AI主導のサイバーセキュリティ：技術、事例、ベストプラクティス

AIを活用したサイバーセキュリティとは？

AI主導のサイバーセキュリティは、脅威の検知、対応、予防を強化するために人工知能を使用します。AIアルゴリズムは、膨大な量のデータを分析し、パターンを特定し、新たな脅威に適応することで、サイバー攻撃に対するプロアクティブかつ自動化された保護を提供します。これには、異常、マルウェア、侵入の検出のほか、侵害されたシステムの隔離や悪質なトラフィックのブロックなどの対応の自動化も含まれます。

サイバーセキュリティのワークフローにAIが統合されたことで、脅威の管理方法が変わりました。人間のアナリストが対応するのを待つのではなく、AIモデルが自動的にアラートのトリアージ、インシデントの優先順位付け、さらには手動による監視なしにミティゲーション・アクションを開始することができます。

これらの機能は、大量のトラフィック、限られた人員、または洗練された敵が存在する環境では非常に重要です。AI主導のセキュリティは、応答時間を大幅に短縮し、ルールベースのシステムをすり抜けるような異常をキャッチすることで、侵害の影響を抑えることができます。

これは、AIサイバーセキュリティに関する一連の記事の一部である。

AIサイバーセキュリティを支えるコアテクノロジー

機械学習とディープラーニング・モデル

機械学習（ML）モデルは、ログ、ネットワーク・フロー、ユーザー・アクティビティなどの構造化・非構造化データを大量に取り込み、システムやネットワーク・エンティティの基本動作を学習します。学習されたモデルは、通常のパターンからの微妙な逸脱を検出し、検出されない可能性のある悪意のあるイベントにフラグを立てることができます。

ディープラーニングは、複数のレイヤーを持つ複雑なニューラルネットワークを活用して膨大かつ複雑なデータセットを分析し、浅いモデルでは見逃す可能性のあるトラフィックやアプリケーションの動作のニュアンスを捉えることで、これらの能力を拡張します。セキュリティの文脈では、教師あり学習と教師なし学習の両方のアプローチが採用されている。

自然言語加工脅威インテリジェンス

自然言語処理（NLP）は、AIシステムが多様なデータソースから人間の言葉を取り込み、読み取り、理解することを可能にします。サイバーセキュリティでは、NLPは、セキュリティ勧告、インシデントレポート、フォーラム、ダークウェブなどの非構造化テキストからの脅威インテリジェンスの抽出と要約を自動化します。

また、NLPを搭載したシステムは、言語やプラットフォームを横断してデータポイントを相関させ、セキュリティの主流チャネルに到達する前に新たなトレンドを検出するのに役立ちます。センチメント分析、エンティティ認識、トピックモデリングを適用することで、アナリストは関連する脅威に優先順位を付け、攻撃者の動機や戦術をより深く理解することができます。

守備と攻撃の文脈における生成AI

GPTのような大規模言語モデルや画像合成ネットワークを含む生成AIは、サイバーセキュリティにおける攻撃と防御の両方を破壊している。防御側では、生成AIはインシデント対応チームを訓練するための現実的なシミュレーションの作成や、検知アルゴリズムをテストするための合成データセットの開発に役立っている。

多様な攻撃シナリオを生成することで、防御者は実世界の条件下でセキュリティ制御のパフォーマンスを厳密に評価することができる。逆に、ジェネレーティブAIは攻撃者の武器にもなっている。攻撃者は言語モデルを使用して、説得力のあるフィッシングメールを作成したり、脆弱性の発見を自動化したり、最小限の技術スキルで悪意のあるコードを生成したりすることができます。

自己学習と自律システム

自己学習型システムは、常に新しいデータに基づいて再学習し、脅威の状況の変化に応じて検知能力を向上させます。事前定義されたロジックや定期的な手動更新に依存するのではなく、自己学習モデルはリアルタイムで適応し、明示的なプログラミングなしに新しい攻撃手法や行動を識別します。

自律型AIシステムは、セキュリティ・オペレーション・センター（SOC）内で仮想的なアナリストやレスポンダーとして機能することで、このコンセプトを拡張する。事前に定義されたプレイブックを実行し、脅威を修復し、侵害されたリソースを隔離し、必要に応じてインシデントをエスカレーションすることができます。自己学習と自律性の組み合わせにより、人的チームの負担が軽減される。

