サイバーインテリジェンス セキュリティマネジメントSummit 2025 Summer
SentinelOne Japan

AIを使った攻撃にはAI運用で対抗する
AI SIEMによる自律型SOCへの道

攻撃者のAI活用により、サイバー攻撃のスピードが加速している。エンドポイントの拡大で監視領域が拡大している中、人手による監視は既に限界だといえるだろう。そこで注目されるのが、膨大なログ分析や運用プロセスをAIで自動化するAI SIEM(Security Information and Event Management)の活用だ。SentinelOne Japanの講演ではAI SIEMを基盤に脅威検知や対応の自動化を支援する自律型SOCへの最新アプローチについて紹介された。

検知だけでなく
運用もAIで自動化すべき

SentinelOne Japan株式会社 執行役社長 伊藤 俊明氏
SentinelOne Japan株式会社
執行役社長
伊藤 俊明
 リモートワークやクラウドの普及により、セキュリティー監視領域が拡大している。サイバー攻撃は様々なシステムを社内横断的に実行するため、管理者は個々の製品ログを監視しているだけでは高度な脅威を検知できなくなってきている。

 攻撃者のAI活用で攻撃スピードも格段に上がった。その一方で防御側の人数は増えない。これによりリソースがひっ迫し、運用が限界に近づいている。「こうした環境変化を踏まえると、今後のセキュリティー対策では、あらゆる製品のログをAIで相関分析するとともに、運用もAIで自動実行することが大切です」とSentinelOne Japanの伊藤 俊明氏は提言する。

 従来から多くの企業が様々なセキュリティー製品を導入してきた。その結果、運用のサイロ化が進んでいる。1つのベンダーからワンストップで製品を導入して全体最適を図る方法もあるが、これはベンダーロックインにつながりやすい。こうした観点から考えると「AIによる運用の自動化」はこうした課題に対する有効策となり得る。

 「外部SOCに委託しているから、運用の効率化は自社でなく外部SOCの問題、と考える企業もあるでしょう。しかし決してそうではありません。AI活用の攻撃が増えている今、外部SOCが使っているツールが人手に頼るものであれば対応遅延、抜け漏れが発生し、ユーザー企業に影響を及ぼします。アラートが通知された後の正検知・誤検知の判定、該当ユーザーへの確認、同じ攻撃がほかの端末にもきていないかどうかの調査、報告書の作成など、自社での運用作業は依然として発生しており、今後は攻撃の増加やスピードに対応できなくなります」と伊藤氏は指摘する。

 セキュリティー運用の自動化に向けSentinelOneが提供するのが「Singularity Hyperautomation」だ。これは「Singularity Platform」に組み込まれているソリューションだ。他社製品も含めたワークフローの構築をノーコードで実現可能とするもので、100以上の製品と標準連携し、それ以外の製品もカスタムで連携できるという。

 「Singularity Hyperautomationは手作業による反復作業を簡単に自動化できるツールです。ベストプラクティスのテンプレートも豊富に用意していますので、すぐに運用の自動化を実現することが可能です。またSingularity PlatformはXDR(Extended Detection and Response)とSIEMを統合し、単一のプラットフォームで包括的なセキュリティーを提供する基盤となります。当社だけではなく他社製のEDRやクラウドセキュリティー、アイデンティティ、Eメール、ネットワーク系のログもすべて取り込めるため、セキュリティーの運用効率を大幅に向上させることが可能です」(伊藤氏)

 Singularity Platformの中核ツールとして用意されているのが「Data Lake」と「Purple AI」「AI SIEM」だ。あらゆるデータをData Lakeに効率的に取り込み、Singularity Platformで企業全体の可視化と保護を提供。その上でPurple AIとAI SIEMを動かすことでAIを効果的に活用する仕組みが提供されている。

