能動的サイバー防御（ACD：Active Cyber Defence）が日本でも本格的にスタートした2025年。予兆を捉えて能動的にサイバー攻撃に対処できる体制作りが組織の規模を問わず、重要となっています。そこで注目を集めるのが、「AIOps（AIを活用したシステム運用の自動化・最適化）+ LLM」による高度なインシデント検知のアプローチです。

本記事では、AIOpsにLLMを組み合わせることで生まれる価値を活用例とともに解説。さらに、中堅企業でも導入可能な小規模スタートや、導入時に留意すべき学習データの品質や誤検知の扱いといった実践的なポイントをご紹介します。

AIOpsとLLMの違いは？ 両者の組み合わせがもたらす高度なインシデント検知

そもそも、AIOpsとLLMはどこが違うのでしょうか？ また、AIOpsにLLMを組み合わせることでどのような価値が得られるのでしょうか？

AIOpsは「AIを用いたITインフラの運用」、LLMは「自然言語の処理に特化したAI」

AIOpsは、ITインフラから収集されるデータをAIが“分析”して異常検知や問題解決を行うアプローチ全般を指します。その分析手法は人間がしきい値を設定するルールベースから、機械学習を用いたものまで多岐にわたります。

一方、LLM（大規模言語モデル）は大量の言語データを学習したAIモデルで、自然言語を処理することに特化しています。そのため、「自然言語を文脈ごと理解して知識化する力」に強みがあり、問い合わせチケットやエラーメッセージなどの非構造化データを知識化・整理できます。

AIOps+LLMで生まれる三つの価値

AIOpsにLLMを組み込む「AIOps+LLM」アプローチにより、従来のAIOpsでは扱いきれなかった“曖昧な情報”や“文脈に依存する兆候”を検知できるようになります。その結果生まれる価値としては以下の三つが挙げられます。

アラートとユーザー報告の紐付け

サーバの応答遅延ログと「画面が固まる」といったユーザーの問い合わせを自動で関連付け。サマリーやレポートをもとに、これらを“バラバラの事象”ではなく一つのインシデントとして早期に把握します。

ナレッジの自動生成と検索性向上

「似た障害のときはこの設定変更で解決」など、過去の対応履歴をLLMが要約・整理。SOCや情シス担当者が、検索一つで再利用できる“実務的ナレッジベース”として即参照可能になります。

非定型なインシデントへの対応力強化

「ログに異常値はないのにVPN接続が断続的に切れる」など、単純なしきい値では捉えられない複雑な事象を、ユーザー行動や過去の攻撃パターンを踏まえた‟文脈理解”で分析。従来熟練者でなければなかなか気付けなかった潜在的リスクを読み解けます。

事例に学ぶ──AIOps×LLMの三つの活用例

AIOpsとLLMの組み合わせは、実際の運用現場で成果を上げ始めています。ここでは、よくあるIT運用業務における代表的な活用例を通じて、その有用性を確認していきましょう。

活用例1：アラートとユーザー報告の“意味的”なつながりを発見

ユーザーからの問い合わせ内容とシステムログを照らし合わせる作業は、これまで担当者の経験や勘に頼る部分が大きく、曖昧な報告は“単発の不具合”として見逃されがちでした。しかし、AIOpsにLLMを組み合わせることで、以下のようにそうした曖昧な情報の裏に潜む“構造的な兆候”を捉えることが可能になります。

ケース

ある月曜日の朝、「画面がフリーズする」「応答が遅い」といったユーザーからの問い合わせが複数件届く。しかし、システム側ではエラーログやしきい値超過のアラートは出ておらず、担当者は再起動による対応を依頼することで対処している。

AIOps+LLMによる対応とその成果

AIOpsが収集した「DBサーバ応答時間が通常より+300ms遅延」といった軽微なログと、ユーザーの自然言語による問い合わせ内容を、LLMが意味的に関連付けて分析。過去の対応履歴と照合した上で「同様の遅延がUI全体の操作性に影響を与えた事例がある」と判断し、関連する複数の事象を一つの“インシデント”として自動的に整理したレポートが出力された。それにより、ユーザーからのUIに関する問い合わせがあった段階でシステム全体に影響をおよぼす予兆として早期に検知。迅速な初動対応により、システム全体に影響がおよぶ前に問題を解決することが可能となった。

活用例2：過去ナレッジの“文脈化”で再発対応をスピードアップ

システム運用においては、過去の対応履歴やチケット情報が“属人化”しやすく、同じような障害が発生した際にも知見が十分に活かされないケースが少なくありません。AIOps+LLMは、散在する非構造データを文脈ごとに整理し、活用可能なナレッジとして再構成するために有効です。

ケース

ある週末、クラウド環境において定期実行されているジョブが突然失敗。実は過去にも同様の障害が発生しており、その際の対応として「IAM権限の設定ミスが原因だった」とチケットに記録されていた。しかし、今回の担当者はその情報にすぐアクセスできず、原因の特定に半日を要してしまった。

AIOps+LLMによる対応とその成果

過去のインシデントチケット、エンジニア間のチャット内容、ナレッジベース上のドキュメントなど、構造化されていないデータをLLMによって要約・再構成。それにより、LLMは「定期ジョブの失敗」という現在の障害に対して、「過去にもIAM権限の設定が原因で類似の障害が発生していた」と文脈を踏まえた分析を行い、自然言語で関連ナレッジを提示してくれた。その結果、担当者は即座に前回の対応内容と修正手順を確認し、復旧までの時間を従来の1/4に短縮することができた。

