エージェント型SOC：公共部門の新たなAIサイバーセキュリティ防御

エージェント型SOCはセキュリティ運用やセキュリティアナリストの働き方を変革します。一連のエージェント型ワークフローとスキルが、アナリストの舞台裏での自動化された操作を支援します。

目標は完全なSOCの自動化ではなく、人間を排除することは望んでいません。AI生成の攻撃の速度に圧倒されないようにしたいのです。人間の関与は依然として不可欠であり、透明性も同様に重要です。

Elasticは、エージェント型セキュリティオペレーションプラットフォームを「人間がリードする」アプローチで設計しました。自律型エージェントがセキュリティ脅威のインジェストから対応までのライフサイクルを処理し、アナリストが判断、検証、承認を行います。AIが行うすべての決定は詳細に文書化されており、人間のレビュー担当者がその正確性を判断できるようになっています。

次に、セキュリティチームが抱える2つの重要な課題、1) 断片化と 2) 応答時間の遅さに対処する上で、エージェント型SOCが果たす役割に注目してみましょう。

公共部門の運営は本質的に分散化されています。多様なシステムと運用プロセスは、任務固有のニーズ、規制要件、分類レベルをサポートしています。多くの機関や部門は、分離されたエアギャップ環境で非常に複雑な運用を維持することを求められています。歴史的に、サイロは追加の保護層として捉えられてきました。

しかし、この断片化は、急速に動くAI搭載の脅威に対処する際に障害となることがあります。セキュリティ業界の調査によると、66％のSOCが、毎週、丸一日を、分離したツール間でデータを手動で集約することに空費しています。²

断片化は純粋に公共部門のSOCの課題だけではなく、セキュリティ業界全体とつながっています。この業界は、部品を販売するように設計されています。顧客は断片を購入し、結果として、それに伴うリスクにさらされることになります。

• デバイスごとの料金設定は、本来予算上の判断であるべきではないカバレッジの意思決定を強いる

• 後付けの自動化システムが、インシデント発生時に機能停止する

• 独自開発のAIはそのロジックを隠蔽している

チームは、目の前の実際の脅威と戦い始める前に、まず幾重にも重なった階層を突破する必要があります。これは単に非効率的なだけではなく、コストがかかり、リスクとなります。一方で、攻撃者はあらゆる脆弱性を突いてきます。

Elasticは断片化を解消します。SIEM、XDR、ネイティブ自動化など、エコシステムの保護に必要なすべてが当社のエージェント型SOCプラットフォームに統合されています。エンドポイント課金を排除することで、ライセンス数ではなくリスクに基づいたセキュリティ戦略を構築できます。当社のオープンソースプラットフォームは、既存のエコシステムと統合し、分断されたモデルも含め、あらゆる環境のデータに対する可視性を提供します。

セキュリティチームはアラート疲労を抱えています。現在の攻撃のスピードにより、アラートの優先順位付けと迅速な対応が困難になっています。今年初めには、最初の侵害から横方向の動きまでの平均時間が29分に短縮され、対応時間もさらに短縮されています。³

さらに問題を複雑にしているのは、断片化された環境全体でデータをコンテキスト化するために必要な労力です。コンテキストを考慮しないAIによる脅威検出は、誤検知によってチームを混乱させる可能性があります。ノイズは増大していますが、公共部門のチームにはそれ以上の活動を行うリソースが限られています。燃え尽き症候群は深刻な問題であり、セキュリティチームがストレスや疲労を抱えていると、防御力が弱まり、情報漏洩のリスクが高まります。

Elasticは調査と応答時間を短縮します。当社のエージェント型SOCプラットフォームは、クラウド、ハイブリッド、オンプレミス環境（完全にエアギャップされたエンクレーブを含む）にまたがるデータをデータメッシュアーキテクチャーで統合し、データを中央の場所に移動することなく、リアルタイムの全体的な可視性を提供します。すべてのセキュリティアラートには、エンドポイントの挙動をIDシフト、ネットワークトラフィック、クラウドログと関連付ける自動化された説明が含まれています。Elasticは、スケールでコンテキストを提供することで、チームが追加リソースなしで機械の速度で意思決定できるようにします。

