- AI を活用した SOC の展望: この項目では、AI を活用した SOC に特徴的なコンセプトモックアップや実装予定の機能を紹介しながら、未来の SOC のイメージを描いていきます。
- AI を活用した SOC の実現に向けたソフォスのロードマップ: この項目では、今後 5 年間で AI を活用した SOC を実現するための見通しを説明します。 また、AI イノベーションのロードマップと、ソフォスの XDR 製品のデータを活用して AI モデルの精度を向上させる道筋を検討します。 さらに、ベンダー製品の API や、「Everything as Code」 (コードとしてのインフラストラクチャや、コードとしての IT など) のトレンドを活用し、セキュリティポスチャの更新やインシデント対応操作を AI によって自動化する方法についても説明します。
- AI を活用した SOC の実現に向けたソフォスの現在の取り組み: この項目では、ソフォスでの研究において作成された 3 種類のプロトタイプを用いた実験結果を示し、今後の展望に存在する研究課題は、5 年以内に解決できる可能性が高いことを実証します。
A vision of the AI-assisted SOC

AI を活用したアラート選定 (推奨) システム
現在の検出システムは AI-UX バリューサーキットを導入していないため、1990 年代のキーワードベースの Web 検索エンジン同様、限界があります。 複数の SOC のユーザーが特定のアラートのエスカレーションまたは却下を選択しても、SOC プラットフォームがこの傾向を検知し、関連するアラートの優先順位を上げたり下げたりすることはありません。初期の検索エンジンがユーザーのインタラクションから学習しなかったのと同じです。 最近の SOC プラットフォームであっても、「集合」としての SOC アナリストの振る舞いは無視されており、他の技術分野ではすでに活用されているユーザーインタラクションデータが無駄になっています。 AI-UX バリューサーキットを活用することで、AI を活用した SOC は飛躍的に進化し、集団の行動からリアルタイムで得られた情報をもとに、個々の組織の環境に合わせてカスタマイズしたアラートを選定するようになります。 この機能は、現在 Google が時事問題や集団の行動のリアルタイムな変化をもとに検索結果をランク付けし、ユーザーのプロファイルにもとづいて検索結果をカスタマイズするのと類似していると言えるでしょう。 説明のため、将来の SOC アラート選定システムをイメージしたのが図 2 です。図 2 の左側は、AI を活用した SOC が、数千ものセキュリティオペレーションセンターにおけるアナリストとアラートのインタラクションをもとに、さまざまなセキュリティ検知器が発するアラートをどのように順序付けるかを示しています。 たとえば、以下の概念イメージ (モックアップ) では、「疑わしい PowerShell の起動 (ML ベース)」というラベルの付いたアラート (黄色) が、他の SOC アナリストによって類似のネットワーク上の同様のケースがエスカレーションされたため、優先度が高いと判断されたことが示されています。 また、図 2 の右側では、SOC アナリストの「集合的知識」を、選択したアラートの詳細と比較検討できることを示しています。 この例では、今回のアラートと同様のアラートが「ランサムウェアインシデントに発展した」と SOC アナリストが指摘していることが確認できます。たとえ別の SOC に勤務するアナリストの見解であっても、所属組織が脅威関連情報の共有を許可していれば、このように活用することができます。 私たちが思い描く、集合的知識を活用した AI は、数万人のアナリストの知識と経験をリアルタイムに組み合わせて意思決定を行うため、このような場面では欠かせない存在となるでしょう。
AI を活用したセキュリティデータの強化
AI を活用した SOC の機能はアラートを選定するだけに留まりません。データアナリストが後でアラートを追跡するために必要なデータを予測し、プロアクティブに取得します。 この機能により、リバースエンジニアリングやデータ解析などの「簡単で手軽な」タスクも自動化されるでしょう。
AI を利用したデータ強化アプリケーション | アプリケーション用のユースケース |
