はじめに
Simbian の AI SOC Championship 2025 に参加してきました。
このイベントは、 AI を利用した SecOps 運用の CTF (Capture The Flag) イベントです。
このイベントを通じて体験した、AI を活用した SecOps の未来についてレポートにまとめます。
SecOps とは
AI を活用した SecOps の前に、現状の SecOps とその課題について話をしたいと思います。
SecOps は、企業のセキュリティ運用のうち、おもにエンジニアリングに関わる部分を指しています。
例としては、以下のような対応が含まれます。
- アンチマルウェアソフトのアラート対応
- ネットワーク機器のログ分析
- 不審なファイルの分析
- 従業員のネットワーク行動分析
これらの活動を通じて、攻撃者の侵入やマルウェアの拡散を抑止したり、不審なユーザーを特定し、権限を停止させるなどの活動を行っています。
現在、SecOps を実施するには高度なセキュリティ知識を有するメンバーが必要となることから、人材不足が深刻です。
IPA 情報セキュリティ白書2022 によれば、情報セキュリティ人材について 90.4 % の企業が不足していると回答しています。
アラート対応やログ分析のスキルマップが必要であるためエンジニアに求められるスキルレベルが高く、組織の監視機器の増加やアラート数の増加から増え続けるアラートに対応できていない状況が継続しています。
これらの SecOps に対して、AI を活用したソリューションが Simbian の AI SOC となります。
AI SOC
Simbian のサイトには以下の記述があります。
なぜ AI SOC Agent が必要なのか?
一言で言えば、アラート疲れです!今日の組織は、SIEM、EDR、CDR、NDR、ITDR、XDR、ファイアウォールなど、数えきれないほどのセキュリティツールから発せられるアラート漬けの状態です。生成されるアラートと対応されるアラートの間のギャップは拡大し続けています。これまでの解決策は失敗に終わっています。
(原文は英語 、翻訳は筆者による)
Simbian のソリューションは、さまざまな SIEM 製品や EDR 製品などのアラートを自動的に分析して、 True Positive (真の検出) を検出します。
エンジニアは、True Positive として評価されたアラートに対してのみに対応することができるようになります。
どのように対応するのか?
セキュリティエンジニアとして気になるところは、実際の製品がどのような画面で、どのようなことができるのか? というところです。
SIEM 製品と AI SOC を比較して、それぞれに求められるセキュリティエンジニアの業務を考えてみます。
SIEM 製品を利用した SecOps
SIEM は、多くの製品のログを集約し、効率的かつ網羅的な検索をセキュリティエンジニアに提供します。
例えば、SIEM 製品では多くの場合、SQL Like な言語を用いて大量のログを現実的な時間で検索することができます。
SIEM 製品を利用する場合、セキュリティエンジニアには SQL like な言語を駆使してアラートを分析して意味のある情報 (攻撃の証跡) などを取得するスキルが求められてきました。
AI SOC を利用した SecOps
AI SOC では、自然言語を駆使して意味のある情報を取得するスキルが求められます。
Simbian の基本的な UI では、グラフ (有向グラフのこと) ビューで個々のエンティティ (User Account、File、Process、etc. ) が管理されています。
これらのエンティティに対してクエリを発行して意味のある情報を取得していくというのが基本的な作業となります。
これらのクエリは、あらかじめ用意されたものと、エンジニアが AI Copilot に直接指定するものを選択できます。
あらかじめ用意されたものでは、『このプロセスを生成した親プロセスを特定し、悪意のある可能性のあるアクティビティについて生成チェーンを分析する』のような具体的な操作が記載されているため、これらのクエリを駆使して意味のある情報探索するというのが基本的操作となります。
これらのクエリによって、AI がログを検索して意味のある情報の抽出を実施してくれます。
AI SOC の価値
AI SOC は、従来の SecOps と比較して、エンジニアが『調査戦略』に注力できるという意味で有意義なものです。
今までの SIEM 運用などでは、調査戦略の検討、クエリの発行、クエリ内容の確認などすべてのタスクがエンジニアのタスクとなっていました。
このうち、クエリの発行や、クエリ内容の確認は単なる作業であり、生産性が低い業務となっています。
AI SOC では、エンジニアに求められる作業の多くが、調査戦略の検討となります。
True Positive が検出された際に、何を調査し、何を判断し、何を報告するかという調査戦略に注力して、実際の調査は AI に任せるというオペレーションが可能となります。
これにより、エンジニアはより高度な作業に集中できるようになり、効率的に調査および判断が可能となります。
まとめ
SecOps は、高度なスキルが必要となる業務の一つです。
また、人材不足が深刻かつ、アラート疲れによる業務改善が急務となっている領域です。
AI は、高度なスキルを持つ人材が、より高度な業務に集中できる環境を提供してくれます。
AI にすべて委ねるのではなく、エンジニアの業務を効率的にサポートする AI SOC は、SecOps の本当の意味での効率化と『アラート疲れ』を解消すると感じました。
![[Linux] sshでGSSAPIを使ったシングルサインオン(SSO)](https://iret.media/wp-content/themes/clp_media/img/common/home-thumbnail_360x240.png)
簡単30秒