結論:AIはSOCを置き換えるのではなく、調査と検知作成を補助する
Microsoft Security Copilotに関する研究では、AIエージェントがインシデントを調査し、検知ロジックを生成し、説明可能なアラートを作る方向性が示されている。
これはSOC運用にとって重要な変化である。ただし、AIに検知を任せる前に、ログの品質、誤検知時の承認、検知ルールの管理、説明可能性を整える必要がある。
導入前に確認するログ
| ログ | 確認内容 |
|---|---|
| EDR | 端末、プロセス、通信、ファイル |
| ID | ログイン、MFA、権限変更 |
| SaaS | 管理操作、共有、外部アクセス |
| メール | 添付、URL、なりすまし |
| ネットワーク | DNS、Proxy、Firewall |
| クラウド | IAM、ストレージ、API実行 |
ログが不足している状態でAIを入れても、調査の根拠が弱くなる。AI導入前に、どのログがあり、何日保管され、どのIDと突合できるかを確認する。
100点監査表
| 監査項目 | 配点 | 100点条件 |
|---|---|---|
| ログ範囲 | 20点 | 端末、ID、SaaS、クラウドを横断 |
| 正規化 | 10点 | ユーザー、端末、IPを突合可能 |
| 検知管理 | 15点 | ルール、版、承認者を管理 |
| 説明可能性 | 15点 | なぜ検知したかを説明できる |
| 誤検知 | 10点 | フィードバックと抑制ルールがある |
| 承認 | 10点 | 自動隔離など高リスク操作は承認 |
| 費用 | 10点 | ログ量、モデル利用、保管費を試算 |
| 改善 | 10点 | 月次で検知品質を改善 |
90日ロードマップ
| 期間 | 実施内容 | 成果物 |
|---|---|---|
| 1〜2週 | ログ棚卸し | ログ一覧、保管期間、欠損 |
| 3〜4週 | 検知ユースケースを選ぶ | ランサム、認証異常、情報漏えい |
| 5〜8週 | AI補助調査を検証 | アラート説明、調査メモ |
| 9〜10週 | 誤検知と承認を確認 | 抑制ルール、承認フロー |
| 11〜12週 | 運用設計 | SOC手順、改善会議 |
GXOで支援できること
GXOでは、SOC運用、ログ基盤、SIEM/SOAR、Security Copilot活用、AIエージェントの承認・監査設計を支援する。