English 
今日のほとんどのサイバー攻撃は、システムをクラッシュさせたり、即座にアラームを作動させたりはしません。サイバー攻撃は、アクセス権を得て、静かにして、あたかも自分がそこに属しているかのようにシステム内部を移動します。最初のうちは、明らかに問題があるようには見えません。数日、時には数週間が経過します。誰かが気づいたときには、攻撃者はすでに目的を果たしています。.
そのギャップが滞留時間です。そしてそれは、単に報告書の中で投げかけられる指標ではありません。実際に物事がうまくいかない場所なのです。.
問題はここからです。従来のSIEMのセットアップのほとんどは、まだルールに基づいて構築されています。何が悪いかを定義し、システムがそれを監視し、何かが一致すればアラートが出ます。理論的には問題ありません。しかし現実には、このルールが機能するのは、攻撃があなたの期待通りに動作する場合だけです。.
しかし、攻撃者はもうそんなことはしません。彼らはパターンを避けます。有効な認証情報を使います。表面的には普通に見える方法で動きます。.
こちらもお読みください: 日本における運用技術(OT)セキュリティ:重要インフラをサイバー脅威から守るために
そして、これはエッジケースでもありません。. 87% 世界経済フォーラムによると、サイバーセキュリティのリーダーのうち、AIによる脆弱性が最も急成長しているリスクであると回答しています。.
つまり、攻撃が増えていることだけが問題なのではありません。攻撃を発見するのが難しくなっているということです。.
そこで重要になるのが、AIを活用した脅威ハンティングです。もう1つのツールとしてではなく、問題にアプローチする別の方法として。本記事では、このシフトがどのように機能するのか、実際に何がAIを動かすのか、そしてチームが物事を複雑にしすぎずにAIを使い始めるにはどうすればよいのかについて説明します。.
AIを活用した脅威ハンティングとは
基本的なレベルでは、AI主導の脅威ハンティングとは、アラートを待たないことです。.
そうです。それがシフトです。.
今日のほとんどのシステムは反応するように作られています。何かが起こり、ルールが発動し、アラートが表示され、そして誰かがそれをチェックします。全体の流れは、システムがすでに何を探すべきかを知っていることに依存しています。.
脅威狩りはそこから始まるのではありません。もっと早く始まるのです。.
疑いから始まります。何かが少しおかしい。何かを引き起こすほどではありませんが、疑問を持つには十分です。あるユーザーが、普段は触らないファイルにアクセスしているのかもしれません。ちょっと変わったログイン・パターンがあるかもしれません。.
だから、それを掘り下げていくわけです。.
そこにAIを持ち込むのです。AIはその思考を置き換えるものではありません。拡張するのです。.
AIは膨大な量のデータを継続的に調べます。ログ、アクセスパターン、ネットワーク動作。最初はつながっているように見えないもの同士を結びつけます。そしてさらに重要なのは、今起きていることと通常起きていることを比較し続けることです。.
そのため、ルールが間違っていると言うのを待つ代わりに、次のように尋ね続けます。
これでも普通に見えますか?
そこに違いがあるのです。.
探知機の反応狩猟に関する質問.
また、大規模な調査を開始すれば、隠れた活動の多くがより早い段階で表面化するようになります。.
高度防衛戦略の核となる柱
これはひとつのアイデアだけではうまくいきません。いくつかの可動部分があり、それらは人々が思っている以上に互いに依存しているのです。.
行動ベースライン
すべては普通を理解することから始まります。漠然とした意味ではなく、とても具体的な方法で。.
誰がいつログインするか。どこから。どのシステムにアクセスしたか特定のファイルに触れる頻度これらすべては、時間の経過とともにパターンを構築します。.
機械学習モデルはバックグラウンドでこれを観察します。彼らは干渉しません。ただ学習するだけです。.
そしてある日、何かが変わりました。変な時間にログイン。新しいものへのアクセス。見たこともないデバイス。.
ひとつひとつはどれも危険には見えません。しかし、予想されることと照らし合わせると、それらが際立ち始めるのです。.
それは、ブロックされたからではなく、システムがその行動にフラグを立て始めるポイントなのです。.
予測分析
たいていのチームは過去を振り返ることに抵抗はありません。ログがあり、イベントをトレースし、何が起こったかを突き止めます。.
前を向くのは難しい。そこには不確実性があります。.
しかし、それこそが事態が向かっている方向なのです。.
2026年は、AIを活用した攻撃側対AIを活用した守備側へのシフトの時期。 グーグル・クラウド.
それでペースがガラッと変わるんです。.
攻撃者はもう一歩一歩進んでいるわけではありません。彼らはプロセスの一部を自動化します。彼らはテストし、調整し、そして続けます。.
だから、何かが完全に起こるのを待ってから反応するというのは通用しません。.
AIモデルは過去のインシデントのパターンを調べ、攻撃者が次にどこに移動するかをマッピングしようとします。完璧ではありません。その必要はありません。大まかな方向性を示すだけでも、チームは早期に行動を起こすことができます。.
そして、早めに行動することが被害を減らすことにつながります。.
自動トリアージ
そして、ほとんどのチームが日々感じていることがあります。アラートの多さ。.
ある時点で、それは検知することではなくなり、ノイズをフィルタリングすることになり始めます。アナリストは、何を調査すべきかよりも、何を無視すべきかを考えることに多くの時間を費やしています。.
自動化が重要になるのはそこからです。.
AIエージェントがリアルタイムでアナリストを支援する環境へとシフトしています。しばしばAgentic SOCと呼ばれるこのアプローチは、Google Cloudによって強調されています。.
