18ヶ月前、AI搭載のセキュリティオペレーションセンター（SOC）という概念は、主にマーケティングの話題でした。今日では、AI駆動型セキュリティプラットフォーム、エージェント型SOCツール、セキュリティスタック全体に統合されたAIコパイロットに数十億ドルが投資されており、重要な予算項目となっています。データによると、SOCは前例のないペースでAI機能を導入・展開しています。 しかし、この急速な導入にもかかわらず、多くのSOCは期待外れの結果を報告しています。SOCにおけるAIの価値に関する初の客観的ベンチマークである**SOC-CMM 2026 Maturity Report**が今年5月に発表され、約200のSOCを調査しました。回答者のわずか10%がAIから「優れた」価値を得ていると報告し、19%が「良好」な価値を挙げました。大幅な71%が「いくらか」または「全く」価値がないと報告しました。 この傾向は、AIの広範な展開から18ヶ月を経て、構造的な問題を示唆しています。この記事では、データが示す内容と、このパフォーマンスギャップを埋めるためにセキュリティオペレーションにおけるAIの次の進化が何を達成する必要があるのかを掘り下げます。 ## SOC-CMM 2026データが示すもの **SOC-CMM 2026 Maturity Report**のAIセクションからの3つの主要な発見は際立っており、明確に関連しています。 第一に、SOC内のあらゆるカテゴリでAIの導入が進んでいます。市販の大規模言語モデルは前年比55%増加、AIコパイロットは145%急増、AIエージェントは118%、教師あり機械学習は96%、カスタムLLMは64%増加しました。これは、SOCチームが、購入したAIから有意義な価値を引き出すために必要な運用成熟度を持っていないにもかかわらず、AIに過剰投資していることを示唆しています。 第二に、支配的な導入パターンは、レポートが「テイカーモデル」と呼ぶものです。これは、カスタマイズせずに既存のセキュリティスタック内に市販のAIを導入することです。調査されたSOCの約65%がテイカーとして特定され、20%が「シェイパー」（購入したものをカスタマイズする）、わずか15%が「ビルダー」（独自のデータでモデルをトレーニングする）です。テイカーは最大のコホートであり、最も価値が低いと報告しています。このパターンは、ハイブリッド、社内、MSSPのSOC全体で当てはまり、構造的な原因而非偶発的な原因を示しています。 第三に、レポートは、前年比で増加した2つのSOC改善課題が、ベストプラクティスの欠如（+17%）と成熟度を高めることの複雑さ（+11%）であることを強調しています。逆に、予算の制約や経営陣のサポートの欠如といった課題は減少しました。これは、SOCがリソースや経営陣の賛同を欠いているのではなく、取得したAIを効果的に活用する方法がわからないことを示唆しています。これは、AIの成熟度ギャップを単一のデータポイントで包括しています。 ## SOCにおけるAIの第一波が低迷した理由 AI SOCツールの最初の波は、しばしば既存のセキュリティ製品に機能として追加されて出荷されました。**SIEM**はAIトリアージを獲得し、**EDR**はAI調査機能を備え、**SOAR**プラットフォームはAIプレイブック生成を統合し、チケットツールはAI要約を追加しました。各機能は単独では機能しましたが、共有コンテキストを欠いていました。 実際には、これはSOCアナリストが単一の統合システムではなく、複数のAIアシスタントと格闘することを意味します。SIEMのトリアージエージェントは、検出エンジニアが先週ミュートしたことについての知識がありません。EDRの脅威ハンティングエージェントは、最新の脅威インテリジェンスを認識していません。チケットツールの要約エージェントは、調査の完全なコンテキストを知りません。各エージェントはワークフローの特定の断片を加速しますが、どれもこれらの断片間の重要な引き継ぎ（ほとんどのSOCの時間と価値が存在する場所）に対処しません。 SOCオペレーターはこの現象を広く報告しています。個々のタスクは高速化されますが、全体的なワークフローは断片化されたままです。彼らは、SOCが断絶されたステージの連鎖として機能するという根本的な問題が存続する一方で、複数の新しいエージェントインターフェイスを学習するように求められていると説明しています。AIは、それらを真に接続することなく、サイロを加速しました。 **SOC-CMM 2026 Maturity Report**はこのダイナミクスを定量化しています。テクノロジー領域は一貫して成熟度が最も高く（平均5点中2.7点）、プロセス領域（SOCステージ間の引き継ぎを管理する）とピープル領域（組織的知識と意思決定）は両方とも2.3点と低くスコアされています。AIツールを含む、より多くのツールを取得するだけではこれらの数値を改善しません。場合によっては、各新しいツールが別の引き継ぎポイントを追加することで問題を悪化させます。 ## 優れた価値を報告するSOCで何が違うのか AIから優れた価値を報告する10%のSOCは、必ずしも異なるポイントツールを使用しているわけではありません。彼らは根本的に異なるアーキテクチャ構造内でAIを実装しています。3つの重要な違いが、最小限の価値を報告する71%の組織と彼らを区別しています。 1. **SOCライフサイクル全体にわたるAI運用**: これらのSOCは、脅威インテリジェンス、脅威ハンティング、検出、調査、および修復といった、AIを単一ワークフローの相互接続されたステージとして扱い、ライフサイクル全体にわたってAIを実装しています。エージェントが5つのステージすべてでコンテキストを共有すると、SOCの有効性は増幅されます。完了したすべての調査が次の検出を調整し、すべての脅威ハンティング結果がインテリサイクルを更新し、すべての修復が将来のプレイブックに情報を提供します。この接続されたファブリックは、単に独立したAI機能を積み重ねる組織とは対照的に、持続的な価値のために不可欠です。 2. **動的な環境に基づいたAI**: ジェネリックAIはジェネリックな調査をもたらします。「通常」は、ヘルスケア環境とフィンテック環境の間で大きく異なります。あるコンテキストで効果的な検出ルールは、別のコンテキストでは誤検知をトリガーする可能性があり、特定の環境知識なしでは調査パスが重要なニュアンスを見逃す可能性があります。高価値のSOCは、組織的知識をキャプチャして保持するAIシステムを利用しています。重要な資産、過去のインシデントからのアナリストの判断、承認されたアクション、エスカレーション基準、および以前のチケットの結果です。この基盤なしでは、SOCのAIはインターネットの平均値にデフォルトしますが、これは特定の環境ではしばしば無関係です。 3. **ガバナンス可能なAI**: **SOC-CMM 2026 Maturity Report**は、効果的なSOCガバナンスを改善のための最も困難な領域（回答者の39%）として特定しています。AIガバナンスとSOCガバナンスは本質的にリンクしています。最も成功したエージェント型SOCは、顧客定義のガードレール内で運用され、すべてのアクションに対して弁護可能な推論トレースを提供し、最初から要求するのではなく段階的に自律性を獲得します。SOCのAIはブラックボックスであってはなりません。これをマスターしたSOCは、アナリストの信頼を育み、AIシステムに常駐権限を付与し、大幅な生産性向上を達成するために不可欠です。 ## SOCにおけるAIから価値を引き出すのに苦労しているほとんどの企業は、断片化されたアーキテクチャ内でポイントAIソリューションを実行しています。根本的な問題は、最も高度なポイントAIでさえ、根本的に壊れたアーキテクチャを修正できないということです。 SOCの検出エンジニアリングチームが調査チームとは異なるツールで運用されている場合、どちらかのツールのAIは、その特定のチームのワークフローの断片を加速するだけで、それらの間の重要な引き継ぎを改善する何も行いません。脅威ハンターが調査者と同じテレメトリを使用して仮説を簡単にテストできない場合、どちらかのワークフローのAIは、そのワークフローを孤立して進めるだけです。修復プレイブックが調査エージェントの結論から切り離された**SOAR**ツールに存在する場合、AI修復は古いコンテキストに基づいて実行されます。 解決策は、これらのステージを接続することです。同じ断片化されたアーキテクチャ内にAIをさらに実装することは、元の問題を悪化させるだけです。この接続ファブリックは、SOCにおけるAIの「第二波」の本質です。第一波はステージごとのAIを提供しました。第二波はステージを横断するAIを提供する必要があります。 ## 第二波がどのようになるべきか SOCの5つのステージは、顧客固有の環境に深く根ざした、単一の統合されたエージェントファブリックとして機能する必要があります。完了したすべての調査は次の検出を調整し、すべての脅威ハンティング結果は次のインテリジェンスサイクルを更新し、すべての修復アクションは後続のエージェントのプレイブックにフィードバックする必要があります。この相互接続性により、SOCの機能は増幅されます。 実際には、この方法で構築されたプラットフォームは、組織の既存の**SIEM**、**EDR**、ID、クラウド、チケット、および脅威インテリジェンススタックの上に配置され、それらと統合されます。この接続レイヤーは、各ステージが次のステージに情報を提供し、運用サイロを打破することを可能にします。そのようなアーキテクチャが存在する場合、SOCはよりシャープで高速な調査、効果的に表示および調整された検出（サイレントまたはノイジーではなく）、継続的な脅威ハンティング、および定義されたガードレール内で動作する修復（完全な推論トレースと監査グレードの意思決定記録を備えた）を報告します。 SOCにおけるAIの第二波は、単なる機能の集約ではなく、アーキテクチャ的でなければなりません。この根本的なシフトを理解し、提供するベンダーとプラットフォームが業界を前進させるでしょう。