AIモデルやLLMを自社で研究・開発するゾーホー／ManageEngineが描く「誤検知ゼロ」の世界：本物の従業員かどうか分からない「IDへの脅威」にAIで対応

IT運用とセキュリティ対策の境界が、ますます曖昧になっている。ネットワークのアラート一つとっても、障害なのか、サイバー攻撃なのかを見極めなければならず、現場の負担は大きくなる一方だ。こうした状況に、AIで解決策を示すのがIT運用管理製品「ManageEngine」などを提供するゾーホーだ。AI機能の提供にどのようなビジョンを描き、日本企業を支援するのか。日本本社のゾーホージャパンで代表取締役を務めるマニカンダン・タンガラジ氏に聞いた。

[PR／＠IT]

そのユーザーは“本物の従業員”なのか――IT運用とセキュリティ対策の融合が不可欠

　サイバー攻撃被害のニュースが後を絶たない。ファイアウォールやアンチウイルスといった製品の導入や、SOC（Security Operation Center）などの体制整備を進めていても、攻撃を100％防ぐことはできない。

　情報システム担当者は、いつ、どこから来るか分からないサイバー攻撃に備えなければならず、従業員の利便性の確保も求められる。タンガラジ氏は「コロナ禍以降、企業のクラウド展開が加速したことでランサムウェア（身代金要求型マルウェア）など外部からの攻撃が増加しています」と指摘する。

ゾーホージャパン マニカンダン・タンガラジ氏（代表取締役）

　働き方が柔軟になる中で、PCを社外に持ち出す機会が増えるなど、セキュリティ上考慮すべき事案が増加した。情報システム担当者の業務は、IT運用とセキュリティ対策とどう融合させるかが課題になった。

　「『ManageEngine』の全製品は共通のバックエンド基盤で設計され、プラットフォームとして統合しやすくなっています。そのため、各IT製品から収集したデータを横断的に活用し、統一されたデータ基盤を構築できます。データ基盤から状況に応じた情報を引き出すことで脅威を迅速に把握でき、対応・復旧の時間を大幅に短縮できます」

　近年の運用監視業務を難しくしているのが、ID（アカウント）を狙った脅威の増加だ。攻撃者が不正に入手した認証情報やアクセス権限を悪用し、従業員になりすましてシステムに侵入する。テレワークで社外からのアクセスが増えたこともあって、本物の従業員かどうかの判断は難しくなる一方だ。

　この対策として同社が注力するのがAI（人工知能）だ。これまでのようにサイバー攻撃かどうか判断がつかないまま、通常とは異なる挙動全てにアラートを出していては対処し切れない。同社が描くのは、セキュリティ調査を含めた一連の運用を、AIを用いて支援する世界だ。

　「ハイブリッドなデジタル環境を運用する日本の組織にとって、統合的な可視性や正確な検出、AIを活用したセキュリティ運用の必要性が高まっています」

30年近くユーザーを支援してきた知見を独自AIの研究開発に生かす

　ゾーホーのAI技術を支えるのが、長年の経験や知見だ。同社は約30年前に設立し、IT運用の幅広い課題に対処するManageEngineと、顧客管理やビジネスを支える「OS」として開発された「Zoho」という製品ポートフォリオを持つ。

　「低コストでセキュアに利用でき、ユーザーを第一に考えた分かりやすいツールを提供しています。中堅・中小企業やベンチャー企業に加え、日本市場でも大企業の導入が増加し、現在は、都道府県庁自治体の85％、日経225企業の56％が弊社の製品を利用しています」

　同社は企業理念として「R&D（研究開発）への投資」を掲げ、継続的な投資によるイノベーションを目指している。ITOM（IT運用管理）からITSM（ITサービスマネジメント）の領域、セキュリティや分析、アナリティクス関連の開発を進めてきた。近年はローコード／ノーコード領域の製品も展開している。製品数は100を超え、業務アプリケーションからIT運用、セキュリティまで、企業のITを幅広く支えるポートフォリオを構築している。中でも積極的に投資しているのがAI開発で、各製品にAI機能を搭載している。これまでの経験や実績を、AIによる「予測機能」として実装し、IT環境をよりセキュアに運用するための製品を提供している。

　この背景には、プライバシーとデータ保護を早くから重視してきた姿勢がある。同社は約15年前から、製品の開発にプライバシーポリシーを組み込んできた。顧客データの外部共有も、BYOK（Bring Your Own Key）モデルを選択した顧客に限定している。

　同社がAI開発に取り組み始めたのは約13年前。情報漏えいリスクを削減するために、オープンソースなど社外のAIは利用せず、AIモデルやLLM（大規模言語モデル）などを自社で開発してきた。それらはIT運用やサービスマネジメントの製品に生成AI機能として搭載され、最近はエージェンティックAIとして感情分析や行動分析などの機能もリリースしている。

　こうしたAI機能の研究や提供に当たって同社は、データ保護やプライバシーへの配慮を重視している。「機密情報の漏えいはあってはならず、データの扱いには細心の注意を払っています。ユーザー企業のデータは弊社のデータセンターで管理され、プライバシーを最優先に保管されています」

SIEM製品にもAIを搭載、誤検知を防ぐAIの研究を進める

　AI機能の研究成果は、ManageEngineでは統合エンドポイント管理（UEM）製品「Endpoint Central」や特権ID管理製品「PAM360」にも生かされている。同社のIT運用管理ソリューション群では、生成AIを活用した高度なデータ分析を提供しており、こうしたAI技術が各製品に横断的に組み込まれている点も特徴だ。