サイバーセキュリティにおけるAIの主な応用例

脅威検知および異常の識別

AIは、大量のセキュリティ・データを分析して異常を発見することで、リアルタイムの脅威検知に優れています。機械学習モデルは、ユーザー、デバイス、アプリケーションの通常の動作を自動的に学習し、異常なログイン時間、データ転送、プロセス実行などの逸脱にフラグを立てます。このアプローチにより、従来のルールベースのシステムでは発見が困難であった内部脅威、横の動き、ゼロデイ攻撃の早期発見が可能になります。

AIによる異常識別は、アラートの精度も向上させ、ノイズを減らし、誤検知を最小限に抑えます。アナリストを反復的なアラートや良性のアラートで圧倒するのではなく、AIシステムがリスクを文脈化し、重大な異常に優先順位を付け、関連するイベントを結び付けて効率的に調査します。

予測的リスク評価

予測リスク評価では、AIを使用してセキュリティ・イベントの可能性と潜在的な影響を予測します。脅威インテリジェンス、リアルタイムの監視データ、環境コンテキストを関連付けることで、AIモデルは、侵害のリスクが最も高いシステムやプロセスを予測することができます。これにより、プロアクティブなパッチ適用、脆弱性の優先順位付け、実際のリスクに基づくセキュリティ・ポリシーの動的な調整が可能になります。

これらの予測機能により、セキュリティチームのリソース配分が改善されます。自動化されたリスクスコアリングは、技術レベルと経営レベルの両方で意思決定に情報を提供し、時間の経過とともに測定可能なリスクの低減と、利害関係者へのリスクの効果的な伝達を可能にします。

インシデントレスポンスの自動化

自動化されたインシデントレスポンスは、脅威が確認された際に、AIを活用して事前定義された、または適応的な修復アクションをオーケストレーションし、実行します。AIを活用したプラットフォームでは、脅威を検知すると、感染したデバイスの隔離、悪意のあるIPアドレスのブロック、侵害されたユーザーアカウントの無効化、カスタムファイアウォールルールの導入などを数秒で実行できます。この迅速な封じ込めにより、攻撃者による特権の昇格やデータの流出の機会が制限されます。

封じ込めにとどまらず、AIはキルチェーンをマッピングし、さらなるステップを推奨することで、インシデントの調査を導くことができます。自動化されたインシデント対応により、特にグローバルな事業展開やセキュリティ担当者の人員が限られている組織では、24時間体制の保護が保証されます。また、インシデント発生後の報告やコンプライアンスも簡素化されます。

行動分析およびユーザーエンティティ行動分析

AIによる行動分析は、ユーザーやエンティティ（サービスアカウントやIoTデバイスなど）の典型的な行動をモデル化することに重点を置いています。長期にわたってパターンを追跡することで、AIは、漏洩した認証情報、内部の脅威、ネットワーク内の横方向の動きを示す微妙な行動の変化を検出することができます。

UEBA（User Entity Behavior Analytics：ユーザー・エンティティ行動分析）は、機械学習を応用してイベントを相関させ、単独では良性に見えるような不審な行動の連鎖にフラグを立てる。

AIを活用した行動分析によって、適応型認証やリスクベースのアクセス制御も可能になる。異常な行動が観察された場合、認証要件をエスカレートさせたり、アクセスを自動的に制限したりすることができる。このダイナミックなアプローチは、機密資産を保護し、最新のハイブリッド環境の流動的なリスクプロファイルに適応するために不可欠です。

不正行為の検出と防止

AIは、オンライン・バンキング、eコマース、デジタル決済など、さまざまなチャネルにおける複雑で急速に進化する詐欺スキームを発見するのに特に効果的です。取引データ、ユーザープロファイル、行動の手がかりをリアルタイムで相関させることで、AIシステムは不正な活動、偽装ID、アカウント乗っ取りの試みにフラグを立てることができます。機械学習モデルは、正当な取引と不正な取引の両方から学習します。

AIを活用した不正防止プラットフォームは、盗まれた認証情報の連携利用や新たな詐欺手法など、新たな攻撃戦略に即座に対応することができます。AIは検知だけでなく、取引の凍結、ステップアップ認証の要求、影響を受けるユーザーへの即時通知など、疑わしい行為への対応を自動化することもできる。

