「約 95% 自動化」はどの企業の SOC 運用にも当てはまる効果ですか？

いいえ、これは NTTドコモビジネスの新サービス「AI SOC」の設計水準として発表時点で示された数値で、導入企業のセキュリティ機器構成・アラート量・SOC 成熟度によって実効値は変動します。BUSINESS NETWORK 取材記事も、戸畑洋介氏の発言として「約 95% 自動化できる」という能力面の説明として伝えており、契約上の SLA 保証ではありません。社内提案で引用する際は「サービスとして設計された自動化水準」と前提を保ったまま扱うべきです。

「脅威特定までを約 10 分」は何の処理時間ですか？

公式発表によれば、セキュリティ機器（SIEM・EDR・FW・WAF 等）から取得したログとアラートを、AI エージェントが相関分析し「これは本物の脅威か、誤検知か、優先度はどれくらいか」を判定するまでの時間です。人間アナリストが手動でログを突き合わせる従来 SOC 運用では、1 件あたり数十分〜数時間かかるケースも珍しくなく、「約 10 分」はその大幅な短縮を意味します。ただし、複雑なインシデント（横展開・隠蔽攻撃・ゼロデイ）では追加の人手解析が必要になる点は変わりません。

「AI SOC」は完全自動化ですか？人間の SOC アナリストは不要になりますか？

完全自動化ではありません。公式発表で「残りの 5% で人手対応が必要なケースや AI 分析結果に疑問があるケースは NTTドコモビジネスのセキュリティ専門家からサポートを受けられる」と明記されており、Human-in-the-Loop（HITL）を前提とした設計です。AI が判断に迷うケース・誤検知の可能性が高いケース・新種攻撃の可能性があるケースを専門家にエスカレーションする構造は、SOC 自動化の現実解として広く採用されつつあります。社内 SOC でも「AI が処理する 95%」と「人間が処理する 5%」の責任分界とエスカレーション基準の設計が、最も重要なポイントです。

自社で同じような SOC 自動化を構築するには何から始めればよいですか？

段階的な順序として、(1) 既存 SOC のアラート種別・1 日あたり件数・現状の MTTD/MTTR（平均検知時間・対応時間）を計測する (2) 相関分析を自動化できるルール群を SIEM/SOAR で先に整備する (3) AI による相関分析・誤検知判定を Pilot 環境で導入する (4) SOAR との接続で対処を自動化する (5) HITL のエスカレーション基準を運用ルールとして確定する、というステップが現実的です。自社内製が難しい場合は、本事例の「AI SOC」のようなマネージドサービス利用も選択肢になります。Links-Create の AI 研修では、セキュリティ運用に AI を組み込む際の判断軸（自動化と人手の責任分界）を法人決裁者向けに整理しています。

他業種の SOC・運用センターでも応用できますか？

応用可能性が高い構造です。「大量のアラート × 相関分析 × 段階的対処 × 一部の HITL」という構図は、NOC（ネットワーク運用センター）・OT セキュリティ運用・産業制御システム監視・SaaS の不正利用検知などにも転用できます。重要なのは「自動化率」を絶対値で追わず、「自動化できるアラート種別」と「人手対応に残すべきアラート種別」をアラートタクソノミーで明示することです。本事例の「約 95%／約 5%」も、対象とするアラート種別が明示された前提での設計水準として読み解くべきです。

NTTドコモビジネスが「AI SOC」でセキュリティ運用を自動化｜AI エージェント×SOAR で脅威分析を約 10 分、アラート対応を約 95% 自動化【AI活用事例】

公開: 2026-05-22

NTTドコモビジネス通信・セキュリティ（マネージドセキュリティサービス）セキュリティ運用自動化（SOC アラート分析・対処自動化）大手AI エージェント（ログ・アラート相関分析用）マネージド SOAR（自動対処実行用）AI Advisor（脅威分析サポート）