　「UEMではディープラーニング機能やAIを活用したNGAV（次世代アンチウイルス）を搭載し、特権ID管理ではAIによるアノマリー検知機能を実装してセキュリティを強化しています」

　ManageEngineのラインアップで、より効果的にIDを狙った脅威を防御、検出、対応できるようにするのが、SIEM（Security Information and Event Management）製品の「Log360 Cloud」だ。

　SIEMは、今後のロードマップに、誤検知を自動で判別して対応不要として処理を完了させるエージェント型AI機能の導入を盛り込んでいる。オーケストレーション分野では、業務への影響が比較的小さい運用作業を対象に、SOAR（Security Orchestration, Automation and Response）を活用して修復対応を自動化するAIの実装も検討する。

　「EDR（Endpoint Detection and Response）やNDR（Network Detection and Response）などからデータを集約し、相関分析を行って異常が検知されたら即座に通知します。社内のIT環境で『どういったイベントが起きているのか』を隅々まで分析して脅威を可視化するので、攻撃への迅速なレメディエーション（修復、回復）が可能です」

「Log360 Cloud」脅威分析機能の使用イメージ（提供：ゾーホージャパン）《クリックで拡大》

　同社が2025年12月5日に開催した「ManageEngine Customer Day」では、Log360 CloudのAIを活用した新機能「Zia Insights」として、AI駆動のコンテキスト化と、過剰なアラートによる運用負担を軽減する脅威検出エンジンを発表した。

　同製品のSIEM機能では、AIで検知されたセキュリティイベントやアラートを要約し、SOCチームが原因を迅速に特定できるよう支援している。

　Zia Insightsは、LLMベースの分析をSOCのワークフローに取り込む。アラートやインシデントの背景や関係性を整理した分析結果を生成し、攻撃者の行動様式のマッピングやタイムライン構築、推奨される対応策を提示する。これによってハイブリッド環境全体の迅速かつ明瞭な対処が可能だ。

　再設計された脅威検出エンジンは、MITREマッピングルール^※、機械学習ベースの脅威検出、相関検出、脅威インテリジェンスを単一ワークフローに統合するコンソールを備える。同社は、2000を超えるルールを更新してクラウドから配信する。精密なルールによるフィルタリングとチューニングされた洞察を組み合わせてセキュリティチームを支援する。

※ 米国の非営利団体MITREが定めるフレームワーク。

　これらの機能強化は誤検知を大幅に削減し、正確性の高いセキュリティ調査を可能にする。誤検知の削減は、IT／セキュリティ運用における大きなテーマであり、同社は誤検知を防ぐAIを研究している。イベントの影響度を判断するAIを検知機能に搭載し、誤検知を早い段階で防ぐことを目指す。

　「最初のフィルターとして特権エンティティフィルターを適用しています。管理者などの高権限ユーザーアカウントやセキュリティグループ、デバイス、アプリケーション、サーバ、ストレージといった重要なリソースを対象に、検知レイヤーで誤検知アラートを除外する仕組みです。その後、アラートデータを受け取った段階で、通常とは異なる挙動を検知する仕組みを用いて、第二段階のフィルタリングを行います。二段階のプロセスによって誤検知は全体の20〜30％程度まで抑えられています。

　今後は、AIを活用して、誤検知を検知レイヤーの段階で自動的に判別し、そのまま対応不要として処理を完了させる仕組みの実装を目指しています。このような取り組みは、現在も市場で研究が進む領域であり、弊社は2026年中の提供開始を目標に開発しています」

IT運用とセキュリティ対策、そのためのAI活用に悩む企業へ

　本社のZoho Corporationは、インドに拠点を置くグローバルITカンパニーとして、世界各地で事業を展開している。日本企業にはどのようにAI機能を提供するのだろうか。

　タンガラジ氏は「ヨーロッパと同じぐらいのキャパシティーで提供しています」とした上で、「日本企業は、実績のある技術を重視する傾向がありますが、Zoho／ManageEngineは、グローバル競争の中で、AIを含めテクノロジーを進化させています。ManageEngineの導入で最新技術を取り入れられるメリットは大きいでしょう」と強調する。

　ManageEngineは、ブラウザベースの手軽さと、マニュアルレスで使える分かりやすさなどを強みに、多くのユーザーのIT運用を長年支援してきた。自社でAIモデルやLLMを開発する姿勢を含め、これまでの経験値を注ぎ込んだ同社のAI機能も強みに加える。国や地域ごとの要望やコンプライアンスに合わせてAIモデルをチューニングしており、日本では、顧客管理や人事関連の製品で、労働基準法などに準拠する形で機能をカスタマイズした上で提供している。

　IT運用とセキュリティを切り分けず、運用業務の中でセキュリティを強化することが求められている今、増加する運用負荷を軽減するために、AI活用が有力な選択肢となっている。一方、AI活用には社内のさまざまなデータを集約する必要がある。さまざまなデータにアクセスするAI搭載製品のセキュリティ性能は十分にチェックしたいが、安全かどうかの判断が難しい。こうした悩みを持つ日本企業にタンガラジ氏は「専任チーム」を作ることを勧める。

　「日本企業はAI導入やクラウド展開に興味を持つ企業が多い印象です。しかし、AIを導入したからといって何でも簡単にできるようにはなりません。AI搭載製品を導入する際は、専任チームなどで各製品を注意深く研究すべきです。メリット／デメリットを認識した上で、専任チームが判断して選定することが重要です。情報漏えいなどに注意し、安全性の高いAI搭載製品を選定することをお勧めします」