AIを活用したセキュリティ・アーキテクチャの例

AIを活用したSOC業務

セキュリティ・オペレーション・センター（SOC）は、セキュリティ・アラートの量と複雑さを管理するために、ますますAIに依存しています。AI主導のプラットフォームは、侵入検知システム、エンドポイントログ、クラウド・アクティビティ・ストリームなどの多様なソースから受信するアラートを自動的に分類、相関、トリアージすることができます。この自動化により、アナリストの疲労を軽減し、インシデントの検証を迅速化し、SOCチームはより価値の高い調査に集中することができます。

アラートのトリアージに加え、AIは隠れた攻撃パターンを発見し、時間やシステムにまたがるイベントをリンクすることで、脅威の発見とフォレンジックを強化します。AIシステムの継続的な学習機能により、SOCは脅威行為者の戦術に合わせて進化し、インシデント対応のワークフローを簡素化し、人員を増やすことなく24時間365日の効率的な監視を維持することができます。

AI主導のネットワーク検知と応答（NDR）

ネットワーク検出および対応ソリューションは、機械学習を使用して、企業環境内の東西および南北のトラフィックを監視します。AIモデルは、通常のネットワーク・フローをベースラインとし、横方向の動きを示す逸脱を検出し、コマンド・アンド・コントロールやデータ流出を示す疑わしい接続にフラグを立てます。シグネチャベースのネットワーク監視とは異なり、AI駆動型NDRは、暗号化トラフィックと非構造化トラフィックにおける既知および新規の攻撃ベクトルを識別します。

自動応答機能により、NDRプラットフォームは悪意のあるトラフィックをブロックまたは迂回させ、侵害されたセグメントを分離し、他のセキュリティツールにリアルタイムで警告を発します。脅威インテリジェンスフィードと統合することで、これらのソリューションは新たな脅威に対して検出ロジックを適応させ、迅速なフォレンジックとコンプライアンスレポートをサポートします。

インテリジェントなクラウドと電子メールのセキュリティ

クラウドサービスやメールシステムは、攻撃者にとって最も狙われる侵入口のひとつです。AIを搭載したセキュリティ・ツールは、クラウド・プラットフォームにおけるユーザー・アクティビティ、APIアクセス、ドキュメント共有を監視し、危険な行動や不正アクセスを特定します。電子メールでは、AIがメタデータ、メッセージの内容、埋め込まれたURLや添付ファイルを分析し、フィッシング、ビジネスメールの侵害、マルウェア配信の試みを検知します。

インテリジェントなクラウドおよび電子メールセキュリティプラットフォームは、ユーザー、デバイス、および外部の脅威インテリジェンスのシグナルを相関させることにより、リスクベースのポリシーを適用し、きめ細かな制御を実施し、悪意のある電子メールの隔離やシャドーIT統合のブロックなどの修復ステップを自動化します。

OTと重要インフラ保護におけるAI

産業制御システム、エネルギー・グリッド、公益事業などの運用技術（OT）環境は、独自のセキュリティ課題を抱えています。AIは、分散型センサーネットワーク、プログラマブルロジックコントローラ（PLC）、重要なハードウェアに行動分析と異常検知をもたらし、サイバーフィジカル攻撃や内部脅威を示唆する運用上の逸脱を特定します。

これらのモデルは、OTシステム特有のリズムを継続的に学習し、通常の変動と真のインシデントを区別します。AI主導のセキュリティ・アーキテクチャは、脅威の検出とインシデント対応を自動化し、アラートのトリガー、侵害された機器の隔離、安全性と稼働時間を維持するためのプロセス自動化の調整を行います。

セキュリティにおけるAIのダークサイド：AIが引き起こす新たなサイバー脅威

サイバーセキュリティにおけるAIは諸刃の剣である。より強力な防御を構築するのに役立つ一方で、脅威行為者がより有害な攻撃を仕掛けるために利用することもできる。AIによるサイバー脅威の例をいくつか紹介しよう。

AIを駆使したフィッシングとソーシャル・エンジニアリング

AI駆動型フィッシングは、生成モデルを使用して、高度にパーソナライズされ、文脈を認識したメッセージ（電子メール、テキスト、ソーシャルコンテンツ）を作成し、本物のトーン、文体、話題の言及を模倣します。これらのメッセージは、公開されているデータ（ソーシャルメディアの投稿や企業ニュースなど）を利用して、スピアフィッシングを大規模にカスタマイズする。

