NTTコミュニケーションズ(以下、NTT Com)は11月18日、tsuzumiなどのLLM(Large Language Models:大規模言語モデル)を活用したセキュリティ運用支援ソリューション「AI Advisor」を開発し、2025年1月より提供を開始することを発表し、説明会を開いた。

同ソリューションは特に経験が少ないセキュリティ運用者の負担軽減を目的とし、自社環境に基づいた問い合わせなど、自然言語で扱えるメリットを持つ。

  • AI Advisorの特徴

    AI Advisorの特徴

NTT Comでセキュリティ領域のエバンジェリストを担当する城征司氏は、「セキュリティリスクをゼロにするのは限りなく難しく、それに比例するように指数関数的にコストが増加する。また、まじめにセキュリティ対策をするほど、過検知を含む大量のアラートや煩雑な承認プロセス、手動対応によるスピード低下などの課題が生じる。セキュリティに特化した生成AIでセキュリティ運用者の業務負荷を低減に寄与する」とソリューションを紹介した。

  • ビジネスソリューション本部 ソリューションサービス部 担当部長 エバンジェリスト 城征司氏

    ビジネスソリューション本部 ソリューションサービス部 担当部長 エバンジェリスト 城征司氏

AI Adviserの機能概要

同社はゼロトラストと運用のデジタル化によりセキュリティ対策を支援するCRX(Cyber Resilience Transformation)ソリューションを提供しており、マネージドSOAR(Security Orchestration, Automation and Response)との連携によって運用者へのセキュリティアラートを95%削減した実績を持つという。

今回発表したAI Advisorは、残りの5%の高度な専門人材による対応が必要な場面において、セキュリティ運用を支援する。生成AIを搭載しており、ユーザーの環境や独自のルールに基づいたサポートをセキュリティ運用者に提供する。

  • AI Advisorは生成AIで業務をサポートする

    AI Advisorは生成AIで業務をサポートする

具体的には、操作手順の運用サポートや故障からの復旧対応、脆弱性の診断、レポート作成などに対応可能。近年特に課題となっているセキュリティ人材の不足に対し、省力化や業務効率化を支援するとのことだ。セキュリティ運用者がAI Adviserに対し自然言語で問い合わせると、個社のデータやNTT独自のデータベースを参照して回答が生成される。

  • AI Advisorが対応する業務の例

    AI Advisorが対応する業務の例

AI Adviserのユースケース

セキュリティ運用者は、脆弱性情報が発表された際や社内外でセキュリティインシデントが発生した際に、まずは社内の経営層やセキュリティ管理者へ情報提供する。その他にも、システムからのアラート確認や、ヘルプデスクオペレーターとのやり取りなども生じる。説明会では、これらのシーンごとにAI Adviserのユースケースがデモ形式で紹介された。

  • セキュリティ運用者の業務のイメージ

    セキュリティ運用者の業務のイメージ

ユースケース1:集中する緊急の問い合わせ

注目度の高い脆弱性や競合他社のインシデント発生時、専門家の評価を待たずにサービス運用者が速やかに対応状況を報告しなければならない場面がある。また、自社の環境に基づいたリスク評価が求められる場合もある。

これに対し、AI Adviserはインターネット上の情報やベンダーが公開しているセキュリティ情報、自社の環境に基づいた評価を行う。社内外からの問い合わせに対し必要な情報を整理し、その結果をレポートとして出力可能。

  • チャット形式で質問できる

    チャット形式で質問できる

「脆弱性対策ID『JVNDB-2024-012418』および共通脆弱性識別子『CVE-2024-50127』の脆弱性についてまとめて教えてください」のように、プログラミング言語ではなく日本語でAIに質問可能。また、影響範囲を確認するため、対象となるLinux Kernelのバージョンなどを含む質問項目をAIが自動で生成するため、テキストを入力せずに適した質問をクリックするだけで以降の質問をAIに投げかけられる。

  • レポートやメンテナンス時の周知文案も生成可能

    レポートやメンテナンス時の周知文案も生成可能

ユースケース2:膨大なアラート

管理するIT機器やシステムが多い場合、SIEM(Security Information and Event Management)やSOAR、脆弱性管理サービスなどのツールから多量のセキュリティアラートが発出される。アラートの数が膨大になると、その個別の評価が困難となり、重大なアラートを見逃してしまう可能性がある。

そこで、AI Adviserに「以下のインシデント一覧の情報から優先度が高いインシデントを上位三つ挙げて、その理由を答えてください」と入力すると、重大度や最終更新時刻、タイトルや説明内容からAIが優先的に対応すべき内容を出力する。

  • AIが優先度の高いアラートを絞り込む

    AIが優先度の高いアラートを絞り込む

さらに「これらのインシデントにどのような初期対応をするべきですか」「これらのインシデントが発生した原因は何ですか」「これらのインシデントを防止するための再発防止策は何ですか」など、AIが次の質問項目の候補を自動で生成する。

ユースケース3:ヘルプデスクとの連携

提供するサービスについて、ユーザーからヘルプデスクなどを通じて問い合わせを受ける場合がある。しかし、ヘルプデスクからエスカレーションされる課題は非定型のトラブルが多く、独自のナレッジに基づく回答や過去の問い合わせ履歴の参照、開発担当者への情報共有など、必要なアクションは多岐にわたる。

また、セキュリティ運用者は現在発生しているトラブルの解決を優先し、ヘルプデスクへの情報共有やナレッジの展開、ノウハウの共有が後回しとなる例も絶えない。これに対し、AI Adviserはセキュリティ運用者とヘルプデスクの間に入り支援する。

まず、AI Adviserはマニュアルや過去の問い合わせ履歴など、複数の情報ソースを横断的に検索し、情報源を特定する。その後、ヘルプデスクへの回答の案内や社内外へのエスカレーションなど、次のアクション判断を促す。さらには、FAQ(Frequently Asked Questions:よくある質問)やマニュアルの作成など、社内でのナレッジ蓄積も提案する。

  • ヘルプデスクとの連携強化に寄与する

    ヘルプデスクとの連携強化に寄与する