NTTドコモビジネスは5月20日、独自開発のAIエージェントによるログ分析機能を強化したAI Advisorとセキュリティアラートの自動対処を行うマネージドSOAR(Security Orchestration, Automation and Response)を組み合わせ、サイバー攻撃の監視と対処を行う「AI SOC」の提供を開始することを発表し、オンラインで説明会を開いた。

これにより、AIを悪用した攻撃など高度化するサイバー攻撃に対して、AIを駆使した脅威の早期の発見と対処を実現し、企業のセキュリティ対策を支援するという。

AI SOCは、「AIによる相関分析」と「SOARによる自動対処」を統合したSOC運用サービス。従来は人手で行っていた脅威分析をAIエージェントが代替し、迅速な検知と対処を可能にする。

AIにより攻撃が高度化し人手での対応が限界に

近年はサイバー攻撃の件数が増加するだけでなく、攻撃手法も高度化および巧妙化が進んでいる。AIを悪用したサイバー攻撃によって、攻撃手法が複雑化し、攻撃のスピードも高速化している。こうした懸念は、「Claude Mythos」のようなAIを悪用した攻撃支援ツールの登場によりさらに強まっている。

クラウドストライクのレポート(AIによって加速する攻撃者と新たに形成される攻撃対象領域)によると、攻撃者が侵入してから拡大までのブレイクアウトタイムは平均29分だという。

一方で、セキュリティ担当者が通信や認証などのログを人手で分析するには1~2時間を要することから、AIを悪用した最新の攻撃には従来の人手での対応はもはや困難だと考えられる。しかし、依然として企業のセキュリティ人材不足は課題となっている。

従来のSOCサービスとAI SOCサービスの違い

従来のSOC(Security Operations Center)サービスは、アナリストがログの中から脅威を見つけて顧客に通知し、顧客が対処するため時間と稼働が課題となっていた。これに対してSOARはログの相関分析を行わずに自動対処するため、対応時間が短縮される一方で分析精度に課題があった。

その後、SOCとSOARを組み合わせたサービスも登場したが、依然としてSOCでの相関分析には時間がかかる点が課題となっていた。

  • 従来のSOCサービスの概要図

    従来のSOCサービスの概要図

これに対しAI SOCでは、従来は人が1~2時間かけて行っていた脅威分析をAIエージェントが代替し、約10分間で対応可能だという。さらにSOARによる自動対処を組み合わせ、迅速な対処と稼働削減を実現する。

  • AI SOCは短時間での対処を実現する

    AI SOCは短時間での対処を実現する

具体的には、同社がこれまでにも提供していたAI Advisorにログの相関分析機能を強化し、マネージドSOARとセキュリティ専門家によるサポートを組み合わせて提供するとのことだ。

AI AdvisorとSOARによる自動対処により、アラート対応の迅速化とアラート対応稼働の95%削減が見込めるという。残り5%の高度な攻撃に対しては、専門家が対応する。

なお、従来型のアナリストによる高度分析のSOCサービスは、引き続きAI SOCとは別サービスとして提供を継続する。

  • 従来サービスとAI SOCの関連

    従来サービスとAI SOCの関連

AI AdvisorとマネージドSOARで稼働の95%を自動化

AI SOCはセキュリティ機器などからマネージドSOARに集約されたログやアラートをAI Advisorが取得し、自律的に相関分析を実施して脅威を特定する。その後、マネージドSOARは分析結果に応じたアラートへの対処を自動で実行する。

  • AI SOCの実装例

    AI SOCの実装例

例えばEDR(Endpoint Detection and Response)からHighアラート(危険度の高いアラート)が出た後、AI Advisorがログや脅威情報を参考に分析し危険度が低いと判定した場合、その結果に基づいてアラート対処(VirusScan)を実施。結果をレポートとして顧客に通知する。

  • AI SOCの稼働イメージ

    AI SOCの稼働イメージ

他にも、PaloAltoのファイアウォールなどネットワークセキュリティ機器からアラートが発生した場合、エンドポイント、認証、ネットワークのログをもとにAI Advisorが相関分析を実施。AI Advisorは分析結果をマネージドSOARに連携し、脅威発見時には自動で接続を遮断するなど攻撃を撃退する。

  • AI SOCの稼働イメージ

    AI SOCの稼働イメージ

NTTドコモビジネスでセキュリティ製品の販売責任者を務める戸畑洋介氏は「多量のログの確認、複雑な相関関係の分析、対応速度の向上は、AIが得意とする領域。些細な攻撃の痕跡であってもAI Advisorが能動的にチェックし、マネージドSOARと組み合わせることで攻撃への早期対処を実現する」と話していた。

  • NTTドコモビジネス マネージド&セキュリティ部 セキュリティサービス部門 戸畑洋介氏

    NTTドコモビジネス マネージド&セキュリティ部 セキュリティサービス部門 戸畑洋介氏