INSIGHT

インサイト

サイバーセキュリティの新潮流:AIエージェントによる動的防御

2025.3.7

RSS

執筆者:川野孝誠(@_takamasaaaaa_

かつて、国家の防衛といえば陸・海・空の領域が主戦場でした。しかし、21世紀に入ると、新たな戦場として「サイバー空間」が加わりました。今や戦争だけでなく、経済や企業活動の安全保障においても、デジタル領域の防衛が不可欠になっています。サイバー攻撃は国家間の対立だけでなく、企業や個人を標的にした経済的な脅威としても拡大し続けています。

この変化に伴い、攻撃の手法も進化しました。従来は個々のハッカーが手動で侵入を試みていましたが、現在ではAIを活用することで自動化された攻撃が増えています。例えば、標的のシステムの脆弱性をAIが瞬時に解析し、最も効果的な侵入経路を見つけ出す手法は、セキュリティ専門家の手作業では追いつけないスピードで進行します。また、生成AIを活用したディープフェイク技術によって、CEOや管理職になりすました音声・動画を用いた詐欺も増えており、従来の防御策では見破ることが困難になっています。

こうした環境の中で、企業のセキュリティ対策も変革を迫られています。もはやファイアウォールやウイルス対策ソフトだけでは、巧妙なサイバー攻撃を防ぐことはできません。攻撃側がAIを駆使するならば、防御側もAIを活用し、脅威をリアルタイムで検知・対策する仕組みが求められます。

今回は、AIエージェントを活用し、企業のサイバーセキュリティ対策を強化することで、攻撃者と防御側のバランスを変えようとしている7AIというスタートアップについて見ていきたいと思います。

「生成AI起業のヒント」では、ANOBAKAが注目している海外の生成AIスタートアップを取り上げて、生成AIの活用方法を分析・解説していきます。
生成AI領域で起業を考えられている方にとって事業のヒントとなれば幸いです。

7AIの事業から紐解くサイバーセキュリティ領域と生成AIの親和性

まず7AIの会社概要や事業について概観し、そこからサイバーセキュリティ領域と生成AIはどの点において相性が良さそうなのか考えてみたいと思います。

◾️ 7AIについて

7AIは2023年に設立されたサイバーセキュリティスタートアップです。創業者のLior Div氏はイスラエル国防軍のエリートサイバー部隊出身で、サイバー攻撃対策を専門としていました。また、Div氏は連続起業家でもあり、Cybereasonという同じくサイバーセキュリティ領域でスタートアップを立ち上げ、ユニコーン企業にまで成長させた実績もあります。共同創業者でCTOのYonatan Striem Amit氏もCybereasonの元CTOであり、サイバー攻撃の可視化技術を開発した経歴があります。

このCybereasonで培った高度なセキュリティ技術とAI活用のノウハウを活かして、7AIが現在開発に取り組んでいる主力製品が、企業のセキュリティオペレーションセンター(SOC)において日常的に発生する反復作業を自動化するAgentic Security Platform」です。

7AIのホームページよりキャプチャ

SOCの業務は、組織のネットワークやシステムを24時間365日体制で監視し、ログを収集・分析しながら、サイバーインシデントの兆候を検知・特定することが主です。しかし、常時監視を続けることや、膨大なログの中から攻撃の兆候を見つけ出す作業は、人的負担が極めて大きく、効率も悪いのが現状です。限られたリソースの中で膨大なデータと向き合い続けることは、SOCアナリストにとって大きな課題となっています。

そこで、7AIはこうした「非人間的作業(ノンヒューマンワーク)」に焦点を当て、特定のタスクに特化した複数の自律型AIエージェントが連携して自動処理を実現するプラットフォームを構築しています。具体的には、従来セキュリティ要員が手動で行っていたアラートの取捨選択・優先度付け、ログや脅威情報の相関分析、インシデント対応手順の実行などを自動化するAIエージェントを提供しています。

👇🏻 代表的なAIエージェント:

  • アラート調査エージェント:EDRソリューション(PCやスマートフォン、サーバーなどのエンドポイントデバイスのセキュリティを担うセキュリティソリューション)のアラートを解析し、調査を実行。
  • データ分析エージェント:大量のデータを統合し、脅威の特定と相関分析を実施。
  • コンプライアンス監視エージェント:企業のセキュリティポリシーや法規制の順守状況をチェック。
  • 脆弱性管理エージェント:システムの脆弱性をスキャンし、リスクを評価。
  • ユーザー行動分析エージェント:異常なアクセスや行動のパターンを検出し、不審な動きを特定。

