンスを上げる組織が実際に行っていること
34%の回答者が、一貫して強固なセキュリティ態勢を報告している。このグループについていくつかの点が際立っている。彼らはセキュリティ運用を社内に保持する傾向が高い──47%対平均34%。SOCへのAI展開率も高い(68%対46%)。そして72%が、AIの使用における一貫性が非常に重要または極めて重要だと述べており、他のすべての組織の54%と比較して高い。
彼らはアナリストをAIに置き換えていない。AIを使用してアナリストをより有効にしているのだ。
脅威環境の文脈は、これらすべてをより緊急なものにしている。BlackFogの2025年版ランサムウェア状況レポートでは、公に開示されたランサムウェア攻撃が前年比49%増加し、過去最多の1174件に達したことが判明した。この数字でさえ過小評価している──BlackFogは、2025年のランサムウェア攻撃の86%が未開示であり、組織がインシデントを公表するのではなく静かに交渉していると推定している。そして2025年には、攻撃者がAIモデルを使用して偵察、エクスプロイテーション、データ窃取を自律的に処理する、初の大規模AI対応ランサムウェアキャンペーンが記録された。
SOCチームはすでに、受信するアラートのごく一部しか調査していない。攻撃者は機械速度でAI対応キャンペーンを実行している。このギャップを埋める方法を見出す組織──アナリストを方程式から除外しようとするのではなく、より優れたツールとより優れたデータをアナリストに提供することで──こそが、重要な局面において防御可能な立場にある組織となるだろう。
