2024年9月17~19日に開催された「TECH+フォーラム - セキュリティ 2024 Sep. 次なる時代の対応策」に、TIS IT基盤技術事業本部 IT基盤サービス事業部 セキュリティサービス部 大貫ちひろ氏が登壇。「AIで強化する! 進化するサイバー攻撃への最適化&自動防御 ~Microsoft Copilot for Security~」と題して、マイクロソフトのAI技術であるMicrosoft Copilotをセキュリティに適用することでどのような成果が得られるかを解説した。

日々の運用で疲弊するセキュリティの現場で注目を集める生成AI活用

セキュリティ運用における喫緊の課題の一つに大量のアラートへの対応がある。セキュリティ機器やセキュリティシステムが生み出すログやアラートの量は、増加の一途をたどっている。

大量のログやアラートから対応が必要なものを抽出することはセキュリティ運用担当者の大きな負担になっている。また、サイバー攻撃やシステム障害が発生したときの原因特定や優先順位付け(トリアージ)も難しくなっている。

そうしたなか注目されるのが、AIを活用したセキュリティ運用の自動化や最適化だ。大貫氏はマイクロソフトが提供するMicrosoft Copilot for Securityの概要と、TISのセキュリティソリューションを紹介した。

  • TIS株式会社 IT基盤技術事業本部 IT基盤サービス事業部 セキュリティサービス部 大貫ちひろ氏

    TIS株式会社 IT基盤技術事業本部 IT基盤サービス事業部 セキュリティサービス部 大貫ちひろ氏

大貫氏はTISでプライベート決済インフラの保守運用業務に従事した後、マイクロソフトセキュリティの開発導入チームに所属、顧客への製品導入支援業務に携わっている。TISは金融を中心に、製造、サービス、流通などの産業分野、そして公共分野にわたって幅広い顧客を支援しており、高いセキュリティ水準が求められるITシステム・ITサービス提供に強みを持つ。

「近年AI技術は急速に進化しており、特にGPT-4の登場で、AIの応答精度や自然言語の精製能力は飛躍的に向上しています。ChatGPTを用いて業務効率化を行う方も増えています。セキュリティに特化したAIソリューションも登場しています。その一つがマイクロソフトの提供する、Microsoft Copilot for Security(以下、Copilot for Security)です。Copilot for Securityは、セキュリティ管理の支援を目的としたAIアシスタントツールでGPT-4モデルを採用しています。組織固有のデータを有するさまざまなセキュリティツールを統合し、質の高い生成AIにより、データの一元化やマシンスピードでのデータ活用を実現し、セキュリティ担当者の仕事を補助するツールです」(大貫氏)。

  • Microsoft Copilot for Securityの特徴

    Microsoft Copilot for Securityの特徴

Copilot for Securityの特徴は、マイクロソフトが有する膨大な脅威インテリジェンスデータ、組織固有のセキュリティをひも付け、そこにAIによる高度な自然言語処理と分析を加えることで、組織で今どんな脅威が起こっているかをリアルタイムかつ迅速に理解し、セキュリティ担当者に情報を提供する点にあるという。

マイクロソフトが提供するAIアシスタント「Copilot for Security」とは

Copilot for Securityが企業にもたらすメリットは、大きく三つある。一つめは「作業時間の削減」だ。複雑な設定、調査、対応、報告義務を簡素化し、これらの対応にかかる時間を劇的に削減する。二つめは「発見」だ。組織の状態をより深く理解することで、人間が見逃しているものを見つけることができる。三つめは「生産性向上」だ。的確なガイダンスで若手のセキュリティ担当者の仕事のレベルを高めることができる。

「Copilot for Securityで注目いただきたいのは、責任あるAIをベースにしており、お客様のテナントやAzure Open AIのインスタンスのみで完結している点です。安心してAIをご利用いただけるアーキテクチャになっています。外部のサードパーティ製品とデータ連携できるようになっていますが、すべての通信は暗号化されているので安心してご利用いただけます」(大貫氏)。

では、Copilot for Securityでは、具体的にどのようなことができるようになるのか。大貫氏は、ユーザーインタフェース(UI)として、専用ポータル(https://securitycopilot.microsoft.com)上で利用するスタンドアロンUIと、マイクロソフト製品の管理ポータル上で利用する組み込みUIの二つが提供されており、それぞれをニーズに応じて使い分けることができると説明する。

  • Copilot for Securityには、スタンドアロンUIと組み込みUIの二つが提供されている

    Copilot for Securityには、スタンドアロンUIと組み込みUIの二つが提供されている

「スタンドアロンUIは、専用ポータルから、プラグインで接続した情報にアクセスすることができます。対話型形式による柔軟な調査が可能で、データの一元化が図られます。つまり調査のための専用ポータルは不要ということになります。一方、組み込みUIでは、マイクロソフト製品のコンソール画面上にCopilot for Securityが組み込まれ、普段から使い慣れている製品ポータル内で自然に利用できる、直感的で分かりやすい操作が可能です。インシデントの要約、レポートの作成、トリアージのサポートなどをポータル上で自動作成できます」(大貫氏)

