Sophos AI エージェント：MDR の高速化とエージェント型 SOC への進化

AI によってサイバーセキュリティの在り方は変貌しています。攻撃者は AI を活用して偵察を迅速化し、マルウェアを生成し、フィッシングをパーソナライズし、攻撃チェーンの一部を自動化しています。防御側は今、アナリストの能力強化、意思決定の迅速化、成果の向上のために AI の導入が求められる「人間とマシンの融合」という課題に直面しています。

ソフォスはほぼ 10 年にわたって製品群全体に AI を組み込んできました。そして現在、エージェント型 AI がその戦略の中核を担っています。

Sophos Managed Detection and Response (MDR) では、アナリストによる確実な統制のもとで、エージェント機能によって初期段階のトリアージと調査を自動化します。その結果、より迅速な検知と対応、そしてより効率的な SOC が実現します。

Sophos MDR における AI エージェントの活用方法

AI エージェントは、人間の指示を必要とせず、定義されたワークフローを実行する自律型エンジンです。アナリストの質問に答える AI アシスタントとは異なります。

Sophos MDR は現在、ソフォスの社内 AI チームによって設計され、MDR アナリストとの協働によって改良された 2 つの実用レベルの AI エージェントを使用しており、これによってケース処理の高速化と SOC の効率化を実現しています。

トリアージエージェント：ノイズを減らし、重要な事象を優先

トリアージエージェントは常時実行され、新たな検知が発生した瞬間にアクティブになります。

このエージェントの機能：

• 相関アイデンティティや過去のテレメトリなど、コンテキスト信号を分析する
• 安全なペネトレーションテスト活動を識別する
• 重複する検知や冗長な検知を排除する
• ケースの重大度を割り当て、アナリストによるレビューの必要性を判断する

この自動トリアージにより、アラートのノイズが 60% 以上削減され、アナリストは本当に重要なイベントに集中できるようになります。

ケース調査エージェント：迅速かつ根拠が明確な調査

レビュー対象としてエスカレーションされたケースは、ケース調査エージェントに引き継がれます。 

このエージェントの機能：

• ランタイムテレメトリと相関検知を用いて動作タイムラインを構築する
• 侵害の痕跡 (IoC) に関連情報を追加し、レピュテーションチェックを実施し、コマンドライン活動 (難読化解除など) を分析する
• 脅威に合わせて動的な調査手順を生成する
• 証拠を繰り返し検証し、新たな情報が出てくるたびに計画を調整する
• 明確で説明可能な判定と推奨アクションを提示する

このエージェントは、調査にかかる平均時間を最大 50% 短縮し、構造化された監査可能な基盤をアナリストに提供することで迅速な意思決定を可能にします。

人間による検証は依然として中心的な役割を担っています。エージェントが作業を加速させる一方で、Sophos MDR アナリストが調査結果を検証し、結論を精査し、対応を実施します。

測定可能な SOC 成果の提供

Sophos AI エージェントは次のようにあらゆる段階で MDR オペレーションを強化します。

アナリストによる迅速な対応：日常的な重大度の低いイベントは自動的に処理されるため、アナリストは影響の大きい脅威に直ちに集中できます。

より迅速な調査：エージェントが早期の兆候を可視化し、データを充実させ、すぐに検証可能な結論を提供します。

専門知識を常時利用可能：エージェントは、Sophos MDR のプレイブック (対応手順書) とアナリストの経験から得た集合知を大規模に適用します。

アナリストの作業効率を向上：自動化により、アナリストは複雑な脅威ハンティング、封じ込め、攻撃者の妨害に集中できます。

継続的な改善：調査が進む過程で新たな脅威が検知されると、エージェントは即座に反応し、新しい IoC の背景情報が追加されます。

これらの機能により、Sophos MDR のお客様の平均検知時間 (MTTD) および平均対応時間 (MTTR) が短縮されます。

Sophos AI エージェントの仕組み

ケーストリアージエージェント：初期対応を自動化

トリアージエージェントは、次のような構造化された一連のアクションを実行します。

• エンティティと観測対象 (ホスト、ユーザー、プロセス、IoC) の抽出
• ペネトレーションテスト活動の分類
• 関連する検知の紐付けによる、ケース重複の防止
• コンテキストシグナルに基づく重大度の判定

これにより、アナリストは最も関連性が高く影響度の大きい脅威に時間を割くことができます。

ケース調査エージェント：詳細な適応型分析

ケース調査エージェントは、連携している 3 つのサブエージェントを使用します。

• 計画生成：動的な調査手順を作成します。
• 実行：クエリを実行し、API 呼び出しを行い、結果を取得します。
• 分析：IoC にデータを追加して拡充し、エンティティを抽出し、調査状態を更新します。

エージェントは、判定、要約、IoC、タイムライン、推奨アクションを含む包括的なレポートを作成するのに十分な証拠が得られるまで、調査を繰り返します。

これらのエージェントは常時稼働する調査パートナーとして連携し、早期のケース処理を加速させ、構造化された説明可能な成果を提供します。

エージェント型でありながら人間中心

ソフォスにおけるエージェント型 AI へのアプローチは、以下の 3 つの原則に基づいています。

• 組み込み型 AI：AI は MDR ワークフローに直接組み込まれており、後付けではありません。
• 透明性：すべての自動化されたアクションは、説明可能かつ監査可能です。
• 人間の介在：アナリストが常に責任を持ち、権限を維持し続けます。

これらの原則により、エージェント型 AI は人間の専門知識に置き換わるものではなく、人間の専門知識を増幅させるものとなります。

Sophos AI エージェントはすでに、ノイズの削減、調査の迅速化、高度な人間主導型攻撃に対する防御強化を通じて、MDR のお客様に目に見える改善をもたらしています。

今後のエージェント型 SOC

MDR の AI エージェントは、より広範なエージェント型 SOC 構想に向けた第一歩です。ソフォスプラットフォーム全体で、以下のようなエージェント機能を拡張しています。

• 仮説生成、コンテキスト収集、対策提案を行う強化されたエージェント
• ネットワーク、アイデンティティ、メール、クラウドへのカバレッジの拡大
• XDR のお客様およびパートナー向けの AI エージェント
• AI + SOAR によるハイパーオートメーション
• 統合された AI ガバナンス、可視性、およびランタイムセキュリティ

この次世代 SOC は、アナリストのインパクトを拡大し、一貫した高品質なセキュリティ成果を提供する、自律的かつ監視下に置かれたエージェントを搭載しています。

詳細はこちら

ソフォスの AI テクノロジーについてはSophos.com/AI をご覧ください。Sophos MDR の詳細については、Sophos.com/MDR をご確認ください。また、ソフォスの AI 原則および責任ある AI に関する FAQ は、Sophos Trust Center でご覧いただけます。