インシデントの重大度基準の定義に沿った対策やAIOpsなどによる自動化が進む

インシデントの報告義務化や情報共有推進の流れが出てくる

　株式市場でも、AIや半導体の関連企業の株価の乱高下していることからも「高い期待と期待外れの間で揺れ動いている様子がうかがえる」（仲間氏）。ただ2025年１月、トランプ米大統領はAI関連事業である「スターゲート計画」に約78兆円を投資すると発表している。

　AI技術活用で成果が出せる対象として仲間氏は、「業務にまだ慣れていない従業員の生産性向上やSOC（Security Operation Center）での運用効率化」を挙げる。

　特に、AIOps（Artificial Intelligence for IT Operations：AIを活用したIT運用の自動化・効率化）が注目されており、「アノマリ検出や、根本原因分析の迅速化、問題予測や対応の自動化などへの適用が進んでいる」（仲間氏）。Splunkの調査によれば、組織の52％がAIOps機能を利用し、29％が導入を進めている。

　SOCへのAI活用では、「リスクの絞り込みなどが有効」としたうえで仲間氏は、次のように説明する。

　「Splunkを使った、あるシステム監視では、8677億件のイベントをコンピューター上で検出した。このイベントを従来の手法である、しきい値によって絞り込むと、7万7000件のリスクイベントを検知した。だが、まだまだ膨大な数のためアナリストが内容を読んで全体を把握するのは無理がある。そこでAI技術を使うと69のイベントに絞り込め、それをアナリストが調査した。こうしたAI技術の活用により人間は、より重要な業務に集中でき、絞り込んだ69件が本当に重大なインシデントかどうかをしっかりチェックできる」

　AI技術の導入には教育も重要になってくる。仲間氏は「AI技術の特徴を活かした考え方ができ、AIが出してくる結果をきちんと分析できるように、プロンプトプログラミングなどAI技術の利用教育を実施する必要がある」とする。

　AI投資については、成果を求められるようになったことで「実用化できるアプリケーションの登場が加速するだろう。2025年はAI技術の真価が問われる年になる」と」と仲間氏はみる。それだけに組織が採用すべき技術の判断と導入速度が重要になってくる。仲間氏は「できる部分からAI技術の導入と自動化を進めるべきだろう」とする。

インシデントの報告義務化や情報共有推進の流れが出てくる

　こうしたグローバルな動きを背景に日本においても、サイバーセキュリティ法案が可決し、インシデントの報告義務化や情報共有を推進する流れが出てきている。そこでは「米国やEUなどと連携して進めていく必要がある。この時、戦術的妥当性から日本も、同盟国と同等の内容・正確性・速度が求められると推測される」と仲間氏は指摘する。

　だが日本では「適時の現況把握に必要な情報収集の自動化、特にエンドポイントのリアルタイム監視は、まだ不十分といえる」（仲間氏）。ネットワーク全体やPCなどのデバイスの全てを24時間監視していく動きは日本政府にもあるが、「可視化と情報共有の推進が、まだできていない」（同）。ただ日本の国家安全保障戦略には「政府機関のシステムを常時評価し、政府機関等の脅威対策やシステムの脆弱性等を随時是正するための仕組みの構築」が記載されており「今後、進んでいくと思われる」（同）

　NISCが2024年６月に注意喚起した「LoTL（Living off the Land：環境寄生型攻撃）」対策にもエンドポイント監視は不可欠だ。全ての端末、エンドポイントで、どんなコマンドが叩かれたか、どんな攻撃があったかを追えなくてはならない。

　重要インフラ防護に関しては組織間の連携が大切で、1つの組織だけでは不可能だと言われる。だが「さまざまな組織・人間が集まると、それぞれの目的・利益が相反したり相互の信頼性が低下したりする」（仲間氏）のが実状だ。この点については「大きな目的を共有していれば信頼性は向上し、方向性を見誤らない。目的の共有の前には認識の共有が必要で、そのための可視化やレポーティングが重要になる」と仲間氏は強調する。

　こうした課題に対しSplunkは「米国政府と共に取り組んできた実績がある。そこでの内容をキーワードに、日本の重要インフラ防護に貢献していきたい」と仲間氏は力を込める。

お問い合わせ先

Splunk Services Japan合同会社

Webサイト：https://www.splunk.com/ja_jp