セキュリティの「アラート疲れ」を避ける2つの方法とは

サイバー防御に携わっている従業員にとって、アラートが多いソリューションは困りものだ。アラートの精度を高めたり、誤検知を減らしたりするために有用な方法は何だろうか。

[Eric Geller，Cybersecurity Dive]

　サイバーセキュリティの問題の一つは、あまりにもアラートが多いことだ。大量の無害なアラートに慣れ切っていると、重要なアラートを見逃したり、対処が遅れたりする。かといって全てのアラートを処理する時間はない。

　不審な動作を素早く検出して、効率的に対処することで、アラート疲れを起こさないようにするにはどうすればよいのだろうか。

　そのような方法を紹介するレポート「2025 Security Operations Report」をマネージドサービスに特化したArctic Wolf Networks（以下、Arctic Wolf）は2025年9月16日（米国時間）に公開した（注1）。

セキュリティの「アラート疲れ」を避ける2つの方法とは

　調査レポートは2024年5月〜2025年4月の1年間に100カ国以上の1万を超えるユーザー組織から収集された約330兆件の観測データを分析したものだ。同社のセキュリティプラットフォーム「Aurora Platform」がデータを収集して、同社のAIエージェント型SOC（Security Operation Center）が分析、調査したものだ。サイバー攻撃と無害な動作を区別する鍵が分かる。

　レポートによると、調査対象期間中に発生したセキュリティアラートのうち、71％を除外できた。次の2つのデータを用いることで、予測される正常な操作や問題のない操作であると特定して誤報と判断できた

・ユーザー特有の操作条件や操作時のコンテキスト（文脈）
・脅威インテリジェンス（最新のサイバー攻撃手法や攻撃者に関する情報）

　セキュリティアラートを引き起こすユーザー特有の操作とは何だろうか。次の3つがそれだ。

・通常と異なる場所からのログイン
・ファイアウォールポリシーの変更
・メール転送プロトコルの修正

　これらは日常の動作だが、素通しにすることはできない。なぜなら認証情報（ID情報）を標的にした高度なサイバー攻撃が混ざっているからだ。Arctic Wolfは調査レポートで、「網羅的なテレメトリーデータ（システム稼働状況に関するデータ）やコンテキストがなければ、ある動作が無害なのか、それとも悪意があるものなのかを区別することは困難で時間がかかる場合がある」と指摘した。

　攻撃者が正規の認証情報や“アラート疲れ”を悪用してIDを標的（注2）とする動きがあるなら、アラートを効果的にフィルタリングしなければならない。調査レポートによると、セキュリティ調査の対象となった事例の38％は、「脅威の阻止や再発防止のために直接的な介入を必要とした」ものだった。そのうち72％は「ハッキングされたアカウントの無効化」や「パスワードのリセット」など、ID管理に関連していた。

結局、何に注目すればよいのか

　Arctic Wolfはレポートの内容を要約して「今日の脅威環境においてID管理が果たす重要な役割を反映している。侵害された認証情報の大半は、脅威アクターの存在を示す最も早期の兆候だからだ」と指摘した。

　セキュリティの専門家は複数の情報源からコンテキストを迅速に組み合わせて評価し、ある動作が攻撃なのかどうかを特定するために何を使っているのだろうか。生成AIだ（注3）。Arctic Wolfによれば、同社の生成AIプラットフォーム「Alpha AI」はユーザーが受け取ったアラートの10％だけを自動的に精査して、人間の担当者が対処すべきかどうかを判断していた。同社はこの数値を「取るに足らないものに見えるが、実際は重要だ。10％という割合は、人間の担当者による検証を必要としなくなった86万件以上のアラートに相当する」と説明した。

　「AIは数百万件に及ぶ自動化されたアラートをふるい分け、『人間の専門知識を必要とする意思決定が必要かどうか』の判断を下す人間の担当者の支援に有用だ」と調査レポートは結論付けた。

なぜ生成AIで100％のアラートを処理しないのか

　Arctic Wolfのレポートには生成AIでアラートの100％を処理していない理由が書かれている。

　理由は2つある。第1の理由は「悪意ある活動のまぎらわしさ」、第2は「最終的な判断と対応において人間の役割が重要」なことだ。

　悪意ある活動の紛らわしさとは何だろうか。本文で紹介したように何の問題もないユーザーの活動が大半を占めており、誤検知を含むアラートの中に攻撃が埋もれてしまうという問題がある。ノイズの中から本質的な脅威を見分ける際には人間の判断が不可欠だ。

　正当な振る舞いにまぎれた攻撃をトリアージするには専門家の知識が必要だというのがArctic Wolfの結論だ。その際はコンテキストが重要になる。高度な検出ロジックと生成AIによる分析をくぐり抜けて濃度が高くなったアラートを専門家がレビューすることが最善の策なのだという。

　レポートでは「DCSync」と「『Active Directory』のセキュリティグループへのユーザー追加」という2つの例を示している。

　DCSyncは「Active Directory」のドメインコントローラー（DC）間でディレクトリデータの整合性を保つ際に使われる操作だ。観測によれば約95％のDCSyncが正当な動作だった。だが、5％は怪しかった。DCSyncを使うとドメインコントローラーに物理的にアクセスしたり、特権的なツールを使ったりすることなく、ドメイン内の全てのユーザーのパスワードハッシュ（Kerberosチケットを生成するための鍵を含む）を遠隔で取得できるからだ。

　Active Directoryのセキュリティグループへのユーザー追加は、観測の結果、大半の環境で不適切な動作だと見なされ、侵害されたアカウントがより高い特権を得ようとしていることを示していた。98％のデータで悪意のある動作だった。このように、良性の行動と悪意のある行動を区別するには、一般的な情報以外に、企業に固有のコンテキストとセキュリティのベストプラクティスに基づいた人間の判断が必要だという。

最終的な判断と対応において人間の役割が重要とは

　生成AIは大量のデータを高速に処理できるが、最終的なインシデント対応の質を決めるのは人間の専門知識だという。

　Arctic Wolfは未知のゼロデイ脆弱（ぜいじゃく）性を通じて、FortiGateのファイアウォールの管理インタフェースに不正にログインする「Console Chaos」を例に挙げた。このような攻撃に遭った場合、アラートを上げるだけでは不十分で、迅速な対応能力を持つSOC（Security Operations Center）が動かなければならない。

　脅威インテリジェンスをカスタマイズする際にも専門家の力が必要だ。自動化されたツールが見逃すようななりすましのIP活動を発見する際に役立つ。

　さらに、脅威を検証した後、現在アクティブになっている脅威を阻止したり、再発を防いだりするために直接的な介入が必要な場合がある。IDを無効化したり、ホストを封じ込めたり、悪意のあるメールを削除したりする際には、（Arctic Wolfの）顧客との協議と事前の承認が必要で、処理自体にも細心の注意が必要だ。

　Alpha AIが自動的にトリアージを処理する割合が10％にとどまっているのは、AIの効率性を活かしつつ、セキュリティ結果に最も大きな影響を与える複雑で微妙な判断を人間の専門家に委ねるArctic Wolfのアプローチに基づいた意図的なものだという。（キーマンズネット編集部）

（注1）Arctic Wolf 2025 Security Operations Report Reveals Threat Landscape Acceleration, Majority of Security Alerts Now Occur Outside Working Hours（Arctic Wolf Network）
（注2）Execs worry about unknown identity-security weaknesses（Cybersecurity Dive）
（注3）How AI agents could revolutionize the SOC with human help（Cybersecurity Dive）

原文へのリンク