主なポイント
最先端AIがもたらす真の混乱は、SOCが置き換えられることではありません。今日のSOC運用のあらゆる弱点が暴き出されることです。シスコは、Anthropic社の「Project Glasswing」(Claude Mythos)とOpenAI社の「Daybreak」(GPT-5.5)のローンチパートナーであり、各AIラボの独自の脆弱性探索に内部メンバーとして関与しています。これは、AIを活用する攻撃者の能力を対象とした、業界の先を行く取り組みです。Mythos以降も最先端AIは進化を続け、現在ではClaudeFable 5をはじめとするモデルが一般公開されています。私たちの使命は、攻撃者の先を行くことです。これらのAI機能を使って実際の攻撃をシミュレーションすることで、攻撃に関する知見を防御に反映し、標的になる前に脆弱性を検出および修復して、優位性につなげられるよう取り組んでいます。
SOCでは重要インフラの運用モデルを負荷のかかる状況でテストしますが、その効果が判断されるのは上流、つまりネットワークです。セキュリティはそこから始まります。そうでなければ、まったく機能しません。
この違いは重要なことです。議論の中心とすべきは、重要インフラの運用モデルです。Anthropic社は「Project Glasswing」について、AI時代に適した重要ソフトウェアの保護方法を探るための取り組みだと説明しています。その重点は、高度なAI搭載セキュリティツールを、防御目的でテストし活用することです。しかし、重要インフラにおいては、AI導入は最終目標ではありません。真の課題は、ネットワーク、ID、クラウド、SOCのセキュリティが1つのシステムとして機能し、AIを活用した攻撃者を阻止できるかどうかです。AIで明らかにされたインサイトを、本当に運用化につなげられているでしょうか?
SOCではすでに、アラート、テレメトリ、競合する優先事項が大量にあふれかえっています。対応に苦慮しているのは、検証の部分です。環境がどのような状態なら「正常」と言えるのか。どのシステムがリスクにさらされているのか。どのIDが関係しているのか。いま対応すべきことは何なのか。最先端AIがあっても、これらの疑問は解消されません。むしろ、そうした疑問の緊急性は高まります。エージェンティックSOCの今後を特徴づけるのは、モデルの能力よりも、検証、優先順位付け、対応を確信を持って行える能力です。最先端AIの登場により攻撃者の動きが速くなった状況で、SOCチームに必要なのは、Splunkとシスコのエコシステムを使い、検出したことを検証し、優先順位付け、対応することです。
これらを確実に実行できる状態を構築するには、ボトルネックを検出から検証へと移行させる必要があります。AIの支援によって、防御者が潜在的な弱点をすばやく検出できるようになったとしましょう。次の課題は、SOCがそれらの検出結果を現実の資産、ユーザー、ビジネスサービスに結び付けられるかです。技術的な問題が見つかっても、コンテキストが伴わなければ、それはただのノイズです。私たちは「これは重要そうだ」という段階から「今これが重要で、その理由はこうだ」と言える段階へと急速に移行しています。Splunkとシスコは、エクスポージャー分析、自動脅威分析、トリアージエージェント(プライベートアルファ版)などの機能を導入することで、コンテキストを自動的に抽出および分析し、「なぜ」、「何を」、「どのように」を示す情報をSOCに提供します。
同時に、検出エンジニアリングも適応性を高める必要があります。コンテンツの更新に時間がかかりチューニングを手動で行う従来の方法は、すでに限界に達しつつあります。次のフェーズでは、防御側と攻撃側の双方の能力が急速に高まり、このモデルはいっそう速く時代遅れとなるでしょう。防御側は今後、検出コンテンツの作成、テスト、改良、運用サイクルを短縮化する必要があります。ここで、主導権をAIに委ねるべきではありません。AIを活用して業務を迅速化しながらも、品質、検証、判断に対する責任は防御側の人間がしっかりと担う必要があります。SplunkのDetection Studioは、AI支援による検出コンテンツの作成を目指すものです。提案事項の検証機能やテスト機能も、近く追加されます。
最終的には、信頼こそがSOCの基盤となるべきです。これからのSOCを運用する基盤は、大量のアラートではなく、確信になるでしょう。それは、検出結果が正しく、コンテキストが完全に揃い、提案が証拠に基づいているという確信です。目標は、高度なAIを防御に活用しつつ、重要な判断については専門知識を持つ人間が確認のうえ行動に移すことです。

SOCは、狭い視界での環境把握に頼ってはいられません。セキュリティ関連データは、さまざまなエンドポイント、ID、ネットワーク、クラウド、アプリケーションにわたり分散しています。攻撃者は、そのように分断された領域間を分単位で動き回ります。防御側も、同じように動き回れる必要があります。SOCが検証して対応できるのは、インフラから判明した情報のみです。したがって、SOCが効果的に業務を遂行できるかは、ID、ネットワーク、セキュリティが個別のシステムではなく1つのシステムとして運用されているかで左右されます。課題は、十分に迅速な活用を実現して、現実的な意思決定につなげることです。Splunk Enterprise Securityを使えば、さまざまなドメイン、クラウド、デバイスを横断してデータを管理、サーチ、分析できます。
この点では、シスコとSplunkによるアーキテクチャも重要になります。Splunkプラットフォームを備えたCisco Data Fabricは、データの管理、ルーティング、保存、サーチの層を提供して、分散環境全体にわたってマシンデータが活用しやすくなるように設計されています。さらに、その上位の層でSplunkがセキュリティ運用を担います。つまり、Splunkは、Cisco Data Fabricを通じてアクセスできるデータを運用化するための、AIネイティブのセキュリティおよびデータプラットフォームと言えます。
