Agentforce を備えたセキュリティセンターについて学ぶ
学習の目的
この単元を完了すると、次のことができるようになります。
- Security Agent が AI を使用してセキュリティ脅威の検出、把握、対応をどのように簡素化するかを説明する。
- セキュリティエージェントのワークフローの 3 つの主要なステップを説明する。
- セキュリティエージェントがセキュリティセンターとイベントモニタリングの機能をどのように活用するかを概説する。
Agentforce の違い
現代のセキュリティチームには、顧客データを保護するうえで非常に大きな負荷がかかっています。複雑なデータから意味のある価値を引き出すには、専門的なスキルが必要であり、単に 1 つの潜在的なリスクを特定するだけでも、時間のかかるクエリ作成が必要です。手動プロセスに頼ってセキュリティ脅威を特定していると、対応時間が遅くなり、組織は後手に回った状態に置かれます。
Agentforce を備えたセキュリティセンターは、この状況を根本から変えます。システム管理者とセキュリティ担当者は、セキュリティエージェントと呼ばれる AI 主導のアシスタントを使用して、これまで以上に迅速にセキュリティ脅威を検出し、把握して、対応できます。
セキュリティエージェントは、セキュリティセンターとイベントモニタリングの強力な機能を活用して、セキュリティイベントのワークフローの各ステップであるイベントの検出、リスクの調査、脅威の修復をわずか数分でガイドします。セキュリティエージェントは、自然言語による会話を通して、インシデント対応の各ステップでセキュリティチームを導く信頼できるガイドとして機能します。
AI 主導のセキュリティワークフローを開始する
あらゆるインシデント対応の最初のステップは、セキュリティイベントが発生したことを認識することです。セキュリティエージェントに質問したり指示を出したりすると、エージェントはその内容から、セキュリティセンターとイベントモニタリングのメトリクスとアラートに対象を絞ったクエリを生成します。
たとえば、まず「過去 48 時間の異常なユーザーの活動をすべて表示してください」と依頼します。
セキュリティエージェントはこの依頼を処理し、優先順位付けされたアラートのリストをまとめます。このリストでは、通常とは異なるログインパターン、API コールの予期しない急増、大量のレポートエクスポートなど、主要な異常事態が示されます。対応するセキュリティ異常をこのリストから選択する際にも Agentforce がサポートします。このようにして、セキュリティワークフローが開始され、インシデント対応の最初のステップが完了します。
セキュリティエージェントで調査する
異常が検出されると、次は最も重要なステップであるコンテキストの構築に進みます。従来は、ログやユーザーの活動を関連付けるために複数のツールをまたいで確認する必要があったため、ここで多くの調査が停滞していました。
セキュリティエージェントは、Agentforce の強力な専用アクションを使用して、データ調査をガイドします。必要なのは、最初のステップで生成されたリストから特定のアラートをエージェントに指定することだけです。
たとえば、「その高リスクの API 異常について詳しく教えてください」と依頼します。すると、セキュリティエージェントは複数のステップから構成されるシームレスな調査を実行します。
- ユーザーを特定する: エージェントは、そのイベントに関連する特定のユーザーを特定します。
- 証拠を収集する: エージェントは専用の Summarize User Activity (ユーザー活動を要約) アクションをトリガーします。このアクションは、対象期間内のそのユーザーについて、LoginData、ReportData、ApiUsageData など、イベントモニタリングの関連ログストリームを取得します。
- 状況を要約する: エージェントは、この情報を簡潔で理解しやすい要約にまとめます。このレポートでは、データダウンロードの急増など、主要な行動の変化が強調され、リスクを評価するために必要な完全なコンテキストが提供されます。
コンテキストを把握するためにシンプルな未加工データが必要な場合は、エージェントに Get Security Metric Data (セキュリティメトリクスデータを取得) アクションを実行させることもできます。このアクションは、セキュリティセンターから未加工のセキュリティメトリクスデータを取得し、アナリストが詳細なメトリクス値を確認して、セキュリティの傾向や状態をより細かく把握できるようにします。
このようにコンテキストの構築を自動化することで、エージェントは調査ステップを加速し、チームがその活動が悪意のあるものか、正当なものか、またはアカウント侵害の兆候かをすばやく判断できるようにします。セキュリティイベントで何が起きたのかを完全に把握できたので、次は解決策です。
修復によって対応を完了する
セキュリティワークフローは、修復計画が実施されて初めて完了します。コンテキストの要約が提示されると、エージェントは Classify Security Risk (セキュリティリスクを分類) アクションを実行します。このアクションは、AI を使用して収集されたデータを分析し、正確なリスク分類を割り当てて、次に進むための詳細な計画を提案します。
修復計画は、エージェントが組織固有のデータ、リスクプロファイル、事前設定されたセキュリティポリシーによってグラウンディングされるため、カスタマイズされた内容になります。これにより、安全で事前定義されたフローまたは API を通して実行されるエージェントの推奨アクションが、効果的であるだけでなく、コンプライアンスにも準拠していることが保証されます。セキュリティエージェントは、特定した脅威を軽減するために、ユーザーアカウントのロック、多要素認証要件の開始、特定のレポートアクセスの制限など、具体的な手順を提示します。
セキュリティエージェントは、検出、調査、修復をシームレスな会話形式のワークフローに統合することで、セキュリティ運用を後手で複雑なプロセスから、先見的でガイド付きのジャーニーへと変革します。Agentforce を備えたセキュリティセンターを使用すると、既存のセキュリティセンターとイベントモニタリングの設定が持つ機能を、これまでにない速さと明確さで最大限に活用できます。
Agentforce を備えたセキュリティセンターを実装する
セキュリティエージェントを使い始めるには、まず組織でセキュリティセンターとイベントモニタリングが設定されていることを確認します。また、Agentforce Platform アドオンのサブスクリプションも必要です。
データが安全かつ非公開で取り扱われるように、セキュリティエージェントは Einstein Trust Layer を使用して構築されています。このシステムは共有セキュリティモデルに基づいて動作します。Salesforce は Trust Layer などのプラットフォームセキュリティを提供しますが、エージェントの権限とアクセスを設定する責任はお客様が担います。これらのガードレールによって、自律型エージェントにできることとできないことの重要な境界が設定され、定義されたセキュリティポリシーの範囲内で、そのアクションが安全かつコンプライアンスに準拠して実行されることが保証されます。