「事後対応」中心の運用から脱却する「AIセキュリティ」の始め方 Google解説:「最初の6カ月」にやるべきこと
Google Cloudは、政府機関や重要インフラを守るCISO向けに、AIを活用した防御の始め方を解説するガイドを公開した。管理業務の負荷をAIで軽減し、脅威ハンティングや構造的な統合へ段階的に移行するロードマップを示している。
Google Cloudは2026年5月29日(米国時間)、公式ブログ「Cloud CISO Perspectives」で、公共部門のCISO(最高情報セキュリティ責任者)に向けて、AIを活用したセキュリティプログラムの構築方法を解説した。執筆したのは、Google Public SectorのフィールドCISOであるウスマン・チャウダリー氏だ。
チャウダリー氏は、現場スタッフの運用負荷を管理しながら、適応力のあるAI拡張型の防御を構築するための、具体的で実行可能なステップを提示している。全てを一から開発する必要はなく、独自社内ワークフローの構築、確立された商用AI機能の購入、それらを既存のセキュリティスタックに統合する、という3つを戦略的に組み合わせるのが基本になると解説している。
AI時代に「事後対応」は限界 AIを活用したセキュリティの効率的な始め方
AIに対応したセキュリティプログラムの構築は、長期的なプロセス(ジャーニー)となる。Googleは、まずは即座に導入可能で価値の高いユースケースと、最初の6カ月以内に実践すべき具体的なタスクに焦点を絞って取り組むべきだと提唱している。最初の6カ月で取り組む戦術的な目標を次のように解説している。
1.経営層との連携と事業価値の説明
目標は、技術的な専門用語で予算を正当化するのではなく、財務リスクや業務効率の観点からレジリエンス(回復力)を説明できるようになることだ。
AIを活用した取締役会向けレポート作成(即時)
複雑な技術データを、事業への影響が分かる形で説明する。AIモデルに生データを統合して、封じ込め指標、市民向けサービスへの潜在的影響、重要な製造ラインの稼働状況などを含む簡潔な2ページ程度のリスク報告書を作成させる。
ベンダーと支出の最適化(即時)
ベンダーの機能比較表や契約書を「NotebookLM」のようなAIエージェントに取り込み、セキュリティスタック内の重複機能を特定させる。これにより、ツールの統合と予算の最適化に向けた明確なアプローチを導き出す。このインサイトを第三者機関の評価と照合し、説得力のある根拠を補強することが重要だ。
2.プロセス最適化と運用負荷の削減
目標は、AIを「最終判断者」ではなく「支援者」として活用することだ。最終決定はAIに任せず、認知的負荷を軽減するために活用する。
コンテキスト収集とSOCトリアージの自動化(即時)
SOC(セキュリティオペレーションセンター)の一次対応担当者は、ログからの情報収集やアラートのトリアージに多くの時間を費やしている。専用の大規模言語モデル(LLM)やSIEM(Security Information and Event Management)、SOAR(Security Orchestration, Automation and Response)を活用して、これらの情報を自動的に統合し即座にトリアージできるようにする。
脅威インテリジェンス分析(6カ月以内)
業界アドバイザリーをLLMが毎日取り込み、自組織や業界に関連する内容だけを優先順位付きで要約する仕組みを構築する。侵害指標(IOC)の抽出とルールエンジニアリングをネイティブに自動化するセキュリティプラットフォームを使用する。
SOP(標準作業手順書)の整理とエージェント作成(6カ月以内)
過去のインシデント対応記録やSOPをAIに取り込み、ナレッジベース型エージェントを構築する。最も頻繁に実施される手作業のプロセスを上位5件特定し、コーディングエージェントを使って文書化と自動化を進める。
3.人材育成と能力強化
目標は、セキュリティ担当者がAIを脅威と見なすのではなく、AIを構築・活用する側へ成長できるよう支援することだ。
自然言語からクエリへの変換(6カ月以内)
SOC内のスキルギャップを埋めるため、安全な対話型AIアシスタントやチャットbotを提供し、自然言語による脅威の仮説をSIEMクエリへ変換し、実行できるようにする。
AI活用型セキュリティ教育(6カ月以内)
LLMを活用して、自社環境のアーキテクチャに合わせた一回限りのレッドチームシナリオや訓練用スクリプトを生成し、実環境に近いシミュレーションによる実践的な教育を実施する。
戦略フェーズ:6〜12カ月
目先の管理業務の負担を軽減した後は、今後6〜12カ月でセキュリティ態勢の強化、プロアクティブな脅威ハンティング、構造的な統合へと重点を積極的に移すべきだという。
4.セキュリティ態勢の強化と脅威ハンティング
目標は、チームを単なる事後対応型から、継続的な防御を実践する体制へ移行させることだ。
コンテキストを考慮した脆弱(ぜいじゃく)性の優先順位付け
AIエージェントを導入し、脆弱性スキャナーの出力結果と自社環境の情報、最新の脅威インテリジェンスを関連付ける。これにより、実際の環境への露出状況に基づいて脆弱性を評価し、優先順位を付ける。
AI支援によるアーキテクチャ脅威モデリング
