日本マイクロソフトは4月17日、記者説明会を開き、4月1日に一般提供を開始した「Microsoft Copilot for Security」の最新の顧客事例を紹介した。同サービスを先行利用していた企業の担当者が登壇し、Copilot for Securityをどのように活用し、どのような成果が得られているのかを説明した。

「Microsoft Copilot for Security」とは?

Copilot for Securityは、対話型の生成AI(人工知能)でセキュリティ担当者を支援するサービス。4月1日から一般提供が開始され、日本語を含む8言語でプロンプト(AIへの指示文)を記述することが可能で、25言語のユーザーインターフェースを用意している。北米および南米、ヨーロッパ、アジアの主要地域で利用できる。

  • 4月1日に一般提供を開始した「Microsoft Copilot for Security」

    4月1日に一般提供を開始した「Microsoft Copilot for Security」

セキュリティの専門家であっても見逃しかねないセキュリティ関連の異常を発見することを支援し、マイクロソフトが日々処理する78兆件以上のセキュリティシグナルによる大規模なデータと脅威インテリジェンスから情報を集め、対応策を提案する。

具体的には、Copilotに自然言語でセキュリティ関連の質問を入力すると、実行すべきタスクを表示したり、特定のユーザーやイベントに関する監査ログを自然言語で要約したりできる。

17日の記者会見で米マイクロソフト セキュリティマーケティング担当 バイスプレジデントのアンドリュー・コンウェイ(Andrew Conway)氏は「経験豊富なセキュリティ専門家がCopilotを活用することで、業務の対応速度が22%向上し、あらゆるタスクの精度が7%向上、そして、専門家の97%が『次回同じタスクを行う場合もCopilotを使用したい』と回答したことが当社の調査で分かった。生成AIはセキュリティ運用の在り方を大きく変えるだろう」と語った。

  • 米マイクロソフト セキュリティマーケティング担当 バイスプレジデント アンドリュー・コンウェイ(Andrew Conway)氏(4月17日、東京都品川区)

    米マイクロソフト セキュリティマーケティング担当 バイスプレジデント アンドリュー・コンウェイ(Andrew Conway)氏(4月17日、東京都品川区)

採用と育成に時間がかかるセキュリティ人材

三井住友トラスト・グループのデジタル戦略子会社として2021年に設立したTrust Base(トラストベース)は、Copilot for Securityのアーリー・アクセス・プログラム(EAP)に参加した先行ユーザー企業の1社だ。トラストベースは、同じく先行ユーザー企業であるラックと共同で、対話型の生成AIを活用して高度なセキュリティ運用が実現できるか3月より検証している。

Copilot for SecurityのEAPに参加した理由について、トラストベース DXプラットフォームセンター センター長の中川哲氏は「自社のセキュリティ担当者だけでは、リソースとスキルが不足している。企業間で人材の奪い合いになるほど業界的に採用も難しく、セキュリティ人材の育成には時間がかかる」と説明。

また、同社はDX(デジタルトランスフォーメーション)に関するコンサルティングサービスだけでなく、AWS(Amazon Web Services)環境で開発したSaaS(Sofware as a Service)などのITサービスを提供しており、「AzureやAWS、Google Cloudなど、セキュリティの守備範囲が広がっており、能動的なセキュリティ運用に取り組めていない」と、同社が抱く課題感を語った。

「生成AIはSOC(Security Operation Center)ビジネスを脅かす存在だと思っていたが、いまはセキュリティ運用のトランスフォーメーションを行うための必要な要素として期待している」(中川氏)

  • Trust Base DXプラットフォームセンター センター長 中川哲氏

    Trust Base DXプラットフォームセンター センター長 中川哲氏

一長一短の「Copilot for Security」

トラストベースは検証のため、同社の「Microsoft 365 E5」の環境に対してペネトレーションテストツールを使って疑似攻撃をしかけ、Copilot for Securityを使ってインシデントの分析を行った。

検証期間は2024年1月~2月。インシデント情報などの詳細情報を要約する機能や、脅威情報を加味してインシデントやアラートを分析する機能といった主要機能を使用し、セキュリティ担当者が定性的な評価を実施した。加えて、独自のものを含む3つのプロンプトを使って、回答有無および内容、回答時間、回答の正確性といった定量的な評価も行った。

  • Copilot for Securityの主要機能(一部)

    Copilot for Securityの主要機能(一部)

  • トラストベースが用意した独自のプロンプト

    トラストベースが用意した独自のプロンプト

検証の結果、定性的な評価として中川氏は「高度なスキルを持った専門家が担当するインシデント分析をCopilot for Securityの導入により、セキュリティ担当者でも運用できるようになる。また、セキュリティ担当者ではカバーしきれないセキュリティの知見を脅威インテリジェンスから取得し、分かりやすく要約してくれた」と好感触を示した。

一方で、課題と感じる点については「複雑な問合せの場合は回答に2~3分程度の時間がかかってしまう。また、不正確な内容が含まれる場合があり、情報が欠落する場合や、日本語化する際に誤字が出る場合がある。加えて、より良い回答を得るために、プロンプトエンジニアリングを学習する必要がある」と評価した。

定量的な観点からみても、Copilot for Securityには一長一短があるという。「回答の質については、内容にばらつきがあるため、安定して必要な情報を拾い上げる手法の確立が課題だ。あいまいな質問では望んだ回答は得られない。回答の速さについては概ね人間が調査するよりも早い時間で回答が得られるが、人間が調査したほうが早い場合もある」(中川氏)

正確性についても、改善の余地があるといい「ユーザーの名前に虚偽の情報があったり、必ずしも想定したKQLが生成されないなど、一部正確性に課題がある。『生成AIは、必ずしも正確な回答が得られるとは限らない』という認識を持ちながら利用する意識が必要」(中川氏)とのことだ。

生成AIは置き換わる存在ではなく、あくまでも補助的な存在であるということを中川氏は強調した。「ただマイクロソフトの機能アップデートは早い。今後は新しい機能を利用しながら、どこまで現状の課題を解決できるか確認していきたい」と展望を示した。