今日の脅威インテリジェンスにおけるAI活用法

脅威インテリジェンスにおいてAIをどのように活用すべきか。この課題をめぐる議論は、すでに十分に深まっています。もはやセキュリティチームのAI導入について是非を問うことはなくなり、ほとんどの企業や組織で現場に取り入れられるようになりました。いま問われているのは、AIの導入が運用上の効果として実を結んでいるのか、それとも既存のワークフローのごく一部にしかメリットをもたらしていないのか、という問題です。

AIが企業のインテリジェンスプログラムへ積極的に導入されることで明らかになったのは、インテリジェンス作成方法の如実な変化です。その中心に人間のアナリストが存在していること自体は変わりませんが、業務内容は手作業による反復的なデータ収集から、ステークホルダーが必要とする分析や判断にシフトしています。

*本記事は、弊社マキナレコードが提携する英Silobreaker社のブログ記事（2026年6月3日付）を翻訳したものです。

広がるAI導入、成熟度は停滞

驚くべき数字が報告されました。企業の77～83％が何らかの形でAIを活用しており、従業員の約75％が日常業務で少なくとも一度はAIツールを利用したことがあるそうです。この数字は過去2年間でほぼ倍増しています。また、AIを使うことで従業員の週間作業時間は平均で約3.5時間少なくなり、AIが時間短縮につながっていると回答した従業員は90％に上ります。

しかし、これらの数字はAI導入の全体像を捉えきれていません。なぜなら、企業のうち「自社のAI使用は真に成熟している」と回答したのはわずか1％にとどまっているからです。AIツールを実験的に取り入れることと、それらを構造化された反復可能なインテリジェンスワークフローに組み込むことの間には、大きな隔たりがあります。規模が大きな組織ほど導入のスピードは速くなり、ある調査では大企業のAI導入率が90％を超えていますが、こういった組織内でもAI統合の度合いは大きく異なっています。

インテリジェンスチームにとって、このギャップが問題となっています。例えば、レポートの文章を書き換えるためにチャットボットを使用するといった表面的な利用法では、AIの真価が発揮されません。AIを導入して最大限の成果を挙げるには、実験的な使い方にとどまらず、インテリジェンスサイクルのより具体的な場面に組み込む必要があります。

脅威アナリストのAI活用法

AIの真価が最も発揮されるユースケースとしては、要約とレポートの作成が挙げられます。アナリストはAIを活用して大量のデータを簡潔で整理された要約に変換し、レポートの初稿作成に役立てるとともに、インテリジェンスを生成する作業の「退屈な仕事」にかかる時間を短縮しています。

このような使い方は、状況が急速に変化する場面で特に有効です。例えば、ホルムズ海峡周辺の情勢変化といった複雑な地政学的展開を考える際には、あらゆるタイミングで、軍事動向や外交シグナル、エネルギー市場の動向、そしてサプライチェーン下流への影響など、さまざまな要素を網羅したレポートが求められます。しかし、アナリスト1人がこれらすべてを手作業で行い、さらにリアルタイムで追跡することは不可能です。AIの要約機能を用いることで、アナリストの専門知識を確実に反映させながら、より短い時間で多角的かつ包括的な状況把握を行えます。

インテリジェンスプログラム全体では、要約のほかにも2つのユースケースが明らかになっています。1つ目は、フォーマット適用と情報伝達の最適化です。これらは特に少人数のチームでは時間がかかる作業ですが、AIを使うことで出力の構造化とレポートテンプレートの適用、さらにはフォーマットの標準化が行えます。

2つ目の活用方法は、レポートの読み手に合わせた調整です。アナリストはAIを使って技術的インテリジェンスを戦略的にまとめ、出力結果を社内ポータルや経営陣向けブリーフィングツールに提供します。このように活用することで、成熟したプログラムにおいても依然として大きな課題となっている、インテリジェンスの生成と事業活動での利用の間に存在するギャップを埋めることができます。

以上の2つに加え、技術的なデータ処理に利用するという、より高度なユースケースも複数の企業や組織で確認されました。具体的には、アラートの優先順位付け、EDR解析、マルウェア分析支援、さらにアラートの精度向上に使われています。ここでAI実装を成功に導く鍵となるのは、技術パイプライン内にAIを取り入れる一方で、人間による管理を維持することにあります。