---|---|
AI を利用したセキュリティアーティファクトの強化 | 小規模な SOC の非専門的なアナリストに対し、難解で不審な、悪意のあるスクリプトの意図を説明する |
AI を利用したアーティファクトと攻撃者のマッピングの強化 | アナリストにインシデントの発生元と目的を (攻撃グループと結びつけて) 提供し、対応戦略をより適切に選択できるようにする |
AI を利用したアラート選定 | 類似アラートに関する「集合的知識」に基づき、アナリストが重要なアラートを追跡できるようにする |
AI を利用したワークフローの事前取得 | 類似の検出やアラートについて過去に確認されたワークフローに基づいてサポートデータと有用なコンテキストを取得し、アナリストにプロアクティブに提供することで時間を節約する |
機械学習によるインシデント修正の成熟段階 | 機能の説明 |
---|---|
修正指針の提案 | 「アナリストの集合」がインシデントに対応し、その対応について報告書を作成すると、同様のインシデントを扱う他のアナリストに対して AI がその報告書を推薦する。インシデント対応知識をリアルタイムに蓄積させた、セキュリティ版 Wikipedia を作るのに役立つ |
修正指針の作成と推奨 | クラウドアナリストが実際にインシデントに対応すると、XDR ソフトウェアがその対応を記録して、関連するコンテキストでの新しい事例で同様の対応の実施を推奨する。集合的知識に基づいたインシデント対応知識ベースのスループットが向上。同様のプロセスが、しばしば不十分であったり、過度に時間を要するドキュメントの作成を改善するために使用可能 |
自動生成された修正案をボタン 1 つで実行 | 「アナリストの集合」がインシデントに対応するごとに、XDR が操作テンプレートを学習し、関連するコンテキストにおける新事例で自動的に適用することを提案する |
AI を活用したセキュリティワークフローの自動化

AI を活用した SOC の実現に向けたソフォスのロードマップ
表 3 は、AI を活用した SOC の実現に向けた、2021 年から 2025 年までのソフォスのロードマップです。今年は表の 2 年目に当たります。 表の最上段には、ソフォスがこれから提供する、あるいはすでに提供している主要な機能が示されています。 次の行は、3 つの技術の進展に沿って、機能をサポートするために必要な開発成果を示しています。3 つの技術とはそれぞれ、XDR プラットフォームイノベーション、セキュリティ AI イノベーション、プログラマブルなセキュリティポスチャです。 ロードマップの中で、特に注目すべき点をいくつかご紹介します。機能 | 2021 | 2022 | 2023 | 2024 | 2025 |
---|---|---|---|---|---|
AI を活用した SOC の機能 | 集合的知識データに基づいた AI によるアラート選定エンジン (実現済み) | 集合的知識に基づいて AI が自動でインシデント対応レポートを作成、AI アラートの強化 | アナリストの行動に基づいて AI が自動で生成したインシデント対応操作の提案 | Saas/IaaS API を利用した、AI が提案した操作を実行する「押しボタン」の実装 | Saas/IaaS API を利用して AI が提案した操作を実行することで SOC の定型業務を自動化 |
XDR プラットフォームの開発 | AI によるアラート選定のための AI アナリストフィードバックループ (実現済み) | インシデント対応指針選定のための AI アナリストフィードバックループ | 機械学習によるインシデント対応モデルへのアナリストの操作の組み込み | SaaS/IaaS およびセキュリティ製品の API との統合により、「押しボタン式」 AI 選定操作の実行をサポート | サードパーティー API とのさらなる統合により、半自律的セキュリティポスチャおよびインシデント対応操作をサポート |
セキュリティ AI イノベーション | AI アナリストのアラート選定フィードバックループのための機械学習モデル実装 (実現済み) | インシデント対応指針選定のための機械学習モデル | インシデント対応指針自動生成のための機械学習モデル | インシデント対応指針自動提案のための機械学習モデル | 機械学習によるセキュリティ対応の記録を自動化するための機械学習モデル |