スタンドアロンUIでは、プロンプトを入力して回答を得たり、プロンプトをまとめて実行するレシピを選択して実行したりできる。連携製品の各種設定も可能だ。

一方、組み込みUIでは、Microsoft Entra、Microsoft Purview、Microsoft Intuneなどの管理画面に組み込まれ、Copilotのボタンをクリックすると、インシデントの概要をまとめた文章やインシデントレポート、セキュリティアラートの詳細や解説を生成することができる。マイクロソフト製品としては現在、Microsoft Defender XDR、Microsoft Sentinelなどとの連携も可能だ。サードパーティ製品としては、ServiceNow、Splunk、Jamf、NetScopeなど多くのツールとデータ連携することができる。

「スタンドアロンUI、組み込みUIの活用により、セキュリティアナリストがサイバー攻撃をより効率的に検出、調査、対応できるように支援してくれます。従量課金制で、SCU(セキュリティコンピューティングユニット)の数量×時間に基づいて利用料がかかります。始めるためには、Microsoft Azureのサブスクリプションにサインアップし、SCUをセットアップします。利用料は、1時間あたり4米ドルで、3ユニット以上が推奨されるため、年間推定金額は約1500万円となります」(大貫氏)。

利用料だけでみると年間のコスト負担が大きく感じられるため、組織としてそれを上回るメリットがあるかを確認することが重要となる。そこで大貫氏は、TISによる効果検証の結果を解説した。

検証の結果、非定型な対応が求められる複合的なタスクで大きな効果を確認

「Copilot for Securityは2024年4月に一般公開されましたが、TISでは2023年から早期アクセスプログラムに参加し、ノウハウの蓄積とセキュリティ運用の効果検証を実施してきました。それにより、アラート検知、インシデント初動対応、定期レポート作成、インシデント対策検討・管理、平常時の予防的訓練、重大インシデント詳細訓練・対応など、複数の効果・メリットを確認できました。これらメリットは、タスクを定形作業か非定型作業か、単純か複合的かに分けてマトリックスで表現しています。マトリックス上、右上(第2象限)に近いほど効果・メリットが大きいという結果となりました」(大貫氏)。

  • セキュリティ運用に生成AIを採用した際におけるメリットのイメージ

    セキュリティ運用に生成AIを採用した際におけるメリットのイメージ

マトリックスの右上に位置するのは非定型な対応が求められる複合的なタスクで、重大インシデント対応などが該当する。

「重大インシデントの発生時に、Copilot for Securityとセキュリティ担当者がフルに協業することで、よりスピーディーな調査と対応の実施が可能になると考えます。これは従来の方法では得られなかったスピードで、セキュティチームの力を最大限に引き出すことが可能です。セキュリティ担当者は大局的な対応と判断に集中できるようになります」(大貫氏)。

  • Microsoft Copilot for Securityがセキュリティ運用にもたらすメリットとは

    Microsoft Copilot for Securityがセキュリティ運用にもたらすメリットとは

一方、左下(第3象限)では、単純で定型的な対応が可能なタスクであるため、Copilot for Securityを用いるまでもなく、Microsoft SentinelのプレイブックやAzure Logic Appsなどのセキュリティツールで提供している既存機能で対応が可能だとした。

また、左上(第1象限)では、定型的な作業でも複合的な要素が求められるため、Microsoft Sentinelのプレイブックを作成してCopilotのプロンプトから回答を得てメール通知するなど「既存の自動化ソリューションにCopilotによる判断を組み合わせる」ことができる。また、右下(第4象限)の非定型で単純な作業では、Copilot for Securityの出番は少ないが「経験の浅い担当者の作業の健全性チェックなどに有効」だとした。

「セキュリティ運用の現場では、複雑化する脅威への対応がますます求められています。そのような厳しい状況下ではCopilot for Securityが優秀なアシスタント、副操縦士として活躍します。もっとも、セキュリティ防御をAIで完全自動化させる段階ではありませんが、Copilot for Securityは今後の成長を見据えた柔軟なプラットフォームです。AIの技術の進化とともに、今後、さらにその力を発揮する可能性があり、セキュリティ運用の未来を切り開く存在になるでしょう」(大貫氏)。

Copilot for Securityの導入を支援する「セキュリティAI活用サービス」を提供

利用にあたっては、利用料や社内説得などが課題になりやすい。大貫氏は「TISで効果・メリットの見える化などから支援していくことができます。Copilot for Securityの導入支援など、セキュリティAI活用サービスも提供しています」と紹介し、講演を締めくくった。

  • Microsoft Copilot for Securityでセキュリティ運用の未来を切り開く

    Microsoft Copilot for Securityでセキュリティ運用の未来を切り開く

関連情報

TISで提供しているMicrosoft セキュリティ
>>詳しくはこちら

[PR]提供:TIS