◾️ 7AIの特徴的なアプローチ「スウォーミング」

7AIが採用するマルチエージェント協調型の手法は、「スウォーミング(群れ)アプローチ」と呼ばれており、7AIのユニークな戦略だと考えています。

スウォーミングアプローチは、多数のAIエージェントがまるでアリのコロニーやハチの群れのように連携し合い、単独では難しい複雑な問題に対処するための発想です。各エージェントはそれぞれ専門の「役割」と「知識」を持ち、自律的に判断・行動しますが、同時に他のエージェントと通信し合って状況に適応します。その結果、分散した知能がリアルタイムに協調し、個々の能力を超えてよりクリエイティビティを発揮しながら高度な問題解決能力を生み出すことができるとされています。

もちろん、複数のエージェントに分散させずに高い汎用性を有する単一のエージェントを採用するアプローチもあります。情報を一元管理し、連携のコストを削減することができるなどのメリットが考えられますが、個人的にサイバーセキュリティ領域においては複数のエージェント同士が連携するスウォーミングアプローチの方が向いているのではないかと考えています。その理由は下記です。

1. スピードとスケール

複数のエージェントでの並行処理により、人間はおろか、単一のエージェントでもなし得ないスピードで膨大な量のデータを分析することができます。エージェントの数を増やせばスケーラブルに対応力が向上するため、膨大なアラートにも遅滞なく対処可能です​。

単一のエージェントでは1人で色々なタスクを処理する必要があるため、場合によっては処理速度が低下してしまいます。例えば、DDoS(Distributed Denial of Service)攻撃と呼ばれる、ウェブサイトやサーバーに対して過剰なアクセスやデータを送付するようなサイバー攻撃に対して、単一のエージェントだと帯域幅の限界を超えてしまって処理速度が大幅に低下する可能性があります。

2. 網羅性と継続性

複数視点からの調査で見落としを減らし、24時間365日休まず稼働するためヒューマンエラーやカバレッジ漏れも防ぐことができます。常時監視体制を築くことができるのは、複数エージェントだろうが単一だろうが利点であることに変わりはないのですが、単一のエージェントが一つの視点で分析する場合、どうしてもそのアプローチの限界によって検出できる攻撃の範囲は狭まります。これに対し、複数のエージェントだとネットワーク分析の視点、ログ分析の視点、ユーザー行動視点のように、異なる視点から広範囲での脅威検出を行うことができます。自分1人で物事を見るだけではなく第三者の視点を加えることで、自分には見えていなかったものが見えてくる、これは人間でも同じ話ですね。

3. 適応性

各エージェントが自律的に学習・適応することで、新たな脅威や環境変化にも迅速に対応できます。各エージェントの業務(役割)範囲が明確であることも学習の効率性を促進し、専門性をより深化させることができます。また、他のエージェントと協調することで、状況に応じてリソース配分や手法を変える柔軟性も備わっています。

4. 専門性の集約

それぞれが専門領域を持つエージェント群が協働することで、まるで複数の専門家チームが即席で合同調査しているような成果を得ることができます。これは高度化・巧妙化するサイバー攻撃に対抗する上で極めて有効だと考えられます。

7AIにおいても、スウォーミングアプローチを採用することでエージェント同士が調査結果を共有してインシデント全体を解明したり、役割分担を動的に調整してリアルタイム対応したりといったメリットが生まれています​。

企業情報

  • 会社名:7AI
  • 本社所在地:ボストン(アメリカ)
  • 最新の調達ラウンド:Seed
  • 資金調達総額:3,600万ドル
  • 主な株主:Spark Capital, Greylock, CRV
  • 公式ホームページ:https://7ai.com/

◾️ サイバーセキュリティ領域と生成AIの親和性

さて、ここまでで7AIの事業を概観し、スウォーミングアプローチという7AIのユニークな戦略はサイバーセキュリティ領域と相性が良いことについても述べました。

少し視点を変え、そもそも生成AIとサイバーセキュリティ領域は相性が良いのか、そうだとしたらそれはどのような点においてなのかということについて考えてみようと思います。