API による自動応答のイノベーション | ユーザーによるセキュリティポスチャ更新のトラッキング、機械学習による自動操作モデルのサポートのために API をアップデート | 機械学習モデルによる提案をネットワークセキュリティポスチャの API リクエストに自動変換 | セキュリティポスチャ API リクエストを介した半自律的なセキュリティポスチャ操作の実装 |
AI を活用した SOC に関するソフォスの研究および開発の取り組み
AI を活用した SOC は本当に実現されるのでしょうか。それとも、しばらくの間「あと 5 年で実現する」と言われ続けるのでしょうか。 この項目では、ソフォスの機械学習/人工知能チームである Sophos AI が現在行っている研究を紹介することで、ソフォスの計画が実現可能であることを示します。 3 つの領域におけるソフォスの取り組みを説明します。 3 つの領域とは、機械学習によるアラート選定、機械学習によるセキュリティデータの強化、AI-UX バリューサーキットを活用した動作検出です。表 4 は、ソフォスの各研究領域の目的と達成度、および AI を活用した SOC の全体的な計画への貢献度をまとめたものです。研究領域 | 目的 | 達成度 | CAI を活用した SOC の全体計画への貢献度 |
---|---|---|---|
機械学習によるアラート選定 | アナリストの集合的フィードバックに基づいて、価値の高いアラートを SOC アナリストに優先的に提供 | 現在、ソフォスのマネージド SOC サービス内で「ベータ版」を使用中 | 複数製品のアラートに関して、AI-UX バリューサーキットを実現 |
機械学習によるセキュリティデータの強化 | 集合的知識を活用し、意思決定に必要な情報をアナリストに提供 | 十分実用に耐え得るプロトタイプが複数存在し、一部はすでにソフォス製品に搭載 | SOC アナリストが必要とするデータを予測するための最初の段階を実現 |
AI-UX バリューサーキットに基づく環境寄生型攻撃の検知 | アナリストと機械学習ベースの検出器の間にフィードバックループを形成し、環境寄生型攻撃検出の精度を繰り返し向上 | 現在、プロトタイプを Sophos AI チームで開発中 | 類似の低レベルイベントをグループ化することによって、アナリストによる報告の選定を可能にする |
機械学習によるアラート選定
Sophos AI は、関連すると考えられるアラートを予測するためのプロトタイプを構築し、繰り返し改良しています。 図 5 にアラートエスカレーション予測の仕組みを示します。 図の左側は、SOC アナリストがアラートをトリアージする際のワークフローを示しています。このワークフローを通じて、どのアラートを誤検出として破棄し、どのアラートをエスカレーションして追跡するかを決定します。 図の右側は、AI がアナリストの意思決定を模倣/予測し、エスカレーションする可能性の高いアラートに優先順位を付け、順番に対処するようにモデルに学習させる実験の結果を示しています。
ランダムソート (現在提供されている機能に近いもの) | 機械学習による危険度スコアでソートした場合のエスカレーションされた事例の割合 |
---|---|
50 件の事例を調査し、4 件のエスカレーションを確認 | 50 件の事例を調査し、41 件のエスカレーションを確認 |
184 件の事例を調査し、13 件のエスカレーションを確認 | 184 件の事例を調査し、92 件のエスカレーションを確認 |
731 件の事例を調査し、51 件のエスカレーションを確認 | 731 件の事例を調査し、146 件のエスカレーションを確認 |

GPT-3 スケール言語モデルを使用した、Google ライクな自然言語による質問応答システム
