Command Zero API・MCP公開でSOC調査を外から動かす

セキュリティ運用の現場では、アラート対応に追われるアナリストが調査ツールのコンソールに張り付く時間が長すぎる。この構造を変える動きが出てきた。

AI搭載の自律型SOC（セキュリティオペレーションセンター）プラットフォーム「Command Zero」が、2026年4月29日にAPIエンドポイントとMCPサーバーを公開した。これにより、脅威ハンティングやインシデント調査をCommand Zeroの管理画面を開かずにプログラムから操作できるようになった。

この記事でわかること：

• Command Zeroが公開した4種類のAPIの内容
• MCPサーバーで何ができるか
• SOARやAIエージェントとの連携で変わるSOC運用
• 競合するAgentic SOCプラットフォームとの位置づけ

Command Zeroとは何か

https://www.commandzero.ai

Command Zeroは2021年創業のサイバーセキュリティ企業で、本社はテキサス州オースティンにある。Andreessen Horowitz、Insight Partners、Okta Venturesなどから累計約3,100万ドルを調達している。2025年のRSA Innovation Sandboxではトップ10ファイナリストに選出された。

プラットフォームの中核は、LLM（大規模言語モデル）を活用した自律型の調査エンジンだ。セキュリティアナリストが手動で数時間かけていた調査を、AIエージェントが自動で実行する。Tier-1エスカレーションの90%を自律処理できるとされており、調査プロセスの標準化・再現性・監査対応も組み込まれている。

今回のアップデート：4つのAPIとMCPサーバー

今回公開されたのは、4つのAPI群とMCPサーバーだ。

Investigation APIは調査の一覧取得・開始・拡張・更新・取得を、任意の調査テンプレートに対して実行できる。アラート発生と同時に外部システムから調査を自動起動する、といった使い方が想定されている。

Business Context APIは、ServiceNow、CTEM（継続的脅威エクスポージャー管理）プラットフォーム、人事システムなどからビジネスコンテキストを大量に取り込む。これまでコンソールから手動入力していた情報を、プログラム経由で一括登録できるようになった。

Catalog & Schema APIは、エンティティタイプ・データソース・調査テンプレートを照会する。外部システムとCommand Zeroのデータモデルを合わせるためのAPIだ。

Remediation APIは、修復テンプレートの一覧取得と修復アクションの実行を外部システムから行える。

MCPサーバーがもたらす変化

MCP（Model Context Protocol）は、AIエージェントが外部ツールと通信するための標準プロトコルだ。Command ZeroのMCPサーバーは上記APIのラッパーとして動作し、ClaudeなどMCP対応のAIエージェントからCommand Zeroへ直接クエリを投げられる。

具体的には、AIチャットインターフェースからヘルスチェックの実行、調査の一覧表示、オープンケースのトリアージ、カスタムダッシュボードの構築が可能になる。セキュリティアナリストがClaudeに「今週のオープンケースを要約して」と指示すれば、Command Zeroのデータを直接参照した回答が返ってくる。

SOC運用はどう変わるか

APIとMCPサーバーの公開によって、Command Zeroの調査エンジンをSOC内の他ツールに組み込む道が開けた。

SOAR（Security Orchestration, Automation and Response）プレイブックとの連携では、アラート発火の瞬間にCommand Zeroの調査を自動開始し、上流のレスポンスデータをケースにフィードバックする流れが組める。脅威インテリジェンスを取り込んで仮説を生成し、スケジュールに従って自律的にハンティングを実行するフレームワークも構築できる。

MSSP（マネージドセキュリティサービスプロバイダー）にとっては、クライアントのビジネスコンテキストをテナント間で自動同期できる点が大きい。環境ごとに手動で情報を入力する作業がなくなる。

Agentic SOCの競争地図

2026年、セキュリティ業界では「Agentic SOC」が大きなテーマになっている。MicrosoftはSentinel向けにMCPサーバーを公開し、AIエージェントによる自律的なセキュリティ推論を実現した。FortinetもSOCプラットフォームにエージェンティックAIを統合している。

Command Zeroのアプローチは、既存ツールを置き換えるのではなく、APIとMCPを通じて既存のワークフローに組み込む点にある。Omdia主席アナリストのDave Gruber氏は、この方式を「既存ツールに自律調査を織り込む手法」と評価している。SOCは数十のツールで構成されており、ツール間のシームレスな接続が不可欠だからだ。

現時点の制約と今後の展開

今回の公開はコアとなるAPI群に限られている。Command Zeroは今後、アンカーカスタマーやパートナーのフィードバックに基づいて追加エンドポイントをリリースする予定だ。サンプル統合やリファレンス実装も数週間以内に公開するとしている。

料金はサブスクリプション型で、組織規模や必要な機能に応じたカスタム見積りとなっている。無料トライアルの有無は公開されていない。

SOCの自動化は「画面の外」へ広がる

セキュリティ運用の自動化は、ツール内のオートメーションからツール間のオーケストレーションへと進んでいる。Command ZeroのAPI・MCP公開は、調査エンジンを他のシステムから呼び出せる「部品」に変えた。MCPの普及とAgentic SOCの潮流が交差する中で、セキュリティプラットフォームの価値は「何ができるか」だけでなく「どれだけ外から使えるか」で測られるようになっていく。