この事例でわかること

NTTドコモビジネスが 2026-05-20 に「AI SOC」サービスを提供開始（公式プレスリリース）
AI エージェントが SIEM・EDR 等のログ・アラートを相関分析し、脅威特定までを約 10 分に短縮
AI Advisor とマネージド SOAR の組合せで、セキュリティアラート対処を約 95% 自動化
残り約 5% の人手対応・AI 分析結果への疑問は NTTドコモビジネスのセキュリティ専門家がサポート（Human-in-the-Loop 設計）
国内エンタープライズ SOC の AI 化検討では、(1) 相関分析の AI 化 (2) SOAR との接続 (3) HITL の責任分界の 3 軸が参照モデル

主な指標（一次ソース確認済み）

脅威特定までの時間: 約 10 分
セキュリティアラート対処の自動化率: 約 95%
残り約 5% の対応: セキュリティ専門家による人手サポート
提供開始日: 2026 年 5 月 20 日

一次ソース: https://businessnetwork.jp/article/34606/ （公開: 2026-05-20）

要約

NTTドコモビジネスが、AI を駆使してサイバー攻撃の脅威を分析・自動対処する 「AI SOC」 サービスを 2026 年 5 月 20 日に提供開始したと公式に発表しました（NTTドコモビジネス公式プレスリリース、2026-05-20）。

サービスの設計水準として、

セキュリティ機器のログ・アラートを AI エージェントが相関分析 し、脅威特定までを 約 10 分 に短縮
AI Advisor とマネージド SOAR の組合せで、セキュリティアラート対処を 約 95% 自動化
残り約 5% の人手対応や AI 分析結果への疑問は NTTドコモビジネスのセキュリティ専門家がサポート

が示されています。本記事は同公式プレスリリースと BUSINESS NETWORK 取材記事（2026-05-20）を一次ソースに、SOC 自動化の構造と国内エンタープライズ SOC 運用への示唆を、Links-Create の視点で整理したものです。引用は短文に限定し、定量効果は「成果保証」ではなく「サービスの設計水準」として記述しています。

何が発表されたか（公式情報ベース）

NTTドコモビジネス公式プレスリリース（2026-05-20）および BUSINESS NETWORK 取材記事（同日公開）から、確認できる事実を整理します。

サービス名: AI SOC（Security Operation Center）
提供開始日: 2026 年 5 月 20 日
中核技術: AI エージェント（ログ・アラート相関分析用）+ マネージド SOAR（自動対処実行用）
設計水準:
- セキュリティアラート発生から脅威特定までを 約 10 分
- セキュリティアラート対処を 約 95% 自動化
HITL（Human-in-the-Loop）構造:
- 残り約 5% の人手対応が必要なケース・AI 分析結果に疑問があるケースは、NTTドコモビジネスのセキュリティ専門家からサポートを受けられる
発表者: マネージド＆セキュリティ部セキュリティサービス部門戸畑洋介氏（記者説明会、2026-05-20）

戸畑洋介氏（NTTドコモビジネス）の説明:「セキュリティアラートへの対処を約 95% 自動化できる」 — 出典: BUSINESS NETWORK 取材記事（2026-05-20）

公式発表で開示されている範囲は「サービスとして実現可能な自動化水準」であり、特定の導入企業の SOC で実測された値ではない点には注意が必要です。本記事も、すべての定量効果について「サービス設計水準」として扱い、「成果保証」のような断定的な表現は避けています。

技術構造の整理（Links-Create による解説）

1. 「アラート爆発」と SOC 自動化の必然性

エンタープライズ SOC が直面する最大の課題は、SIEM・EDR・FW・WAF・CASB・XDR 等から日々生成される数万〜数十万件のアラート を、限られた人数の SOC アナリストが処理しきれないことです。

経験的に SOC 運用では、

検知される「アラート」の大半は 誤検知 (False Positive)
そのうち 本物の脅威 (True Positive) は数 %
True Positive の中でも 緊急対応すべきインシデント はさらに一部

という分布になります。アラートを 1 件ずつ人手で精査していると MTTD（Mean Time To Detect）が伸び、攻撃者の横展開・データ持ち出しが進む時間を与えてしまいます。「AI SOC」のような 相関分析の AI 化＋対処の SOAR 化 は、この構造的問題への現代的な解の一つです。

