Articles › Security

过去 18 个月里,所有卖安全产品的厂商都在自己的营销页面上贴了「AI」标签。绝大多数只是改头换面的 ML 分类 — 早就存在的异常检测,换上 2024 年的外衣。真正有意思的地方 — 也是大多数团队失败的地方 — 是当你真的把一个会调用工具的 LLM agent 接入告警管道,让它像 Tier-1 分析师那样做研判。

この 18 か月間、セキュリティ製品を持つベンダーは皆、マーケティングページに「AI」というラベルを貼り付けてきました。その大半は再ブランド化された ML 分類 — もともと存在していた異常検知に 2024 年の衣装を着せたもの — に過ぎません。本当に興味深い、そしてほとんどのチームが失敗するのは、tool-using LLM agent をアラートパイプラインに実際に組み込み、Tier-1 アナリストのようにトリアージさせようとした時です。

ในช่วง 18 เดือนที่ผ่านมา vendor ทุกเจ้าที่ขายผลิตภัณฑ์ security ต่างก็แปะคำว่า "AI" ลงบนหน้าการตลาดของตัวเอง ส่วนใหญ่เป็นแค่ ML classification ที่ rebrand ใหม่ — anomaly detection ที่มีอยู่แล้วตั้งนาน แต่งตัวใหม่ให้ดูทันสมัย ที่น่าสนใจจริง ๆ — และที่ทีมส่วนใหญ่พังตรงนี้ — คือตอนที่คุณต่อ tool-using LLM agent เข้ากับ alert pipeline จริง ๆ และให้มัน triage แบบที่ Tier-1 analyst ทำ

Every vendor with a security product has bolted "AI" onto the marketing page in the last eighteen months. Most of it is rebranded ML classification: anomaly detection that already existed, dressed in 2024 clothes. Where it gets genuinely interesting — and where most teams fail — is when you actually wire a tool-using LLM agent […]

日本のサイバーセキュリティ市場で、これまでにない規模の需要波が形成されつつあります。しかし、それを支えるべきインフラベンダー側は、構造的にこれを吸収する準備ができていません。

一份完整的现场报告：我们如何为一家中型企业用 Wazuh、DFIR-IRIS 和一个自研的 Python 中间层搭建出真正可用的安全运营中心 — 哪些设计有效、哪些坑踩过、以及那些真正影响成败的工程决策。

中堅企業向けに、Wazuh、DFIR-IRIS、Pythonで自作したミドルウェアで本番運用のSOCを構築した実装記録です。実際に効いた設計、つまずいた箇所、そして本当に重要だった技術判断を整理します。

เบื้องหลังการสร้าง SOC ระดับ production สำหรับองค์กรขนาดกลาง โดยใช้ Wazuh, DFIR-IRIS และ middleware ที่เขียนเองด้วย Python — สิ่งที่ใช้ได้จริง สิ่งที่พังกลางทาง และเหตุผลทางวิศวกรรมที่สำคัญ

A behind-the-scenes look at how we built a production SOC for a mid-sized enterprise using Wazuh, DFIR-IRIS, and a custom Python middleware — what worked, what broke, and the engineering decisions that actually mattered.

When your AI system goes live, it doesn’t just gain capabilities — it gains an attack surface that didn’t exist before. Most enterprises have invested years hardening their applications, networks, and endpoints. But the AI layer introduces a fundamentally different category of vulnerability that traditional security tools were never designed to handle.

