エージェント型セキュリティ運用プラットフォームとは？

エージェント型セキュリティ運用プラットフォームは完全な自律型SOCではありません。人間をループから排除するのではなく、ループの最上部に移動させます。プラットフォームが調査し、関連付け、対応計画を作成します。アナリストはそれを読み、判断し、承認します。

従来のSOARツールは、決定論的なプレイブックを実行します。一方、エージェント型プラットフォームは、新たな状況を動的に推論します。これらは、増分的に優れているのではなく、アーキテクチャー的に根本的に異なります。

SIEMはデータを取り込み、相関させます。エージェント型プラットフォームは、データを取り込み、推論し、調査し、ケースを作成し、対応を提案し、実行するという機能を1つの統合システムにまとめたものです。

従来の手法と比較したAI生成フィッシングのクリック率の高さ。ソーシャルエンジニアリングは今や大規模なスケールで産業化されています。

出典：Microsoft Digital Defense Report、2025年

アラートが生成されたものの無視されていた侵害の比率。これはアナリストが注意を払っていなかったからではなく、ノイズ対シグナル比が高すぎて処理が不可能だったためです。

出典：Verizon DBIR

燃え尽き症候群による離職が発生するまでのアナリストの平均在職期間。人材不足は人材供給の問題ではなく、ツールの問題です。

出典：Tines/Abnormal AI Research

アナリストが調査ごとに操作するセキュリティコンソールの平均数。切り替えのたびに敵が悪用できる時間が生まれます。

出典：Microsoft/Omdia State of SOC

決定論的自動化は、攻撃者が予想されるパターンから逸脱すると機能しなくなります。エージェント型プラットフォームは、各インシデント（これまで遭遇したことのない攻撃を含む）を推論するエージェントによって動的に呼び出されるスキルを使用します。

透明性のあるAI（視覚的に確認できるプロンプト、監査可能な推論、検証可能な出力）は必須です。AIがその処理過程を示せなければ、アナリストはその結論を信頼できません。監査不可能なAIの意思決定は、新たなコンプライアンス上のリスクとなりつつあります。

スタンドアロンのSOARは、インシデントが進行中の場合、つまりまさに対応速度が最も重要な場合に機能しなくなる統合ポイントを作成します。検出と同じシステムのネイティブ自動化は、この構造的な故障モードを排除します。

リハイドレーションの遅延で過去のログが数時間利用できなくなることは、作戦実行中の構造的な脆弱性となります。エージェント型プラットフォームでは、過去を遡って参照する際にペナルティが発生しないよう、クエリ時に数年分のテレメトリデータにアクセスできる必要があります。

規制対象の組織（特に政府機関や金融サービス）では、完全に切り離されたオンプレミスモデルを含め、AIモデルを自由に選択できることが求められます。単一のLLMへのベンダーロックインは、データレジデンシーおよびデータ主権の要件と両立しません。