活用例3：非定型な“潜在的リスク”をLLMが可視化

従来の運用監視では、ログやアラートに「数値的な異常」が現れなければ問題として認識されにくく、そのほかの不具合は“環境由来の一時的な不安定”として処理されがちでした。AIOpsにLLMを組み込むことで、数値化されない曖昧な現象を文脈から読み解き、“潜在的リスク”を浮かび上がらせることが可能になります。

ケース

ある日、複数の部署から「VPNが日中に断続的に切れる」との報告が相次ぐ。しかし、システムのログにはパケットロスやサーバの過負荷など明確な異常は記録されておらず、原因は数日間特定できないままとなっていた。

AIOps+LLMによる対応とその成果

AIOpsが収集した接続ログやユーザー操作履歴、外部通信のメタデータなどを基に、LLMが“VPN切断”に関連する過去の障害ケース、セキュリティインシデント報告、攻撃パターンといった非構造データを横断的に分析。その結果、VPN切断が「海外IPアドレスからの不審な接続試行」と同時刻帯に集中して発生していることを特定できた。さらに、過去のAPT攻撃の事例とも共通する傾向が見られたことから、「外部からのスキャン活動による干渉の可能性が高い」との示唆が自動的に出力された。結果として、ネットワーク側での遮断ルールの追加やEDR強化といった早期対処につなげることができた。

中堅企業が導入する際のポイントは？

AIOps＋LLMの活用は、大企業だけの話ではありません。ナレッジや人的リソースに限りがある中堅企業こそ、運用の効率化や属人化解消の手段として、このテクノロジーを生かす価値があります。ただし、導入にあたっては戦略的なスモールスタートなど、いくつかのポイントを押さえる必要があります。以下で詳しく見ていきましょう。

なぜスモールスタートが重要なのか──二つの実践ポイント

AIOps＋LLMのような高度な仕組みを導入する際、最初から全社的に適用を試みるのはリスクが高く、現場の混乱や投資効果の不透明さにつながるおそれがあります。そのため、限定的なスコープで効果を見極める「スモールスタート」のアプローチが導入の基本となるでしょう。

まずは、一部のシステムログや問い合わせチケットなどを対象としたPoC（概念実証）から始めるのが基本です。例えば、ネットワーク障害に関するログだけを対象にAIOpsを適用し、事前に設定したKPIに基づいて「どの程度の精度で異常の予兆を捉えられるのか」といった具体的な成果を検証します。

また、「予兆検知」や「問い合わせ履歴のナレッジ化」といった、限られたユースケースに焦点を当てて実装することも有効です。あらゆる課題を一度に解決しようとするのではなく、自社にとって優先度が高く、明確な効果が見込める領域から着手することで、社内での理解や支持が得やすくなるはずです。

こうした取り組みを通じて、現場の納得感と合意形成を着実に育みながら、将来的な全社展開に向けて適用範囲を拡大していくことが、AIOps＋LLMを成功させる上でのカギとなるのです。

導入時に注意すべき“二つの落とし穴”

AIOps＋LLMの導入時には、LLMを活用するからこそ特に注意すべき“二つの落とし穴”が存在します。それぞれについて「なぜなのか」「どうすべきなのか」に焦点を当て、詳しく見ていきましょう。

学習データの品質確保──“過去の誤り”が未来の判断ミスを招く

LLMは、過去の対応履歴やログを学習して判断パターンを構築します。しかし、そのデータに誤った対応例や人為的ミスが混在していると、それを“正しい判断”として再現してしまうリスクがあります。 例えば、「本来不要な再起動を繰り返していた対応」や「根本原因にたどりついていない暫定処置」などを学習させてしまうと、AIが同様の判断を自動的に繰り返すことになりかねません。

だからこそ、導入前には対象となる過去データをあらかじめ精査・整理し、「学ばせるべき知識」と「除外すべき誤情報」を峻別する準備フェーズを設けるのがセオリーとなります。

誤検知の扱い方──“AIは補助者、判断者は人間”という設計思想

LLMによる予兆検知は万能ではなく、意図しない誤検知や過検知が発生する可能性を前提に運用を設計する必要があります。特に「曖昧なログ」や「複雑な文脈」を分析する場面では、AIの判断をそのまま鵜呑みにせず、人による最終レビューや検知精度のフィードバックループを組み込むことが必要となるでしょう。

「人手不足の中、AIを活用して省力化したい」というニーズが強まる一方で、AIに任せきりの運用はかえって新たなリスクを生む可能性もあります。そのため、「人間が最終判断を下す」という運用を前提に、いかに精度を高めるのかを考えることが、最短で成果を得るためには重要となるのです。

「AIOps＋LLM」×「人」が運用の高度化を生み出す

AIOps＋LLMは、単なるIT自動化ツールではありません。

「曖昧な問い合わせが実はインシデントの予兆だった」「過去の対応履歴から素早く正解にたどり着けた」「定量的なログでは捉えきれないリスクを検知できた」──そうした“かつてはベテランの勘頼り”だった運用を、AIとLLMの力で再現性のある形に変えていくのが、このアプローチの本質です。

この領域の進化は著しく、一部の先進事例ではアラートの優先順位付けや、対応手順の自然言語生成（LLMによるプレイブック生成）といった領域でも応用が進んでいます。AIOps＋LLMとともにシステムの運用を高度化していく運用体制をつくっていくのが、今人に求められている重要な役割の一つなのです。