2. AI エージェントによる相関分析と「約 10 分」の意味

「AI SOC」が掲げる 約 10 分で脅威特定 という数値は、単一アラートの一次判定だけを指すのではなく、

複数のセキュリティ機器から 横断的にログ・アラートを取得
AI エージェントが時系列・送信元・対象資産・攻撃シグネチャ・MITRE ATT&CK のテクニックなどで相関分析
「これは本物の脅威か、誤検知か、優先度はどれくらいか」 を判定

までの一連処理を指していると読み解けます。これは人間アナリストが SIEM 画面と EDR 画面を行き来しながら手動で突き合わせる作業に相当し、従来は 1 件あたり数十分〜数時間 かかるケースも珍しくありませんでした。

ただし、複雑なインシデント（横展開・隠蔽攻撃・ゼロデイ・サプライチェーン攻撃）では、相関分析後に追加の人手解析が必要になる点は変わりません。「約 10 分」は シンプルな脅威の一次判定 に対する数値として読むのが安全です。

3. マネージド SOAR と「約 95% 自動化」の射程

SOAR（Security Orchestration, Automation, and Response）は、

検知 → トリアージ → エンリッチメント → 対処 → クローズ

という SOC のワークフロー全体を、Playbook によって自動実行する基盤です。「AI SOC」では AI エージェントの相関分析結果を マネージド SOAR の Playbook に渡すことで、対処（遮断・隔離・チケット起票・通知）まで自動化される設計と読めます。

軸	従来 SOC	AI SOC
相関分析	人間アナリストが SIEM/EDR を横断手動	AI エージェントが自動相関
一次判定	数十分〜数時間	約 10 分（公式発表）
対処実行	人間アナリストが手動操作	マネージド SOAR で自動実行
アラート対処の自動化率	ルールベース SOAR で部分自動化	約 95%（公式発表）
人手対応の位置	中心	約 5% のエスカレーション専門業務へ集約

ここで重要なのは、「95% 自動化＝人間が不要」ではなく、「人間の役割が『日常アラート裁き』から『高度な判断・例外処理・チューニング』へシフトする」 という構造変化です。

4. Human-in-the-Loop（HITL）の責任分界設計

公式発表で明示された「残り約 5% の人手対応や AI 分析結果への疑問は NTTドコモビジネスのセキュリティ専門家がサポート」という記述は、SOC 自動化を考えるうえで本事例の最も重要な設計指針です。

エンタープライズの SOC 運用では、

AI の判断結果に「疑問あり」と SOC アナリストが感じたケース
新種攻撃の可能性があり、AI の学習データに含まれていないケース
重大インシデント発生時に AI 判断の妥当性を再確認する必要があるケース

が必ず発生します。これらをどう扱うかを HITL のエスカレーション基準 として明文化することが、SOC 自動化の運用品質を決定づけます。

「AI SOC」では、この HITL を提供側（NTTドコモビジネスのセキュリティ専門家）が担う マネージドサービス型の責任分界が採用されています。自社内製で SOC 自動化を進める場合は、HITL を誰が担うか（社内アナリスト／MSSP／ハイブリッド） を最初に決めることが、現実的な設計の出発点になります。

想定効果と限界

公式発表で明示されている設計水準

セキュリティアラート発生から脅威特定までを 約 10 分（NTTドコモビジネス公式）
セキュリティアラート対処を 約 95% 自動化（同上、戸畑氏発言）
残り約 5% は NTTドコモビジネスのセキュリティ専門家がサポート（同上）

公式発表で開示されていない情報（推論で書かない）

適用対象となるアラート種別（SIEM/EDR/FW/WAF/CASB すべてか、限定か）
「約 95%」「約 10 分」の前提となるアラート量・環境構成
価格帯・契約形態・最低契約期間
対象顧客層（業種・規模）
同社既存マネージドセキュリティサービスとの統合・棲み分け
国内・海外の地域別提供範囲

これらは公式情報がないため、本記事でも記載しません。「約 95% 自動化」を社内提案で扱う際は、「これは設計水準であり、自社環境での実効値は別途検証が必要」 という前提を必ず併記することが、信頼性を保つ鍵です。