脅威インテリジェンスにおいて、AIを信頼すべきではない場面とその根拠

インテリジェンスチームの多くは、人間による十分な関与がない状態でAIを最終分析に用いるべきではないとの認識を共有しています。こうした懸念の根拠として、AIのハルシネーションや文脈判断の欠如、曖昧または不完全なデータから誤った結論を導き出すリスクなどが挙げられます。これらは理論上のリスクではなく、運用上のリスクであり、欠陥のあるインテリジェンスに基づいて行動した場合、重大な結果を招く恐れがあります

AIの出力結果は、上級アナリストが部下から受け取った成果物と同様に取り扱うことが有効です。つまり完成品ではなく、レビューや検証、編集が必要な出発点として扱うのです。この考え方は、AIの能力と分析の整合性に適切なバランスを見出した企業や組織において、広く受け入れられているようです。

データガバナンスもまた、多くの環境においてAIの利用を制限する要因の1つとなっています。個人データ、規制上の義務、データ主権に関する懸念から、内部データへのAI利用を制限または禁止している企業や組織は枚挙にいとまがありません。機微情報を取り扱うチームにとって、データガバナンスは抽象的な概念ではなく、利用可能なユースケースとそうでないものを明確に線引きする指針となります。

「データの保存場所、誰がアクセスできるのかについては今なお大きな懸念があり、場合によってはAIの利用が著しく制限されます」

研究責任者Hannah Baumgaertner

優先的インテリジェンス要件主導のワークフローとインテリジェンスサイクル

AIは優先的インテリジェンス要件（PIR）と組み合わせることで、その革新的な能力を余すところなく発揮できます。PIRとは、あらゆるインテリジェンスプログラムを推進する上で欠かせない、明確に定義された質問と情報ニーズを指します。このPIRが羅針盤の役割を果たし、情報収集・分析・レポートと意思決定者の知っておくべきことが一致します。

PIRと切り離してではなく、これを軸にしてAIの機能を活用することにより、その効果は相乗的に高まります。自動化された収集パイプラインを特定の要件や関連資産に合わせて構成できるため、報告内容を重要な情報に絞り込めるだけでなく、定期レポートの生成・構成・配信を手作業で行う必要がなくなります。例えば、重大なサプライチェーン攻撃など深刻なインシデントが発生した場合、アナリストは従来より大幅に短い時間で新たな監視ワークフローを立ち上げ、既存または新規のPIRにリンクさせるとともに、レポートを収集し、構造化された概要を用意することができます。 

これは作業効率だけでなく、情報の関連性においても重要です。鮮度の低い情報やステークホルダーのニーズに合致していないインテリジェンスでは、その価値が大きく損なわれてしまいます。明確なインテリジェンス要件に基づいたAI支援型のワークフローは、このギャップを埋めるために役立ちます。

脅威インテリジェンスにおけるAIとは、意思決定ではなく効率化を高めるツール

AIの試験導入を終え、本格的に活用している企業や組織から得られる最も明確な教訓といえば、AIを分析ツールの代わりではなく、ワークフローの加速装置として扱えば最大の効果を発揮するという事実です。アナリストはAIの力を借りることにより、大規模なインテリジェンス環境をより効率的にナビゲートし、関連情報をより迅速に抽出できる上、反復的な手作業に費やす時間を削減することができます。ただし、判断や優先順位付け、分析的思考は依然として人間が果たすべき役割です。

AIに最も大きな価値を見出しているのは、分析の中心に引き続き人間を据えつつも、効率化のためにAIを積極活用している組織や、インテリジェンスの生成方法だけでなく、その利用方法にも焦点を当てている組織です。推奨される方策や緩和策の提言、ステークホルダーとの信頼構築をAIで置き換えることはできません。AIというレイヤーを適切に実装することで、アナリストは負担が軽減され、こういった作業に集中できるようになります。

ウェビナー「Operationalizing AI in threat intelligence: What works today（脅威インテリジェンスにおけるAI運用化：現時点での有効性）」の全編は、こちらからオンデマンドでご覧いただけます。

※日本でのSilobreakerに関するお問い合わせは、弊社マキナレコードにて承っております。

また、マキナレコードではSilobreakerの運用をお客様に代わって行う「マネージドインテリジェンスサービス（MIS）」も提供しております。

Silobreakerについて詳しくは、以下のフォームからお問い合わせください。