これらのシステムが行うことは複雑ではありません。アラートを受信し、関連する信号を接続し、ある程度の優先順位を割り当てます。.
ですから、アナリストはすべてを見るのではなく、まず注意が必要なものを見るのです。.
プロセスから人間を排除するわけではありません。ただ、周りの雑念を取り除くだけです。.
人間中心のAIと現代の脅威ハンターの役割
いつもこんな疑問が浮かんできます。AIはセキュリティ・アナリストに取って代わるのか?
簡単に言うと、ノーです。.
長い答えになりますが、私たちがまだどれだけ彼らを必要としているかということです。.
53% PwCによると、サイバーセキュリティ能力のギャップを埋めるためにAIツールを使用している組織の割合が高いとのことです。.
この数字は重要なことを物語っています。企業は人員を減らそうとしているのではありません。維持しようとしているのです。.
今日の脅威ハンターはアラートを見るだけではありません。彼らは行動を解釈します。文脈を理解し特定の環境において、正常とはどのようなものかを理解するのです。.
AIはパターンや異常の発生を予測することで、その手助けをします。しかし、なぜそのようなことが起こるのかを完全に理解することはできません。.
簡単な例を見てみましょう。新しい場所からのログイン。AIがフラグを立てます。しかし、それは脅威なのか、それとも単なる旅行やリモートワークの人なのか?その判断はまだ人間の判断に依存しています。.
だから、その関係は競争的なものではありません。重層的です。.
AIが扱うのは量とパターン認識。人間は意味を扱います。.
片方を外すと、システムは苦しくなります。両方を維持すれば、物事は本来あるべき形で機能し始めます。.
戦略的実施 4ステップのロードマップ
ここがアイデアと現実が出会う場所です。.
多くの組織がAIを活用した脅威ハンティングに興味を持っています。しかし、実際に導入してみると、計画通りにはいきません。.
ほとんどの場合、基本が整っていないからです。.
ステップ1.データの一元化
すべてはデータが一箇所で利用できるかどうかにかかっています。.
ログはさまざまなシステムから得られます。エンドポイント、クラウドサービス、アプリケーション。それらが散在したままでは、分析は不完全なままです。.
ですから、最初のステップはAIではありません。データを整理することです。.
データが一元化され、構造化されれば、他のすべてが容易になります。.
ステップ2.仮説の作成
脅威ハンティングは無作為の探索ではありません。方向性が必要です。.
ここで役立つのが、MITRE ATTやCKのようなフレームワークです。攻撃者がどのように行動するかを考える方法を与えてくれます。.
つまり、すべてを見るのではなく、特定の可能性に注目するのです。攻撃者は次に何をしようとするのか?それはどんなシグナルを残すのか.
そうすることで、より意図的なプロセスになります。.
ステップ3.モデルトレーニング
多くの人が即効性を期待するのはここです。.
そんなことはめったにありません。.
AI導入の障壁 サイバーセキュリティ PwCが強調しているように、スキル不足と専門知識の欠如です。.
だからモデルには時間が必要。フィードバックが必要です。.
アナリストはアラートを確認し、有用なものとノイズとなるものに印をつけ、徐々にシステムを改善していきます。このループです。.
このループがなければ、AIは単なるアラートの発信源になってしまいます。.
ステップ4.継続的改善
サイバーセキュリティに安定したものはありません。.
だから、システムも固定されたままではいられないのです。.
OODAループはこれにアプローチするシンプルな方法です。何が起きているかを観察し、それを文脈で理解し、何をすべきかを決定し、それに基づいて行動します。.
そして、それを繰り返します。.
そうすることで、遅れをとることなく適応するシステムが構築されるのです。.
2025年のサイバーセキュリティ情勢を形作る新たなトレンド
状況は双方から変化しています。.
片方は、, ジェネレーティブAI は、アナリストのデータ作業を容易にしています。複雑なクエリを書く代わりに、平易な言葉で質問することができます。これにより時間が節約され、新しいチームメンバーの障壁が低くなります。.
一方、攻撃者も同様のツールを使用しています。.
マルウェアのバリエーションを生成フィッシングを自動化。何が効果的かをテストし、素早く調整します。.
つまり、双方が同じベース技術を使って進化しているわけです。.
そのため、静的なシステムが苦戦するような動く環境が生まれます。ルールの更新には時間がかかります。更新される頃には、攻撃はすでに変化しています。.
AIによる脅威ハンティングは、固定されたロジックだけに依存しないので、この種のセットアップではよりうまく機能します。見たものによって調整し続けるからです。.
その適応能力は、単に検知する能力よりも重要になってきています。.
サイバーセキュリティにおけるレジリエントな未来の構築
サイバーセキュリティの変化はすでに起こっています。劇的ではありませんが、明らかです。.
各チームは、単に モニタリング アラートを出し、積極的に脅威を探す方向へ。これは異なる考え方です。.
AIによる脅威ハンティングは、このシフトに大きな役割を果たしています。滞留時間の短縮に役立ちます。ノイズを遮断します。実際に重要なことに注意を向けさせます。.
でも、スイッチを入れて忘れるようなものではありません。.
それは、データの品質、熟練したアナリスト、継続的な改善にかかっています。これらがなければ、どんなに優れたシステムでも時間の経過とともに有効性を失ってしまいます。.
今変わっているのはスピードです。.
攻撃者の動きは速い。システムはそれに追いつく必要があります。.
そして、これにいち早く適応したチームは、脅威を察知しやすくなるだけではありません。脅威に先んじることができるのです。.
現時点では、プロアクティブな脅威ハンティングは高度な機能ではありません。セキュアな状態を維持するための基本になりつつあるのです。.
日本語