国内エンタープライズ SOC への示唆（Links-Create の視点）

本事例から、国内のエンタープライズ SOC 運用に AI を取り入れる際の検討軸を 3 つに整理します。

示唆 1: 「自動化率」ではなく「自動化できるアラート種別」を定義する

「AI SOC」の「約 95%」のような数値は、対象とするアラート種別のタクソノミー が前提にあります。自社 SOC でも、

完全自動化可能な低リスクアラート（既知パターン・ルールベース判定が高精度）
AI による相関分析で自動化可能なアラート（複数ソース突き合わせが必要）
HITL が必須のアラート（新種攻撃・高インパクト資産・経営判断が絡むケース）

の 3 階層に分類し、各層の比率を可視化することが、SOC 自動化のロードマップ作成の出発点になります。

示唆 2: 相関分析の AI 化と SOAR 接続は別物として設計する

「AI SOC」の構造は AI エージェント（分析） × マネージド SOAR（対処） の組合せです。社内で類似構造を目指す場合、

相関分析の AI 化: SIEM/SOAR ベンダー提供の AI 機能、または独自 LLM/エージェント実装
SOAR Playbook の整備: 検知 → 対処までのワークフローのコード化
両者の接続: AI 判定結果を SOAR に渡す API・Schema 設計

を別レイヤとして整理することが、ベンダーロックインを避けつつ段階導入を進めるうえで有効です。

示唆 3: HITL の担い手と責任分界を最初に決める

SOC 自動化で最も後回しにされがちなのが、「AI 判定に疑問があるとき、誰がどの権限で介入するか」 の責任分界設計です。「AI SOC」がマネージドサービスとして HITL を提供側に集約しているように、社内内製でも、

SOC アナリストの権限と裁量範囲
AI 判定オーバーライド時のログ取得・監査
重大インシデント時の経営層エスカレーション基準
AI の False Negative（見逃し）に対する責任

を、運用開始前に明文化する必要があります。

法人 AI 研修への示唆（Links-Create の視点）

本事例から、法人での AI 活用研修・組織導入で押さえるべき点を 3 つ整理します。

AI の責任分界をビジネス側が設計する: 「AI SOC」が示すように、AI 活用は「人間を排除する」のではなく「人間の役割を再配置する」プロジェクトです。SOC・コンタクトセンター・与信審査・医療診断補助など、ミッションクリティカルな業務領域では、AI 導入と並行して 責任分界とエスカレーション基準 を業務責任者が設計する必要があります。Links-Create の AI 研修では、この責任分界の設計を法人決裁者向けに体系化しています。
エージェント型 AI の評価軸を学ぶ: 「AI SOC」の AI エージェントは、生成 AI（LLM）が「テキストを生成する」のとは異なり、「目標達成のために自律的に判断し、行動を連鎖させる」 エージェント型 AI に近い構造です。エージェント型 AI を評価する軸（行動空間・状態管理・ガードレール・観測可能性）を、技術者だけでなくビジネス側決裁者も理解しておくことが、適切な選定の前提です。
マネージドサービス vs 内製の判断軸: SOC のような専門人材確保が難しい領域では、本事例のようなマネージドサービスを利用することが現実解になり得ます。社内研修も「すべてを内製化する技術者」を育てる方向だけでなく、「マネージドサービスを使いこなしながら社内側の責任分界を運用する人材」を育てる方向の設計が必要です。

出典・引用ポリシー

本記事の事実情報は、以下の 2 つを一次ソースとしています。

技術構造の解説・エンタープライズ SOC への示唆・研修への示唆は Links-Create の独自分析であり、NTTドコモビジネスの公式見解ではありません。

数値はすべて公式発表時点の「サービスの設計水準」として記述しており、「成果保証」ではない点を明示しています。「約 95% 自動化」「約 10 分で脅威特定」は、適用対象のアラート種別・運用環境・契約条件に依存し、すべての導入企業で一律に得られる値ではありません。社内提案で引用する際は、必ず前提条件を併記し、自社環境での実効値は別途検証する旨を補足することを推奨します。

公式情報の更新があれば、本記事も追従して更新します。