サイバーセキュリティの分野では、AIエージェントは監視ツール、ネットワーク制御、クラウドプラットフォームに組み込まれた、タスクベースのボットとしてセキュリティスタック全体に登場している。
しかし、こうしたサイロ化されたエージェントは、その約束を果たすどころか、すでに断片化された環境に複雑性を加え、チームは実際の脅威ではなく、増え続けるエージェント、ツール、アラートの管理に追われている。
その結果、グローバル企業はセキュリティ運用モデルを全面的に見直し、「エージェント型システム」として知られるものを採用している。
「AI単体は洞察を生成する。エージェント型システムは成果を生成する」と、AIサイバーセキュリティ企業ReliaQuestの最高技術責任者(CTO)であるジョー・パートロー氏は述べた。
以下では、セキュリティ運用の未来がより多くのエージェントではなく、エージェントをシステムとして機能させることである理由を探る。
現在、サイバーセキュリティのAIエージェントは通常、タスクベースで単一機能であり、より大きなワークフローにおける単純なステップを実行するように構築されている。
しかし、このアプローチは2つの問題を引き起こす。
1. 全体像が見えない
これらのエージェントは、特定のタスクに必要なものだけを処理し、重要なコンテキストを共有するために他のエージェントと通信することができない。
脅威インテリジェンスのワークフローを考えてみよう。あるエージェントはインターネット上で侵害の痕跡をスキャンし、別のエージェントはそれらの痕跡に基づいて検知クエリを構築し、3番目のエージェントは結果として生じるアラートを調査する。しかし、それらのどれも攻撃のライフサイクル全体と取るべき行動を理解することができず、個々の有用性が制限される。
2. チームは依然として重労働を強いられている
セキュリティチームは、数十の切り離されたエージェントの出力を手動で調整することを余儀なくされている。これがエージェントの乱立であり、現代のセキュリティにおける決定的な運用負担の1つになりつつある。「それぞれの[エージェント]が独立して実行されているため、それらをつなぎ合わせるのは人間次第だ」とパートロー氏は言う。
下流への影響は急速に複合化する。
- 運用の遅延:手動での引き継ぎのたびに重大な遅延が発生する。
- コストの増加:チームは追加の負担を補うために人員を増やさなければならないことが多い。
- 受動的な姿勢:アラートの量に圧倒され、チームは環境内の次の脅威を積極的に特定するのではなく、アラートのトリアージに追われている。
- スケールできない:データ量と脅威活動が増加するにつれて、人間の能力は上限に達し、人を増やしてもギャップを埋めることができない。
単一のエージェントがサイロ内で個々のタスクを実行し、互いに接続したり通信したりできないのに対し、エージェント型システムは特定の成果に向けて機能することでこれを変える――複数のエージェントを調整してコンテキストを共有し、リアルタイムでアクションを調整する。
エージェント型システムは単にタスクを完了することではなく、より大きな目標を自律的に達成することだ。これらのシステムは、それぞれが専門的なスキルやツールとして機能するAIエージェントの集合体をまとめる。これらのエージェントはメモリを活用し、その行動が常に環境に合わせて調整されるようにする。その結果、単一のエージェントよりもはるかに能力の高い統一されたシステムが生まれる。その中核にあるのはエージェントオーケストレーターであり、システムの意思決定者だ。フィールドを読み、適切なタイミングで適切なプレーを呼ぶクォーターバックのようなものだと考えてほしい。
ReliaQuestは、数十年にわたるセキュリティ運用の経験を、エージェント型AIセキュリティ運用プラットフォームであるGreyMatterにもたらしている。GreyMatterは、あらゆるテクノロジースタック、アーキテクチャ、環境にわたって動作する複数のエージェント型システムを調整する。
これらのシステムは単なる自動化ではなく、セキュリティ目標を達成する。個々のエージェントはペルソナに編成され、それぞれが検知エンジニア、脅威ハンター、インテルリサーチャーなどのセキュリティの役割にマッピングされる。それらは200以上のエージェントスキルと400以上のAIツールを活用して、包括的なセキュリティ成果を提供する。
「私たちは[エージェント型システム]をペルソナと呼ぶのが好きで、それらのペルソナは通常、セキュリティ運用に存在する役割にマッピングされる」とパートロー氏は言う。
これらのエージェントはメモリとビジネスコンテキストを共有し、組織が過去のアラートにどのように対応したかを記憶し、その知識を将来のアラートに適用する。GreyMatterのユーザーは自然言語を通じてこれらのエージェント型システムを調整でき、半自律的にリクエストを受け取ったり、舞台裏で自律的に行動したりできる。
セキュリティチームにとって、これは6つの具体的なメリットに変換される。
脅威ハンターペルソナなどのGreyMatterエージェント型チームメイトが、複雑なハントを通じてプロアクティブなセキュリティをどのように変革するかを以下に示す。このエージェント型システムは、必要に応じてさまざまな専門エージェントと強力なAIツールを活用し、人間が手動でピースをつなぎ合わせるのではなく、複雑なハントプロセスを自動的に処理する。
- ハント計画エージェント――脅威ハンターペルソナ内のスキル――は、脅威インテリジェンスと特定の環境の理解に基づいて、特定の目標の範囲と戦略を定義する。
- データクエリエージェント――別のスキル――は、クエリ技術とコマンドライン分析ツールを活用して、多様なスタック全体から関連するテレメトリを取得する。
- 異常検知エージェントは、収集されたデータを処理し、高度な分析を適用し、侵害の痕跡(IOC)と相互参照して、疑わしい活動の微妙な兆候を明らかにする。
- 人間のアナリストは、レポートエージェントによって生成された、ハントの調査結果の簡潔で実行可能な要約を受け取る。これにより、データ収集と初期分析の細部に関与する必要なく、迅速にレビュー、検証、戦略的に対応できる。
グローバルなコンビニエンスストアおよび燃料ターミナル運営会社であるCircle Kは、ほとんどの組織が直面しないセキュリティ上の課題に直面している。数十カ国にわたる燃料ターミナルを動かすハードウェアとソフトウェアの両方を保護しながら、同時に小売店舗のPOSシステムと顧客データを防御することだ。
頻繁な買収が問題を複雑化させ、新しい環境、レガシーシステム、不一致なテクノロジーの絶え間ない流れをもたらしている。同社のセキュリティチームはノイズに圧倒され、脅威に効率的に対応するのに苦労していた。
ReliaQuestと提携した後、Circle Kはグローバル業務全体にGreyMatterを展開し、セキュリティプログラムを単一のエージェント型プラットフォームに統合した。
その結果、Circle Kは以下を実現した。
- 25カ国以上のITおよびOT環境全体でセキュリティを拡張
- セキュリティ運用環境を近代化
- 脅威の封じ込めまでの平均時間を24時間から5分に短縮