引言 无人机已不再是单打独斗的角色。现代任务——搜索救援、精准农业、基础设施巡检、安防作业——日益依赖蜂群：由多架UAV协同编队，分工完成任务，共享态势感知，实现单机无法达成的目标。

はじめに ドローンはもはや単独の存在ではありません。捜索救助、精密農業、インフラ点検、安全保障といった現代のミッションは、スウォーム（群れ）への依存度を高めています。スウォームとは、タスクを分担し、状況認識を共有し、単機では達成できない目標を協調して実現するUAV群です。

บทนำ โดรนไม่ได้ทำงานคนเดียวอีกต่อไป ภารกิจสมัยใหม่ — ค้นหาและกู้ภัย, เกษตรกรรมความแม่นยำสูง, ตรวจสอบโครงสร้างพื้นฐาน, ภารกิจด้านความมั่นคง — ต้องอาศัย "ฝูงบิน" (swarm): กลุ่ม UAV ที่ทำงานประสานกัน แบ่งงาน แชร์ข้อมูลสถานการณ์ และบรรลุเป้าหมายที่โดรนตัวเดียวไม่สามารถทำได้

Introduction Drones are no longer solo actors. Modern mission profiles — search and rescue, precision agriculture, infrastructure inspection, defense — increasingly rely on swarms: coordinated groups of UAVs that divide tasks, share situational awareness, and collectively achieve what no single drone can.

战争从不局限于战场。自2022年俄罗斯全面入侵乌克兰以来，遭受最持续攻击的目标不是军事基地或武器库，而是能源基础设施——变电站、天然气管道、发电厂和输电线路被导弹、无人机和网络攻击反复打击，目标是冻结平民生活，瓦解关键系统。

戦争は戦場だけにとどまりません。2022年にロシアがウクライナへの全面侵攻を開始して以来、最も一貫して標的にされてきたのは軍事基地でも武器庫でもなく、エネルギーインフラです。変電所、ガスパイプライン、発電所、送電線が繰り返しミサイル、ドローン、そしてサイバー攻撃によって標的にされてきました。

สงครามไม่ได้เกิดขึ้นแค่บนสนามรบ นับตั้งแต่รัสเซียเปิดฉากรุกรานยูเครนเต็มรูปแบบในปี 2565 เป้าหมายที่ถูกโจมตีอย่างสม่ำเสมอที่สุดไม่ใช่ฐานทัพหรือคลังอาวุธ แต่คือ ระบบโครงสร้างพื้นฐานด้านพลังงาน — สถานีไฟฟ้า ท่อส่งก๊าซ โรงไฟฟ้า และสายส่งไฟฟ้า ล้วนถูกโจมตีซ้ำแล้วซ้ำเล่าโดยทั้งอาวุธจริงและมัลแวร์

War does not stay on the battlefield. Since Russia’s full-scale invasion of Ukraine in 2022, one of the most consistent targets has not been a military base or a weapons depot — it has been the power grid. Substations, gas pipelines, thermal plants, and transmission lines have been hit repeatedly by missiles, drones, and cyberattacks […]

あなたのSOCは、アラートの洪水に溺れていないだろうか。 企業のセキュリティオペレーションセンター（SOC）が1日に受信するアラートは平均4,484件、28種類以上のツールから届く。アナリストが1件のアラートを調査するのに平均70分かかり、誰かが最初に確認するまでに56分が経過する。Devo社の「2024 SOC Performance Report」によれば、アラートの53%がfalse positiveであり、約半数は一度も調査されない。

ทีม SOC ขององค์กรกำลังจมอยู่กับปริมาณ alert ที่ท่วมหัว ศูนย์ปฏิบัติการด้านความปลอดภัย (SOC) ระดับองค์กรโดยเฉลี่ยได้รับ 4,484 alerts ต่อวัน จากเครื่องมือกว่า 28 ระบบ นักวิเคราะห์ใช้เวลาเฉลี่ย 70 นาทีในการตรวจสอบ alert เพียงหนึ่งรายการ และกว่าจะมีคนเปิดดู alert นั้น เวลาก็ผ่านไปแล้ว 56 นาที จากรายงาน Devo SOC Performance Report ปี 2024 พบว่า 53% ของ alerts เหล่านั้นเป็น false positive และเกือบครึ่งหนึ่งไม่เคยถูกตรวจสอบเลย