SOCの常識を変える!Devo AI Assistで調査・分析が加速する未来
本記事では、EDR(SentinelOne)を例に、AI AssistがSOCの人材不足を補い、調査・分析を効率化する新しいスタイルを紹介します。
はじめに
「アラートが多すぎて対応が追いつかない」
「EDRのアラートが出ても、そこからの調査に時間がかかりすぎる」
──SOCの現場で日々耳にする声です。攻撃は複雑化する一方、人材不足は慢性的で、多くのアナリストが疲弊しています。
もしあなたが「もっと効率的に脅威を把握したい」「複雑なクエリなしで本質に迫りたい」と感じているなら、この記事は必見です。
本記事では、Devoが発表した画期的な新機能 「Devo AI Assist」 が、SOC全体の働き方をどう変え、アナリスト不足という課題をどう解決するのかを解説します。
具体例として、EDR(SentinelOne)調査シナリオを取り上げますが、その可能性はEDRにとどまらず、あらゆるログ調査・インシデント対応へと広がっていきます。
1. 従来SOCが抱える3つの壁
アラート疲れと判断の遅れ
EDRなどの高度な検知ツールはアラートを出してくれますが、それが緊急対応すべきかどうかの判断に時間と経験が必要です。アナリストは「トリアージ」に膨大な時間を費やしています。
サイロ化したログと分断された調査
脅威の全体像を把握するには、EDRに加え、認証ログやプロキシログ、ファイアウォールログなどの横断的な分析が不可欠。しかし、それぞれが別のツールで管理されているため調査が分断され、相関分析は難航しがちです。
専門知識の属人化と人材不足
高度な脅威ハンティングには、複雑なクエリスキルや製品知識が不可欠。これらは経験豊富なアナリストに偏り、新人育成も難しく、SOC全体の調査能力にばらつきが生まれています。
こうした課題は、SOCチームを疲弊させるだけでなく、対応の遅れを招き、企業のセキュリティリスクを高めています。
2. SOCの救世主「Devo AI Assist」とは
この課題を解決するために登場したのが Devo AI Assist です。
Devo AI Assistは、自然言語での対話だけでDevoプラットフォームを操作できるインテリジェントアシスタントです。
「〜を調査して」「〜を分析して」と伝えるだけで、最適なクエリを生成・実行し、状況把握から推奨アクションまで提示してくれます。
つまり、AI Assistは単なる“検索補助”ではなく、アナリストの思考を理解し、調査・分析・報告という一連の流れを加速する心強いパートナーです。新人を即戦力化し、ベテランは高度な分析に集中できる、SOC全体の力を底上げする存在と言えます。
3. デモ:SentinelOneを例にAI Assistを体験
ここからは、EDR(SentinelOne)を例に、AI AssistがどのようにSOC調査を支援するのかを見てみましょう。
※本機能はリリース直後のため、執筆時点では英語のみが正式サポート対象です。
【シナリオ】
あなたはSOCアナリスト。週初めに、エンドポイントの健全性や脅威の兆候を確認するためのプロアクティブ調査を実施します。
会話例①:全体把握
アナリスト:
「過去1週間のSentinelOne環境の脅威状況を分析して、概要を出して。」
実際のプロンプト画面例。Devoが指示内容に基づき、自律的に調査を開始している様子を確認できます。
AI Assist:
「分析完了しました。主なポイントは以下の通りです。」
脅威状況レポート(過去1週間)
-
アクティブ脅威: 35件を検出、特に2台に集中
-
エンドポイント稼働: 14台中100%稼働だが、8台が1週間以上オフライン
-
異常動作: Tgt-Win10V-3で直近24時間に31件検出
⚠️ 推奨アクション
-
Tgt-Win10V-3とs1-testを最優先調査
-
オフライン8台を確認
-
検出モードの3台を保護モードへ変更検討
実際に出力されたレポート表示例
会話例②:深掘り調査
アナリスト:
「検出した2台の脅威について詳細を一覧で教えて。」
前回の表示結果からさらに深掘り調査を進めることが可能です
AI Assist:
「承知しました。追加調査を実施しました。」
検出脅威の詳細
| 端末名 | OS | ドメイン | 脅威数 | 最終アクティブ | 状態 |
|---|---|---|---|---|---|
| adserver2 | Windows Server 2019 | EXAMPLE2 | 309 | 2025-09-24 06:20 | アクティブ |
| Tgt-Win10V-3 | Windows 10 Enterprise | EXAMPLE2 | 31 | 2025-09-24 06:08 | アクティブ |
| s1-test | Windows 10 Enterprise | WORKGROUP | 4 | 2025-09-09 08:33 | 非アクティブ |
総合評価
-
最重要警戒: adserver2で309件検出 → 緊急対応必須
-
感染拡大リスク: adserver2とTgt-Win10V-3は同じドメイン
-
原因推測: Tgt-Win10V-3は古いOSビルド → 脆弱性の可能性
対応優先度: ①adserver2 → ②Tgt-Win10V-3 → ③s1-test
詳細一覧の表示例。管理者はプロンプトで指示するだけで結果を得られます。
デモから見える価値
-
全体状況の把握から次のアクション提案まで一貫サポート
-
複数のログを横断して答えを導出
-
アナリストの思考を補強し、意思決定を加速
単なるQ&Aではなく、シニアアナリストと壁打ちしながら調査を進めているような感覚が得られます。
4. まとめ:AIとの協業でSOCを強く、賢く
Devo AI Assistは、SOCアナリストの能力を拡張し、
-
新人を即戦力化
-
ベテランの力を最大化
-
SOC全体を底上げ
するパートナーです。
これはエンドユーザーにとっては「自社SOCの効率化」、MSSPにとっては「サービス提供力の強化」に直結します。
Devoは今後もAI Assistを継続的に強化していくと発表しており、これはまだ始まりにすぎません。
「より強く、より賢いSOCの未来」 を、ぜひ体感してください。
ご興味をお持ちいただけましたら、こちらからお気軽にお問い合わせください。
この記事の投稿者YH
この記事をシェア