未知なる脅威に先手を打つ
AI SIEM

 「当社では7年前からXDRを提供していますが、その名称を昨年『AI SIEM』に変え、機能強化を図りました。これまでSIEMの課題となっていた脅威検知ロジック作成の難しさを解消し、当社の脅威インテリジェンスと組み合わせた実装済の検知ロジックをそのまま活用していただけるのが大きな特徴です」(伊藤氏)(図1)  AI SIEMは各種製品のログをData Lakeに集約し、1つのコンソール上で検索・相関分析することができる。膨大なデータをSentinelOneの高度なアルゴリズムとAIを活用して分析することで、従来のSIEMソリューションでは見逃してしまうようなパターンや異常も特定可能だ。新しい脅威を継続的に学習するため、より高度な脅威ハンティングを実現でき、様々な脅威シナリオに対処するためのステップバイステップのガイダンスも提供。アナリストの負担を大幅に軽減しながら、新しいリスクに先手を打つ効果的な対応が行えるようになる。

 AI SIEMを導入するメリットは、ほかに3つある。1つ目は「コスト削減」だ。AI SIEMは他社製SIEMのデータプラットフォームとしても利用可能で、データ保管コストを最大で年間4分の1、クエリにかかる時間を15分の1に圧縮できる。インシデント対応にかかる反復的なタスクを自動化し、セキュリティーワークフローを効率化する効果も大きい。

 2つ目は「スピード」だ。従来型SIEMはCPUとストレージが同じ筐体にあるため、ストレージの処理にCPUが影響を受け、待ち状態になってしまうことが多々あった。しかしAI SIEMはCPUとストレージが別々になっており、必要なCPUだけを利用して高速に並列処理できる。また従来型SIEMがインデックスを使うのに対し、AI SIEMはインデックスを一切使用せず、生データを直接検索して並列処理を行うことで高速化を実現。実行したクエリをメモリにキャッシュして再利用することも処理速度の向上に貢献している。

 そして最後の3つ目が「簡単な運用」である。多くのSIEMはクラウドホスティング型のアーキテクチャになっているが、AI SIEMはクラウドネイティブ型のため運用が容易で拡張性にも優れている。

自律型SOCを支援する
SentinelOne

 「AI SIEMは自律型SOCを支援するよう設計されています」と伊藤氏は話す。自律型SOCとは、AIや自動化の技術を導入することで、熟練人員の不足や脅威の増大に悩むSOCを、より効率的で俊敏、インテリジェントなチームへと変革していく考え方だ。

 SentinelOneでは自律型SOCを成熟度モデルの観点からとらえ、5段階のレベルで定義している(図2)。レベル0は「手動運用」で、アナリストに高度な専門知識を求める労働集約型の運用。レベル1は「ルールベースの運用」で、ログを自動収集したり、対応プロセスの一部を自動化したりするものの、検知ルールの設計や管理には人間の専門知識が不可欠となる。レベル2はAIと機械学習を積極的に活用し、経験の浅い運用者でも脅威ハンティングを実施しやすくする「AI支援型セキュリティ運用」だ。レベル3はトリアージ、調査、対応など、多くの部分で自動化が実現された「部分的自律運用」となり、人間はより深いコンテキスト判断を必要とするタスクに注力できる。さらに進化したレベル4では「高度な自律運用」に到達し、24時間365日のお任せ運用が実現する。具体的には、自動化のためのワークフローをAIが自動的に定義してくれたり、未知の攻撃をAIが予知し、それに合わせた検知ロジックを自動で生成したりする。ただし、これには人工汎用知能(AGI)の実現が前提となるため、実用化は2~3年後になると推測されるが、SentinelOneはそれに向けて製品開発を進めている。  「SentinelOneは、AI SIEMやSingularity Hyperautomationのように、自律型SOCへの道を支援するツールを多数提供しています。当社製品と、お客様が既に導入されている他社製ツールを柔軟に組み合わせることで、現状がレベル0やレベル1であっても一足飛びにレベル2やレベル3の環境を実現することが可能です」と伊藤氏は語る。今後もSentinelOneは自律型SOCの道を支援していく考えだ。
TOPへ
関連リンク
お問い合わせ
SentinelOne Japan株式会社 URL:https://jp.sentinelone.com/contact/