機械学習エンジンは、件名ライン、タイミング、コンテンツバリアントのA/Bテストを自動化し、クリックスルー率と妥協率を最適化することができます。AIはまた、音声通話やビデオ通話のディープフェイクを可能にし、既知の同僚や幹部になりすまして被害者をリアルタイムで操作します。

ディープフェイクと合成メディア攻撃

ディープフェイク技術は、生成的敵対ネットワーク（GAN）または拡散モデルを使用して、欺瞞のためのリアルな合成音声、映像、画像を生成します。サイバー脅威の文脈では、ディープフェイクは、バイオメトリクス認証（音声認識や顔認識など）を回避したり、ビデオ会議中に幹部になりすまして不正な取引を承認したり、偽のコンテンツを流布して風評被害を与えたりすることができます。

このような合成人工物は、多くの場合、人間の検知を回避する微妙なリアルさをもって、迅速かつ大規模に作成されます。攻撃者は、ディープフェイク・メディアを、緊急の「CEOからのビデオ通話」を財務担当者に送信するなどのソーシャル・エンジニアリングと組み合わせて、被害者を操作することがあります。

敵対的AIとモデル・ポイズニング

敵対的AIは、攻撃者が入力（ネットワークトラフィック、画像、または符号化されたデータ）に微妙な摂動を加え、MLベースの検出器を欺き、悪意のある活動を誤分類または無視させることを含む。このような摂動は多くの場合知覚できないが、そうでなければ効果的なモデルを無効にすることができる。

モデルポイズニングとは、悪意のあるサンプル、誤ったラベル付けをされたデータ、微妙に細工された入力を注入することによって学習パイプラインを破壊し、AIシステムが誤った関連付け（例えば、マルウェアを良性として扱う）を学習することを指す。ポイズニングは、共有データセット、公開リポジトリ、または連携学習システムに対するサプライチェーン攻撃によって発生する可能性があります。

このような敵対的な手口は、時間の経過とともに検知精度を低下させ、診断が非常に困難になります。防御者は、敵対的なトレーニング、データのサニタイゼーション、学習アルゴリズム、トレーニングデータの整合性のモニタリングなどのテクニックを用いてモデルを強化する必要があります。

AIが生成したマルウェアと悪意のあるGPT

AIが生成するマルウェアとは、言語モデルやニューラル・コード・ジェネレータを使用して自動的に作成または難読化された悪意のあるコードを指します。これらのツールは、攻撃者の手作業を最小限に抑えながら、ポリモーフィックなペイロード、回避スクリプト、またはカスタマイズされたエクスプロイトを生成することができます。

悪意のあるGPT（または他のAIエージェント）は、攻撃ライフサイクルの段階（偵察、エクスプロイト開発、ペイロードパッケージング、配信）を自動化する、微調整またはプロンプトエンジニアリングされたインスタンスです。AIツールを連鎖させることで、攻撃者は「ゼロからペイロードまでの」ワークフローを自動化し、コードを適合させ、シグネチャを難読化し、検知されないように配信チャネルを変化させることができます。

大規模な自動脆弱性探査

大規模な自動エクスプロイトでは、AIを活用して幅広いIP範囲やアプリケーションスタックの脆弱性をマシンスピードでスキャンし、悪用します。手作業でスキャンしてエクスプロイトを作成する代わりに、AIエージェントは脆弱なエンドポイントを自律的に検出し、カスタマイズされたエクスプロイトコードを生成し、攻撃キャンペーンを並行してオーケストレーションすることができます。

これらの自律型エージェントは、価値の高いターゲットに優先順位をつけ、マルチベクトル攻撃を計画し、リアルタイムで防御制御に適応することができる。その結果、キルチェーンが劇的に圧縮され、人間の防衛力を凌駕する。

関連コンテンツガイドを読むセキュリティAIエージェント 

サイバーセキュリティにおけるAI導入のベストプラクティス

ここでは、組織がサイバーセキュリティにおいてAIを最大限に活用する方法をいくつか紹介する。

1.リスクとユースケースのコンテキストを理解し、定義する。

サイバーセキュリティにAIを導入する前に、組織は脅威の状況と運用環境をマッピングする必要がある。これには、最も価値のある資産（顧客データ、専有コード、OTシステムなど）を特定し、潜在的な攻撃ベクトルを評価し、どの敵がビジネスモデルに最も関連しているかを理解することが含まれる。小売企業であれば不正行為の検知を優先するかもしれないし、SaaSプロバイダーであればユーザー・セッションやAPIの不正利用のセキュリティ確保に重点を置くかもしれない。

