Skip to main content

アナリストの時間を取り戻す:防衛分野におけるAIを活用した調査のスマート化

MODが調査疲労を軽減し、運用効率を向上させる方法

By
Crossley McEwen
blog-5-Cyber_Security_Series_Op.jpg

英国国防省(MOD)をはじめとするあらゆる組織のセキュリティアナリストは、圧倒的な課題に直面しています。毎日何千ものアラートを受け取る可能性があり、技術的な介入なしには真の脅威と誤検知をタイムリーに区別することがほぼ不可能になっているのです。人的コストは大きく、SOCアナリスト(セクター全体)の70%以上1燃え尽き症候群を報告していますが、MODでは過去5年間でデータ侵害が400%増加しました2。組織は、根本的な非効率性に対処するのではなく、ツール、人員、(不必要な)コストを追加することで対応してしまいがちです。

国防省のAI生産性目標の達成

英国国防省の人工知能戦略(2022年)3はこの課題を認識し、「データが遍在する環境において、情報分析担当者が大規模データセットの照合と分析を自動化できることがますます重要になっている」と認めています。国防省も、AIがセキュリティ分析担当者の生産性を向上させ、作業負荷を軽減する可能性を認識しており4、以下のような機能を有するAIなどの新技術の潜在的な用途を特定・追跡する生産性ポートフォリオの作成を計画しています。

  • 日常業務と政策立案業務の自動化と効率化

  • 意思決定の高速化

  • 物流の最適化

  • 軍事能力の可用性の向上

Elasticの俊敏性と拡張性は、ノイズや複雑さを増やす単なるツールではなく、アナリストの働き方を変革する力を増幅させる装置として機能し、国防省の戦略を支えています。AIをワークフローに直接統合することで、AI AssistantAttack Discoveryなどのツールは、複数のデータストリームを同時に処理し、数百ものアラートを実用的なインテリジェンスに変換します。これにより、1級アナリストの能力が向上し、何時間もかかる退屈な調査や反復作業を、数分間の集中して行える価値の高い分析とアクションに変えることができます。

全体像をすぐに把握

国防省は、セキュリティ業務全体の意思決定スピードを高めながら、日常業務の自動化を目指しています。これは実際には、アナリストの貴重な時間を消費するバックグラウンドノイズから、本物の脅威を迅速に分離する方法を見つけることを意味します。

これは、AIを活用したシステムによって、一見無関係に見えるアラートを統合し、包括的な攻撃ストーリーとして構築することで実現可能です。数百ものアラートを同時に分析し、資産の重要度、リスクスコア、行動パターンに基づいて評価することで、セキュリティチームは緊急の対応が必要な最も重要な攻撃を特定できます。攻撃者が複数のシステムにわたって持続的な攻撃を仕掛けようとする場合、Attack Discoveryのようなツールがパターンを認識し、一貫した攻撃ストーリーとして提示します。

自然言語インターフェースは、アナリストが技術的な障壁に煩わされることなくより詳細な調査を行えるようにすることで、この機能を補完します。アナリストは、「過去1週間のネットワーク全体における類似のアクティビティをすべて表示してください」といった追加の質問を素早く行うことで、通常は複雑なクエリ構築が必要となるコンテクストに基づいた洞察を得ることができます。AIアシスタントは、こうしたより直感的な調査プロセスを実現する1つのアプローチです。

Securityチームは、脅威を数時間ではなく数分で特定、理解、対処できるため、以前は日常業務に費やされていたフルタイム従業員(FTE)の労働時間の最大74%を回収できます。これは、将来の紛争における決定要因としてスピードと有効性に重点を置く国防AI戦略を直接的にサポートするものです。

セキュリティ運用の簡素化

この統合データモデルは、エンドポイント、ネットワーク、クラウドのテレメトリーを1つの検索可能なデータビューに集約します。アナリストは、コンテクストを切り替えることなく、アラートから詳細な調査へと迅速に移行できます。個別のツールとそれに伴うライセンスコストが不要になることで、セキュリティツールの総コストを約25%削減しながら、実際に機能を向上させ、複雑さを軽減します。調査ガイドと事前構築済みのプレイブックによって対応手順が標準化され、MLを活用した検出ルールによって、見逃される可能性のある脅威を特定します。

修復では、セキュリティチームは分散したエンドポイント間で同時にアクションを実行できます。侵害されたマシンの隔離、悪意のあるプロセスの終了、プラットフォームを離れずにパッチをデプロイするなどが可能です。このエンドツーエンドのワークフロー自動化により、かつては何時間もかかり、複数のツールを使用していたプロセスが、合理化された業務に変わります。

ゼロトラストの基盤を構築

国防省は、2026年の期限ゼロトラストアーキテクチャの実装を迫られていますが、これは決して容易なことではありません。この課題への現実的なアプローチは、セキュリティツールの追加ではなく、データ統合に重点を置くことです。認証ログ、ネットワークトラフィック、アプリケーションテレメトリーを一元的に収集することで、従来は分離されていたドメイン間の可視性が向上します。これはゼロトラストにとって重要です。ユーザーが機密データにアクセスする際、システムはユーザーのIDだけでなく、デバイスの健全性、ネットワークパス、さらにはアクセスの時間と場所まで検証する必要があります。統合データがなければ、これらの確認が煩雑あるいは不可能になり、脅威が検出されなかったり、サイロ化されたシステムに閉じ込められたりする可能性があります。

データ基盤により、ゼロトラストの実装が理論上のものではなく実用的なものとなり、国防省が2026年の目標を達成することを確実にします。

防衛リーダーがAIと統合データの可視化を活用して、分野を超えた安全でリアルタイムなコラボレーションをどのように実現しているかを探ります。ウェビナーシリーズをご覧ください

追加の参考資料はこちら。

出典:

  1. Tines, “Voice of the SOC Analyst,” 2021.

  2. Intersec, MOD Fights Back,” 2024.

  3. Ministry of Defence, “Defence Artificial⁣ Intelligence Strategy,” 2022.

  4. Civil Service World, “MoD to investigate potential for AI to improve productivity,” 2024.

本記事に記述されているあらゆる機能ないし性能のリリースおよびタイミングは、Elasticの単独裁量に委ねられます。現時点で提供されていないあらゆる機能ないし性能は、すみやかに提供されない可能性、または一切の提供が行われない可能性があります。

このブログ記事では、それぞれのオーナーが所有・運用するサードパーティの生成AIツールを使用したり、参照している可能性があります。Elasticはこれらのサードパーティのツールについていかなる権限も持たず、これらのコンテンツ、運用、使用、またはこれらのツールの使用により生じた損失や損害について、一切の責任も義務も負いません。個人情報または秘密/機密情報についてAIツールを使用する場合は、十分に注意してください。提供したあらゆるデータはAIの訓練やその他の目的に使用される可能性があります。提供した情報の安全や機密性が確保される保証はありません。生成AIツールを使用する前に、プライバシー取り扱い方針や利用条件を十分に理解しておく必要があります。

Elastic、Elasticsearch、および関連するマークは、米国およびその他の国におけるElasticsearch N.V.の商標、ロゴ、または登録商標です。他のすべての会社名および製品名は、各所有者の商標、ロゴ、登録商標です。

Elastic Cloudの無料トライアルに登録

お好みのクラウドプロバイダーを選び、多彩な機能を組み込んでデプロイできます。Elasticsearchを開発するElasticが、クラウド向けのElasticクラスターで高度な機能とサービスを提供します。

無料トライアルを始める