CyberAId：金融サービス向けのAI駆動サイバーセキュリティ

要旨: 欧州の金融機関は、セキュリティ運用センターがデータや人員の制約ではなく「推論能力」の制約によって限界を抱えている一方で、規制圧力は高まり続けています。企業向けSIEMはMITRE ATT&CKの技法のわずか一部しかカバーできず、SOCチームの2/3はアラート量の増加に追いつけません。また大多数の侵害は、生成されるものの決して調査されないアラートによって先行されています。現在、フロンティアの大規模言語モデルは、単発のサイバーセキュリティ課題（1日での脆弱性悪用、コードレベルのパッチ適用、侵入検知）において最先端の成果を達成しています。しかし、特定の狭い勝利だけでは、機能横断で合成でき、マルチテナントの状態を永続化し、調査結果を規制体制に対応付け、監査に耐え得るようなプラットフォームは成立しません。本論文は、構築の正しい単位はハイブリッドなマルチエージェントシステムであると主張します。このシステムでは、専門化したLLMサブエージェントがSIEM/XDRの古典的テレメトリを置き換えるのではなく、それをもとに推論します。さらに、プライバシー保護を伴うフェデレーションによって蓄積されたエージェントの状態を機関間で共有し、量子ベースの認証、敵対的検証のためのデジタルツイン、eBPFベースのカーネルテレメトリといった補完的な機能パックに接続できるようにします。私たちはCyberAIdを提示します。CyberAIdはモデル非依存で、オンプレミスにデプロイ可能なプラットフォームであり、メインエージェントの調整レイヤー、レポーティング機能、および専門サブエージェントが、境界付きの人間が介在する（human-in-the-loop）自律性のもとで共有ランタイム内で動作します。これは、4つの反証可能な設計原則に基づいて整理され、関連する規制にも整合しています。CyberAIdは、4つの代表的な金融ユースケース（クライアントなりすまし、不正資金洗浄対策：支払サービス提供者向け、小売銀行のインシデント対応、高頻度取引のレジリエンス）で検証され、各デプロイを継続的に洗練される集団防御への貢献へと変えるための最も有望な研究方向として、スキルベースのエージェント適応を提案します。