政府機関が従来の方法では新たなサイバー脅威に対抗できないことは明らかです。世界各国はAIを活用したサイバーセキュリティに大きく舵を切り、国家的なサイバー回復力のフレームワークや指令の強化に取り組んでいます。

米国では、この勢いが加速し続けています。2026年6月のホワイトハウスの人工知能の推進に関する大統領令では、AIのイノベーションとAIのセキュリティの両方を強化することが求められています。政府はテクノロジーインフラを近代化すると同時に、高性能化するAIシステムから生じる新たなリスクを管理しなければなりません。公共部門には、セキュリティ、透明性、運用の回復力を確保しながら、責任を持ってAIを導入することが求められています。

各機関がAIエージェントにセキュリティ上の重要な決定を委ねるようになり、透明性と監視が最重要課題となっています。米国、英国、カナダ、オーストラリア、ニュージーランドによるエージェント型AIのサイバーセキュリティに関する共同ガイダンスでは、運用の可視化の必要性が強調されています。エージェントの行動、その理由、ユーザーの意図を人間が理解できるようにする必要があります。⁴

同時に、組織はElasticのエージェント型SOCが提供する包括的な価値をいち早く理解し、地域やプログラムを超えてElastic Securityをスケールで導入しています。

エアギャップ環境におけるElasticとGoogle Distributed Cloud（GDC）の統合は、機密性の高いワークロードの保護を目的とした一連のマイルストーンの最新事例です。ElasticをGDCのエアギャップ環境の組み込みセキュリティレイヤーとして使用することで、パブリックインターネットから完全に切り離されたワークロードを実行しているGDCのお客様は、エージェント型SOCプラットフォームの保護の恩恵を受けることができます。米国では、Elasticは米国サイバーセキュリティ・インフラセキュリティ庁（CISA）が最近立ち上げた連邦民間の行政機関向けのSIEM-as-a-Service（SIEMaaS）サービスのAIを活用したセキュリティプラットフォームとしての役割を果たしています。

Elasticは、負担をかけるのではなく、セキュリティを確保するために構築されたエージェント型のセキュリティ運用プラットフォームです。これにより、セキュリティチームの時間、予算、注意力への負担を軽減できます。Elasticが組織のサイバーセキュリティ防御戦略に及ぼす影響について考えてみましょう。

• セキュリティを維持しながら可視性を向上：オープンで柔軟なアーキテクチャにより、あらゆる環境の情報が接続されるため、重要なデータを生成元で即座に特定でき、現地の厳格なプライバシー規制へのコンプライアンスをサポートします。

• 急速に変化するリスクに先手を打つ：脅威が侵入する前にアナリストが阻止できるよう支援します。サイバーセキュリティ向けAIエージェントはワークフローに組み込まれており、検出から修復までの時間を数秒に短縮します。チームはリアルタイムの状況把握に基づいて意思決定を迅速化できます。

• AIへの信頼を構築：アナリストがインプットを理解し、アウトプットのロジックをトレースできるように、すべてのAIアクションに透明性を持たせてます。

• 限られたリソースをより効果的に活用：AIを活用したテクノロジーにより、セキュリティチームがセキュリティデータを手動で関連付けたり、緊急性の低いアラートを選別したりする時間を削減でき、戦略的なスキルを磨いたり、AIのアクションを微調整したりするための時間を増やすことができます。

• より良い成果を実現：Elastic Securityは、組織のデータエコシステム全体にわたるサイバー脅威を検知・修復し、セキュリティイベントやインシデントを90%削減します。当社の予防優先アプローチは単なる主張ではなく、独立機関による検証済みです。2025年、ElasticはAV-Comparativesの実環境テストおよびマルウェアテストにおいて、年間を通して一貫して100%の保護率を維持した唯一のベンダーでした。