Microsoftは、生成AI「Copilot」をセキュリティ運用業務向けに「Security Copilot」としてラインアップする。日本マイクロソフトが開催したAIイベント「Microsoft AI Tour」では、Security Copilotの特徴を説明した。
米Microsoft セキュリティ コンプライアンス アイデンティティーマーケティング担当ゼネラルマネージャーのJanice Le氏は、セキュリティ業務に生成AIを提供する理由について、「サイバー攻撃者や犯罪者が有利で、防御側が不利な状況をできるだけ逆転させるため」だと強調した。
Microsoft セキュリティ コンプライアンス アイデンティティーマーケティング担当ゼネラルマネージャーのJanice Le氏
サイバー攻撃などの脅威は、複雑化や巧妙化が進む一方だと言われる。Le氏は、各種統計を引用して実態を示した。サイバー攻撃の損害額は約8兆ドルで、国内総生産(GDP)の国別順位なら世界第3位に相当する。日本のGDPは、2024年2月にドイツに抜かれて4位だったが、サイバー攻撃の規模は、既に両国のGDPを上回っている。GDPの成長率に当てはめれば、成長率上位のインド(6.3%)より2倍以上も高い15%にもなるという。
セキュリティの防御側は、サイバーセキュリティが登場した時からずっと不利だっただろう。サイバー攻撃は、攻撃者や犯罪者がやりたい時に実行される。防御側は、いつ発生するか分からない攻撃などに常時備えないといけない。また攻撃者や犯罪者は、攻撃などを多数実行して1件でも成功すれば良い。だが、防御側は無数の攻撃を可能な限り遮断しなければならない。
Le氏は、サイバー攻撃の規模がハイペースで拡大する一方、防御側の人材が数百万人規模で足りないと指摘する。さらに、企業では平均で10~12社のITベンダーから平均で80ものセキュリティソリューションを導入して、セキュリティ対策を運用しているとも指摘する。つまり企業は、セキュリティ担当者が足りない中で多数のさまざまなセキュリティツールを使用しなければならず、常にセキュリティ業務に追われている状況にある。そこで生成AIをセキュリティ業務に活用し、担当者の負荷を軽減させたいという。
生成AIは、人が日常の言葉(自然言語)を使って生成AIに情報の検索や文章・画像などの作成を要求(プロンプト)すれば、生成AIが巨大な情報源を作成して、人間のように情報や文章・画像などを生成してユーザーに提示する。手間暇をかけて人がしていた作業の多くを代行してくれる。
ただ、ユーザーが求める結果を得るには、生成AIが参照する情報源がユーザーの目的に合致している必要があり、サイバーセキュリティのように機密性の高い情報を扱うならば、生成AIの利用に即したセキュリティやプライバシー、ガバナンスを備えるものでないといけない。また、生成AIに適切な結果を出力してもらうためにも、サイバーセキュリティの専門性に対応したプロンプトや、出力結果の調整なども必須になる。
Le氏は、MicrosoftがSecurity Copilotを提供する意義として、「脅威インテリジェンス」「包括的なエンドツーエンドの保護」「セキュリティ向けAI」「AIの安全な導入」を挙げた。
脅威インテリジェンスでは、Microsoftが世界最大規模のサイバー攻撃の標的になっていることがある。Le氏は、Microsoftでは約1万人のセキュリティ担当者が毎日65兆件という膨大なセキュリティの兆候を検知・解析し、約300のサイバー攻撃・犯罪組織の動きをリアルタイムに監視しているなど、約1万5000のセキュリティパートナーとともに、高度な脅威インテリジェンスを実現していると強調した。
包括的なエンドツーエンドの保護では、脅威防御の「Defender」や、セキュリティ情報イベント管理(SIEM)・脅威対応の「Sentinel」、アイデンティティー保護の「Entra」、セキュリティおよびガバナンス/リスク管理の「Purview」、プライバシー管理の「Priva」、端末管理の「Intune」などをそろえ、ユーザーが必要に応じて組み合わせたり、包括的な「Microsoft Security」として利用したりできる点を挙げる。
AIの安全な導入については、同社では「責任あるAI」の原則を定めて、ガバナンス・ルール・トレーニングと実践・ツールとプロセスの各領域でそれを担保している。ユーザー、データ、AIアプリケーションにおいてAIのガバナンスを利かせることができるとする。
セキュリティ向けAIは、その代表的なものがSecurity Copilotになるという。Le氏は、Security Copilotには、セキュリティオペレーションセンター(SOC)で働くセキュリティアナリストのための機能を備えていると説明する。「Copilot」の名前(日本語の直訳では「副操縦士」だが意味合いは「共同作業者」が近い)が示す通り、セキュリティアナリストの業務を補助することが目的で、決してセキュリティアナリストをシステムに置き換えるものではないとしている。
「Security Copilot」
Security Copilotは、セキュリティアナリストが素早く把握したい情報を提示したり、管理者などへ提出するレポートの作成を支援してセキュリティアナリストの業務を効率化したりする。例えば、インシデントが疑われる兆候を検知した場合、セキュリティアナリストが手作業で何時間も費やして情報を集める代わりに、Security Copilotが収集と要約までをより短い時間で実行する。その分セキュリティアナリストは、より必要な作業に専念できるようになる。
Le氏は、SOCでSecurity Copilotを活用することにより、作業や習熟に時間がかかる初級アナリストの育成を手助けしたり、中級アナリストの各種作業をサポートして上級エンジニアへの報告および上級エンジニアによる意思決定を迅速化したり、人が見落としてしまうリスクを軽減したり、セキュリティチーム全体としての能力の向上を図ったりするなどの効果があると紹介した。