Sophos AI チームは、セキュリティアラートの選定エンジンの構築に加え、自然言語によるセキュリティに関する質問応答システムの構築に向けて、重要なステップを踏み出しました。 ソフォスは、Web 上のテキストデータセットで事前に学習させた大規模な言語モデルを活用することで、最良の結果を得られることを発見しました。 英語、フランス語、中国語などさまざまな自然言語から、ソフォスが開発したドメインに固有のセキュリティ検索言語へと翻訳するという問題を扱うために、このような大規模なモデルを「微調整」できることを発見したのです。 図 7 は、AIQuery と名付けられたソフォス製のプロトタイプが、「iphone を開発した会社が開発した USB デバイスを見せて」といった非構造的で自由形式のクエリを、ソフォスがセキュリティ関連データのデータベースへのクエリのために定義したドメイン固有の言語 (query_usb_devices(vendor=’apple’)) に変換する様子を示しています。 驚くべきことに、AIQuery は、構造化データベースに対するクエリの文脈では、「iphone を開発した会社」と言及された場合には「Apple」と翻訳されるべきであり、「Windows を所有する会社」は「Microsoft」と翻訳されるべきだと学習したのです。
AI-UX バリューサーキットに基づいた環境寄生型攻撃の検出
AI を活用した SOC の構築に向けたソフォスの研究投資の第三の柱は、生身の人間と機械のリアルタイムフィードバックループに基づく、「環境寄生型 (ファイルレス)」攻撃の検知です。 この研究では、まず SOC アナリストに新しく疑わしいクラスタを提示し、アナリストは提示されたクラスタに「無害」「不審」のラベルを付けます。 新しい活動が、以前一定数のアナリストによって「無害」と判断されたクラスタと一致する場合、その活動は無視されます。一方、新しい行動が新しいクラスタを形成したり、機械学習モデルで疑わしいと判断された場合は、新たにアナリストに提示し、判断を仰ぎます。 一定数のアナリストがクラスタに「不審」ラベルを付けると、そのクラスタに一致する新しい行動が、他の行動よりも優先的にレビューされるようになります。
結論
本記事では、ユーザーインターフェイスの進化が AI モデルとユーザーの意図のシームレスかつ高度な統合を指し示していること、最も高度な技術分野ではすでに統合が実現されていること、および今後 5 年間の間に SOC ソフトウェア製品ベンダーはセキュリティ分野でも統合を実現するか、ますます時代に取り残されるかのどちらかになるだろうということを論じています。 実質的には、Google、Amazon、Netflix に期待されるのと同等の実用性を持つ「セキュリティオペレーション選定エンジン」を実現することになります。本記事では、以下の論点をご紹介しました。- XDR プラットフォームは、広範なセキュリティデータをお客様ごとにクラウドデータとして保存することで、必要な AI モデルを学習させるために必要なデータを提供するようになってきています。 進化した XDR プラットフォームは、セキュリティオペレーションを自動化するだけでなく、これらの AI モデルを訓練し、継続的に発達させることができる環境そのものとして機能することになります。
- アルゴリズムの進化、特殊な用途を持つ AI ハードウェア、急速に改良が進む AI オープンソースツールなど、AI 業界の目まぐるしい発達は、有用なセキュリティ AI モデルの開発に役立つでしょう 。 現状の、数値に基づかない、いい加減な AI の提案と、将来の優秀な AI による支援の差は、1995 年の Altavista と 2022 年の Google による検索結果の違いと同じくらい明確になるでしょう。
- IaaS、SaaS、セキュリティ製品の設定において「API ですべてをつなぐ」を推進しようとする試みは、将来的に自律型エージェントが組織のセキュリティポスチャを更新する機能を持ち、AI がネットワーク環境を管理し、人間が監督する体制を促進することを意味しています。 「Everything as Code」の動きに対応できないセキュリティ運用プラットフォームは、長くは保たないでしょう。
- ソフォスの研究は、AI を活用した SOC の見通しが、5 年という期間で実現可能であることをいち早く示しています。 本記事の内容は、ソフォスの見通しが簡単に実現できること、目標の達成にはリスクが存在しないこと、あるいは目標を達成すればセキュリティの問題がすべて「解決する」ことを示唆するものではありません。 しかし、ネットワークを保護する者、セキュリティ製品、プラットフォーム、サービスの開発者として、継続的な改善を行うことがソフォスの道徳的使命だと信じています。本記事で詳述したのはそのための道筋です。