画像はDALL·E 3で作成

再三になりますが、サイバー空間では日々莫大な量のログデータやアラート情報が生み出され、人間のアナリストが手作業でそれらすべてを精査するのは困難です。このビッグデータ解析において、生成AIを含むAI技術はやはり驚異的な威力を発揮します。生成AIは大量のデータからパターンを抽出したり、要約・洞察を生成したりする能力に長けており、サイバー脅威を検知する精度と速度を飛躍的に高めることができます。実際、GoogleとDeepMindでAI Cybersecurity Technical and Research Leadを務めるElie Bursztein氏が「最新の生成AIモデルを活用すれば従来数時間かかっていたインシデント対応報告書の作成をリアルタイムに近い速度で自動生成することすら可能になるだろう」と指摘しています​。

また、サイバーセキュリティをサイバーセキュリティたらしめる要素は、明確な悪意を持って進化するテクノロジーを利用する人が存在することだと思っています。生成AIは本当に諸刃の剣であると思わされますが、実際に生成AIを使って高度にカスタマイズされたマルウェアを自動生成したり、フィッシングメールの作成時間を従来比99.5%短縮するなど、そうした悪意を持つ者による攻撃は巧妙化・大規模化が進んでいます。このように「AI vs AI」の様相を呈するサイバー攻防の時代においては、防御側もAIを駆使しなければ到底太刀打ちできません。

このような業界の特徴が、サイバーセキュリティ領域と生成AIの相性が極めて良いと言える要因ではないでしょうか。

日本のサイバーセキュリティ市場

最後に、日本市場の文脈でポイントを絞って整理してみます。

◾️ 市場環境の整理

日本のサイバーセキュリティ市場はデジタル化の進展や脅威増大を背景に拡大傾向にあります。2024年時点で約1,800億円規模に達し、2033年には4,330億円規模に成長すると予測されています。これは2025年以降も年平均10%前後の高成長が見込まれていることを示し、重要インフラや金融業界を中心にセキュリティ投資が拡大しているためです。企業向けにはクラウド移行やDX推進に伴い、新たなセキュリティサービス需要が高まっています。

画像はDALL·E 3で作成

一方、政府機関においてもサイバーセキュリティ強化への需要が顕在化しています。日本政府は2024年度予算でサイバーセキュリティ対策費に約2,128億円を計上し、各省庁の防御力向上や全国的なセキュリティ施策を推進しています。政府機関向けのビジネスは業界に精通した人がいない限り非常に難易度は高いですが、このような官民の取り組みにより大きな市場機会が生まれていると考えています。特に政府主導のプロジェクト(スマートシティやデジタル庁施策など)でもセキュリティ需要が高まっており、公共分野向けサービス提供は有望な領域です。

◾️ Why now? 〜現状の課題や限界点〜

情報漏洩やサイバー攻撃事件は、小規模被害のものから大規模被害のものまで定期的に起こっているので重要性が高まっていることは百も承知で、Why now?をあえて語る必要もないとは思いますが、課題や現状の手法での限界点を整理しておきます。

日本における特に深刻な課題の一つが、高度化・巧妙化するサイバー脅威への対応不足です。ランサムウェアの被害は依然として深刻で、2024年の国内組織への脅威ランキングでも「ランサムウェア攻撃による被害」が最も大きなリスクとして認識されています。次いで、サプライチェーンの脆弱性を突く攻撃や標的型攻撃による機密情報の窃取が上位に挙がっており、内部不正やヒューマンエラーによる情報漏洩も継続的なリスクとなっています。さらに、ゼロデイ攻撃の件数も増加し、2024年にはトップ5の脅威にランクインしました。しかし、これらの新たな攻撃手法に対しては、従来の防御では検知や防御が困難であり、結果として被害の拡大を許してしまうケースが後を絶ちません。

脅威は拡大し続ける一方で、セキュリティ人材の不足も深刻な問題となっています。日本では、サイバーセキュリティ人材の需要に対し約11万人の人員が不足しており、この需給ギャップは年々拡大しています。企業の約9割が人材不足を実感しているという調査結果もあり、人的リソースに依存した現在のセキュリティ運用体制には限界が生じています。

日本の人材需給ギャップ
画像引用:東洋経済オンライン『日本は11万人不足「セキュリティ人材」確保の難題』

さらに、既存のSaaS型セキュリティソリューションにも限界があります。従来のウイルス対策ソフトやルールベースの検知システム、SaaS型の統合監視ツールは、既知の脅威に対して一定の効果を発揮しますが、未知の攻撃手法や高度に洗練された攻撃キャンペーンに対しては十分な防御を提供できていません。実際、従来型の防御策では見逃される不審な挙動やゼロデイ攻撃を利用した侵害が報告されており、「検知されない攻撃」が発生するリスクが常に残されています。

