Copilotでセキュリティ運用を効率化するラック「時短効果は限定的だが、回答は優秀」

日本マイクロソフトは、対話型の生成AI(人工知能)でセキュリティ担当者を支援する「Microsoft Copilot for Security」を、一部の国内企業に「アーリーアクセスプログラム(EAP)」として提供している。セキュリティ事業を手掛けるラックもこのEAPを利用する企業の1社だ。

マイクロソフトが3月8日に開催したセキュリティセミナー「Microsoft Security Forum 2024」では、ラック業務・IT戦略推進部 ICTイノベーション推進室アドバンストグループグループマネージャーの谷口隼祐氏が登壇し、Copilot for Securityの活用状況を説明した。同社はどのようにセキュリティ担当者の業務を効率化しているのか。同サービスを活用するうえで重要となるポイントなども紹介された。

ラック業務・IT戦略推進部 ICTイノベーション推進室アドバンストグループグループマネージャー谷口隼祐氏(3月8日、東京都中央区)

「Copilot for Security」が実現すること

システムインテグレーション(SI)とセキュリティソリューションの2つを主力事業とするラックは、2023年3月末時点で2129人(連結ベース)の従業員を抱えており、情報システム部門の担当者は、協力会社を含む社員と社外ゲストのアイデンティティ(ID)、そしてWindowsやMac、iPhone、iPadなどさまざまな端末を管理対象にしている。

セキュリティ製品から通知されるアラートやインシデント数は膨大で、セキュリティ運用担当者の負担は大きい。万が一インシデントが発生した際、緊急度の高いものから対応するトリアージが、リソース不足により対応しきれていない状況もある。

「テレワークといった多様な働き方も広がっている中で、IDとデバイスの管理と紐づけを強固にし、柔軟な制御を実現させている。この作業を、できるだけ人の手を介さず、AIといったテクノロジーで処理していきたい」と、谷口氏は述べた。

Copilot for Securityは「Microsoft 365」の各種セキュリティソリューションと連動し、自然言語での対話的なやりとりを通じて、インシデント調査や脅威ハンティングなど、さまざまな場面で企業のセキュリティ運用を支援する。

例えば、フィッシングメールを検知した際、Copilot for Securityがセキュリティシステムのデータやメールシステムのログデータを分析し、同様のメールが送られた時間や件数などを割り出してくれる。加えて、フィッシングメールを開封した人数や、開封した人の特定もAIが行い、レポートとしてまとめてくれる。手作業で行うと大変な作業だが、Copilot for Securityは数分でこれらの作業をこなすという。

谷口氏は「生成AIの活用を検討する際、まずはAIが扱えるデータを用意する必要がある。AI活用の下準備が最も重要だ」と説明した。

ラックの活用状況「時短は限定的だが、回答は優秀」

Copilot for Securityを情シスの業務に活用しているラックは、3つの観点「時短できるか」「アドバイザーのような存在になってくれるか」「魔法のような何かを生み出してくれるか」で導入効果を評価した。

「時短できるか」という観点では、「想定よりも時短の恩恵は限定的。何をすればいいのかある程度明確であるため、自分で調査した方が早いケースが多い。生成AIの回答の待ち時間とプロンプト(生成AIへの指示)の学習コストの考慮も必要だ」と評価。現実的な活用方法として、インシデント調査ではCopilotによる調査と並行して手作業でも調査を行っているという。

また、「アドバイザーのような存在になってくれるか」という観点では、「格納しているデータについては人よりも熟知しており、照会言語(KQL)に関する回答がとても優秀」と、想定外の恩恵があったと説明した。「○○の状況について知りたい」といった突発的な問い合わせへの対応や、漠然とした考えをまとめるための壁打ち相手として活用しているとのこと。

最後の「魔法のような何かを生み出してくれるか」の検証については、現時点ではめぼしい成果は見当たらないとした。一方で、AIが判断してもよい領域は増えているとし、最重要ではないアラート対応はCopilotに任せたり、膨大なデータの中から新しいリスクを見つけさせたりと、「AIの特性を生かす方法を模索している」と述べた。