次に、AIが従来のアプローチに対して明確なメリットをもたらす具体的なユースケースを定義する。異常検知、フィッシング・メールのフィルタリング、インシデントの自動トリアージなど、データ量が多く、繰り返し分析が必要で、リアルタイム性が求められるシナリオから始めましょう。例えば、誤検知を30％減らす、平均検知時間（MTTD）を半分に短縮する、アカウントの侵害を5分以内に検知する、など具体的な目標を設定する。

AIプロジェクトをリスク選好度および運用能力に合わせる。誤検知を許容できない環境であれば、完全自動化ではなく、意思決定をサポートするユースケースから始める。スピードが重要な場合は、事前に定義されたプレイブックを使ってAIが自律的に行動できるユースケースを優先する。

2.重要な決定に対する人間の監視を維持する

AIは封じ込めを迅速化し、反復タスクを自動化することができるが、やみくもな自動化はビジネスクリティカルなサービスを停止させたり、正当なユーザーを締め出したりするリスクがある。本番サーバーのシャットダウン、管理者権限の剥奪、重要なネットワークセグメントのブロックなど、リスクの高いアクションについては、人間によるレビューが不可欠です。

セキュリティ・オーケストレーション・プラットフォームは、AIがアクションを推奨するが、実行前にアナリストの承認を待つエスカレーション・ワークフローを含むべきである。例えば、AIがCFOのアカウントに危険が迫っていると判断した場合、システムは自動的に危険なセッションを凍結し、アカウントを完全に無効にする前に人間のオペレーターに警告を出すことができる。

アナリストは、自動化された対応が適切であったかを検証し、再発防止のためにルールやトレーニングセットを調整しなければならない。このような人間によるイン・ザ・ループのアプローチにより、スピードと業務継続性のバランスが保たれる。

3.ユーザーを訓練し、セキュリティを意識する文化を築く

AI主導のセキュリティ・ツールは、ユーザーがシステムにおける自分の役割を理解して初めて効果を発揮する。トレーニング・プログラムでは、基本的なフィッシングへの認識だけでなく、ログイン・パターン、デバイスの使用方法、プロンプトへの反応など、ユーザーの行動がAIモデルにどのような影響を与えるかを教える必要がある。

継続的なセキュリティ意識向上活動に AI のトピックを組み込む。脅威行為者が AI を使用して攻撃をパーソナライズしたり、デジタル・フットプリントを悪用したり、ディープフェイクを作成したりする方法を従業員に教える。AIを活用したソーシャル・エンジニアリングが成功した実例を紹介し、従業員がAIが生成した欺瞞の微妙な兆候を認識できるようにする。生成モデルによって、タイプミスやぎこちない言い回しといった従来の手がかりから詐欺を発見することが難しくなるため、この認識は非常に重要です。

最後に、ユーザーとセキュリティ・チームとの間にフィードバック・ループを作る。AIシステムが挙動に不審な点があると判断した場合、ユーザは懲罰的な前提に立つことなく、異議申し立てや行動の明確化を行うための明確な道筋を持つべきである。これは、アラート疲れや誤検知を減らすだけでなく、人間の文脈を考慮したAIモデルの再学習にも役立つ。

先を見据えてセキュリティ・オペレーションにおけるAIの未来

生成AIとエージェントAIの融合をリーダーはどう考えるべきか

ジェネレーティブAIとエージェントAIの融合は、自律的なサイバー防衛のための新しいデザインパターンを切り開く。ジェネレーティブ・モデルは、構造化されていないデータを解釈し、攻撃シナリオをシミュレートし、発見を伝達するための創造性と言語能力を提供する。対照的にエージェント型AIは、意思決定ループと環境フィードバックを通じて自律的なタスク実行をもたらす。

リーダーは、それぞれのパラダイムがSOCのライフサイクルの中でどのような位置づけにあるかを評価すべきである。ジェネレーティブ・モデルはインテリジェンス・ワークフローを強化することができます：脅威レポートの要約、ダークウェブの雑談の翻訳、ハンティングクエリの作成などです。エージェント型システムは、インジケータの取得、アラートの関連付け、封じ込めステップの開始など、プレイブックを操作することができる。言語モデルがインシデントを推論し、エージェントがその洞察に基づいて行動するというループが生まれます。