また、SOAR(Security Orchestration, Automation, and Response)などのSaaS型セキュリティ自動化ツールは、定型的な対応を効率化する一方で、アラートの優先度判断やインシデントの原因分析といった高度な判断は依然としてアナリストに委ねられています。その結果、アラート過多による業務負担の増大を招き、セキュリティ担当者の疲弊を引き起こしているのが現状です。現在の自動化技術では対応しきれない「グレーな領域」が存在し、そこが攻撃者にとっての狙い目となっています。

このように、①高度化する脅威への対応不足、②人材リソースの不足、③既存ツールの限界が重なり、日本の組織は従来型のセキュリティ対策だけでは万全な防御を実現することが難しくなっています。

◾️ 生成AIの活用シナリオ

最後に、7AIの事例などを踏まえてサイバーセキュリティ領域における生成AIのユースケースとして注目を浴びているものを取り上げます。

まずは、7AIが取り組んでいるようなSOC業務の自動化・高度化です。SOCでは、膨大なアラートやログを監視・分析する業務が求められますが、これには多くの人手が必要となり、人的リソース不足が深刻な問題となっているというのは上記で述べてきた通りです。7AI以外にも、マイクロソフトの「Security Copilot」やGoogleの「Gemini」など、生成AIをSOCに組み込むことで人材不足の解消と脅威検知精度の向上を同時に実現することをビッグテックも目指しています。

次に、インシデントレスポンス(インシデント対応)の高速化です。セキュリティインシデントが発生した際、迅速に対応できるかどうかが被害の拡大を防ぐ鍵となります。2024年に開催された、サイバーセキュリティの総合展示会であるRSAカンファレンスでも「生成AIの最も有望な活用用途は、インシデント対応のスピードアップである」と指摘されています。現代の複雑で広範なネットワークシステムを完璧に防御することは不可能に近いとも言えます(“穴が無い”ことがそもそも証明不可能であるため)ので、攻撃の被害は起こる前提で、アフターケアによっていかに被害を拡散させないかに注力することは非常に合理的だと思います。

例えば、生成AIはアラートから攻撃の流れを自動的に分析し、関連する情報を結びつけながらリアルタイムでインシデントレポートを作成することができます。さらに、適切な対応手順を即座に提案することで、初動対応にかかる時間を大幅に短縮し、被害拡大を抑える役割を果たします。加えて、過去の事例を学習し、経験の浅い担当者でも適切な措置を取れるようサポートすることもできます。このように、従来だと数十分から数時間かかっていた対応作業を瞬時に処理できるようになり、組織のインシデント対応能力を飛躍的に向上させることも強い防御力を有する手段であり、大きなインパクトを秘めていると考えています。

最後に、脆弱性管理の最適化です。新たに発見される脆弱性情報は膨大であり、その中から対応すべき脆弱性を適切に選定し、優先度を決定する作業は極めて重要です。生成AIは、大量の脆弱性データや攻撃動向を学習し、リスク要因を関連付けながらリアルタイムで洞察を提供することが可能です。海外事例になってしまいますが、CrowdStrikeは生成AIが脅威ハンティングをサポートし、必要なデータを瞬時に引き出すことで、脆弱性管理の意思決定を支援しています。これにより、「どの脆弱性を優先的に修正すべきか」「新たな脆弱性に対し想定される攻撃パターンは何か」といった判断をAIが提示し、限られたリソースの中で、より効果的な対策を講じることが可能となります。

いくつか挙げてみましたが、日本のサイバーセキュリティ市場 × 生成AIの活用は黎明期であり、上記に限らず新しくて強い需要のあるユースケースはまだ存在すると思います。私たちと一緒に模索してくださる方がいましたら、ぜひご連絡ください。

ANOBAKAでは、日本において生成AIビジネスを模索する起業家を支援し、産業育成を実現する目的で投資実行やコミュニティの組成等を行う、生成AI特化のファンドも運用しております。

生成AI領域で起業したい、ANOBAKAメンバーと話してみたいという方はぜひお問い合わせよりご連絡ください!

お問い合わせ

ANOBAKAコミュニティに参加しませんか?

ANOBAKAから最新スタートアップ情報や
イベント情報をタイムリーにお届けします。