システムの設計書や構成図をAIに見せて、セキュリティ上の問題点をレビューさせる。AIは優先度付きのリスク一覧を生成し、ビジネスロジック上の欠陥やデータ流出リスクを早期に発見する
プロアクティブな脅威ハンティング
AIを脅威ハンティングのアドバイザーとして活用する。「MITRE ATT&CK」に基づいた仮説を生成し、その仮説を検証するために必要なログソースを提案させ、アナリストが行き詰まった際には調査の方向転換を支援させる。
最終的には、新たなIOC(侵害指標)を検知した際に自動的にハンティングを開始し、適切なデータを選択して検索して、調査結果を提示する完全自動型のハンティングエージェントへの移行を目指す
継続的レッドチームエージェント
自律型または半自律型のレッドチームエージェントを導入し、防御体制を継続的に評価する。これらのエージェントが発見した脆弱性や攻撃経路を、脅威インテリジェンス分析、SOCプレイブック、コンテキストを考慮した脆弱性優先順位付けへ直接反映させる。
5.高度なガバナンスとインシデント対応
目標は、AIがコードを生成する環境に対応した構造的なガードレールを整備し、高ストレスなインシデントにも備えることだ。
ポリシーおよびコンプライアンスのギャップ分析
新しい運用計画やクラウドアーキテクチャが、社内ポリシーや公的セキュリティ評価、米国国立標準技術研究所(NIST)のセキュリティガイドラインなどの厳格な規制要件に抵触していないかどうかを迅速に確認する。ガバナンス関連文書を事前に学習させた隔離型エージェントを活用し、新規プロジェクト案をレビューして違反箇所を特定する。
対話型インシデントレスポンス(IR)プレイブック
机上演習や静的なPDFプレイブックは、実際の侵害発生時には十分機能しないことが多い。過去のインシデント対応チケットやSOPを学習した社内エージェントを構築する。
インシデント発生時には、このエージェントが対話型ガイドとして機能し、進行中のインシデントの状況やテレメトリー情報に応じて内容を調整しながら、段階的な封じ込め手順を提示する。
プルリクエスト(PR)段階でのセキュアコードレビュー
自社の開発パイプラインにもAIを適用する。高度なLLMベースの監査機能をCI/CD(継続的インテグレーション/継続的デリバリー)パイプラインに必須のセキュリティゲートとして組み込み、AI生成コードに含まれる脆弱性を検出し、安全でないコミットが本番環境へマージされる前に自動的に阻止する。
攻撃可能期間の短縮に対応する自律型防御
コードベース全体を継続的にマッピングして優先順位付けし、リスクの高いコードをAIで詳細に分析し、修正内容を自律的に検証・適用した上で、実行環境を継続的に監視する多段階ワークフローが必要だ。
AI対応セキュリティへの移行に向けたファーストステップ
Googleは、AIを活用したセキュリティプログラムへの移行について「技術的な導入障壁はかつてないほど低くなっている」と指摘する。
「アラートへの事後対応中心の運用から脱却し、組織固有のコンテキスト、構造化された自動化、迅速なガバナンスへ重点を移すことで、現代の脅威に先んじながら運用負荷も軽減できる」(Google)
同社は「スモールスタートが重要だ」とした上で、アラートトリアージの自動化や、頻度の高い上位5件のSOPの整理といったロードマップ上の「即効性の高い施策」を1つ選び、AI時代に適応するための組織的な習慣作りから着手することを推奨している。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
セキュリティ運用「自動化やAI活用が不可欠」言うは易し――現状プロセスを分析する4つの方法、AIも働きやすくする3つの環境整備ポイント
2025年6月2日、ITmedia Security Week 2025 春の『人材不足、スキル不足を解決する「セキュリティ運用自動化」』ゾーンで、GMOサイバーセキュリティ by イエラエ 執行役員の阿部慎司氏が「セキュリティ運用自動化の3つの要点と実例 〜省力化・安定化・拡張化〜」と題して基調講演に登壇した。積極的にセキュリティの第一人者を集めている同社で、阿部氏はどのような方向性で“自動化”について考えているのだろうか。
日本ハッカー協会の杉浦氏が明かす「早く帰れる」セキュリティ運用自動化の始め方――生成AIにも頼れる、自動化の勘所とは
2024年9月2日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 夏」における「セキュリティ運用自動化」ゾーンで、日本ハッカー協会 代表理事 杉浦隆幸氏が「セキュリティ運用自動化をなぜ始めるべきか」と題して講演した。
ランサムウェア、失敗対応に学ぶ「4つの教訓」
数々のランサムウェアグループが攻撃を激化する中、インシデント対応で失敗して経営的な打撃を被る事例が後を絶たない。セキュリティベンダーが提供する“事後”対応サービスの契約方法に、ある変化が表れている。
「コーディングはボトルネックだったためしがない」 AI駆動開発の盲点と成果が出ない理由、Gartnerが明かす
AIを導入しても生産性が上がらないのはなぜか。Gartnerのヘルシュマン氏は「コーディングはボトルネックではない」と断言。AIによって組織の“ひび”が露呈する時代に、AIの真の成果を引き出すソフトウェア開発のポイントを明かした。