しかし、この統合にはガードレールが必要である。生成モデルは、幻覚や偽の結論を避けるために、スコープされた環境内で動作しなければならない。エージェントは、最小特権制御を実施し、可逆的なステップで動作し、監査可能であり続けなければならない。リーダーは、これらのAI要素を制御された故障モード下で共同でテストできるシミュレーション環境に投資し、チームがエッジケースを観察し、仮定を検証できるようにすべきである。

人員を増やすことなくSOCを拡大するAIの役割

現代のSOCは、アラート量の増加、攻撃対象の拡大、深刻な人員不足に直面している。AIは、人間の人員を比例して増やすことなく、防御能力を拡大する道を提供します。これは、反復可能で、時間的制約があり、データ量が多いタスクを、継続的に動作するインテリジェント・システムに委譲することで実現します。

AIプラットフォームは生のアラートを事前にフィルタリングし、充実させることができるため、人によるレビューが必要なケースの数を減らすことができる。時間や領域を超えて関連するシグナルをグループ化し、ノイズの多いイベントを首尾一貫したインシデントシナリオに変えることができます。また、自律的なトリアージも可能で、誤検知を抑制しながら、信頼性の高い脅威にはフラグを立て、即座に対策を講じることができます。

脅威ハンティングでは、AIモデルが疑わしい行動を特定したり、量や複雑さのために人間が見逃してしまうようなアクティビティクラスターを結びつける。調査においては、AIエージェントがフォレンジック・アーチファクトの収集を自動化し、トリアージに要する時間を短縮します。対応では、AIは事前に定義された封じ込めアクションをトリガーしたり、過去のプレイブックの結果に基づいて緩和策を推奨したりすることができます。

AIによるスケーリングは単なる技術的な転換ではなく、組織の再設計を必要とする。役割はアラート対応者からAIスーパーバイザーへと進化する。成功の指標は、処理量から影響緩和へと変化する。SOCのリーダーは、AIツールと連携できるようスタッフを再教育し、環境に合わせてモデルを調整し、ヒューマン・マシン・インターフェースを継続的に改良する必要があります。

その結果、アナリストは判断と戦略に集中し、AIはスケールとスピードに対応する。

Exabeam POV：TDIRライフサイクルにおけるAIの適用

運用の観点から、サイバーセキュリティにおけるAIの最も効果的な活用は、単一のモデルや機能に限定されるものではなく、脅威の検知、調査、対応のライフサイクル全体に及ぶ。AIが最も価値を発揮するのは、セキュリティ・チームがシグナルを収集し、アクティビティを推論し、大規模な対策を講じる方法に組み込まれたときです。

エグザビームの見解では、AIを活用したセキュリティ・オペレーションには、行動分析、コンテクスチュアル・エンリッチメント、ワークフロー実行の組み合わせが必要です。行動モデルは、ユーザー、エンティティ、システム全体のベースラインを確立します。コンテクスチュアルAIは、ID、資産、環境データで検知をエンリッチします。エージェントベースの自動化は、このインテリジェンスを調査と対応ステップに適用し、手作業を減らし、解決までの時間を短縮します。

ジェネレーティブAIは、インシデントを要約し、構造化されていない脅威インテリジェンスを翻訳し、調査中のアナリストを支援することで、支援的な役割を果たします。エージェント型AIは、定義されたガードレール内で証拠収集、アラート相関、対応オーケストレーションなどのタスクを実行することで、この機能を拡張します。これらのアプローチを組み合わせることで、セキュリティ・チームがアラート中心のワークフローから成果主導のオペレーションへと移行できるようになります。

最新のSIEMアーキテクチャの中でAIが最も効果的なのは、追加機能としてではなく、取り込み、分析、調査、対応にわたって継続的に動作する場合です。このアプローチにより、AIシステムは過去の挙動から学習し、進化する脅威に適応し、環境間で一貫した意思決定をサポートすることができます。

AIによる攻撃が攻撃者のキルチェーンを圧縮し続ける中、防御側も同様のスピードと連携でAIを適用しなければならない。プロセス全体を通して透明性、監査可能性、人間の監視を維持しながら、検出精度、調査効率、対応の信頼性において測定可能な改善に焦点を当て続けるべきである。