Cisco Data Fabricは、マシンデータをAIで利用できるようにするためのアーキテクチャを構築し、Splunk Enterprise Securityは、そのデータに基づいて脅威の検出、調査、対応を行います。この組み合わせにより、分散したデータへのシームレスなアクセスと、それを即座に運用化する機能という、最新のSOCに求められる重要な基盤を構築できます。ポストMythos時代のSOCは、AIがアナリストに取って代わるという展開にはなりません。重要インフラを支える運用モデルの弱点が露呈するという展開になります。断片的なコンテキスト、更新されていない資産情報、時間のかかる検証プロセスに依存しているチームは、真っ先にその重圧を感じることになるでしょう。一方、すばやく検証を行い、分散したデータを調査し、AIが導き出したインサイトと知識豊富な人間の判断を組み合わせることができるチームは、大きな優位を得られるでしょう。
結論はシンプルです。ポストMythos時代のSOCを担うのは、可視化から検証へ、検証からアクションへ、アクションから運用モデルの防御態勢強化へとつなげられるチームだということです。この変化の意味をもっと明確に理解するには、『Shields up - 防御態勢の強化:AI活用型攻撃の時代における防御のためのガイダンス』をご覧ください。シスコは、Mythosに関する経験を踏まえて、今後のAIを活用する攻撃者のモデル化方法と、防御への考え方を見直しました。防御側が次に取るべき対策が変わるのですから、今が大事な局面です。それこそが現在の課題となっています。議論すべきは、この話題なのです。
この変化の意味をもっと明確に理解するには、E-book『Shields up - 防御態勢の強化:AI活用型攻撃の時代における防御のためのガイダンス』をご覧ください。
This blog post may contain forward-looking statements regarding future events, plans or the expected financial performance of our company, including our expectations regarding our products, technology, strategy, customers, markets, acquisitions and investments. These statements reflect management’s current expectations, estimates and assumptions based on the information currently available to us. These forward-looking statements are not guarantees of future performance and involve significant risks, uncertainties and other factors that may cause our actual results, performance or achievements to be materially different from results, performance or achievements expressed or implied by the forward-looking statements contained in this blog post.
For additional information about factors that could cause actual results to differ materially from those described in the forward-looking statements made in this presentation, please refer to our periodic reports and other filings with the SEC, including the risk factors identified in our most recent quarterly reports on Form 10-Q and annual reports on Form 10-K, copies of which may be obtained by visiting the Cisco Investor Relations website at investor.cisco.com or the SEC's website at www.sec.gov. The forward-looking statements made in this blog post are made as of the time and date of this blog post. If reviewed after the initial presentation, even if made available by us, on our website or otherwise, it may not contain current or accurate information. We disclaim any obligation to update or revise any forward-looking statement based on new information, future events or otherwise, except as required by applicable law.
In addition, any information about our roadmap outlines or our general product direction is subject to change at any time without notice. It is for informational purposes only and shall not be incorporated into any contract or other commitment. We undertake no obligation either to develop the features or functionalities described, in alpha or beta or in preview (used interchangeably), or to include any such feature or functionality in a future release.
このブログはこちらの英語ブログの翻訳、大久保 かがりによるレビューです。