サイバーセキュリティを巡る状況は複雑化しており、かつてのように現場が頑張って何とかできる段階をとうに過ぎている。運用監視を担うSOC(SecurityOperationCenter:企業のネットワークやシステムの状態を監視し、企業の情報資産をセキュリティ脅威から守る組織のこと)サービスなど外部の力をうまく活用するのはもちろん、人手頼りでは時間のかかる業務を生成AIなどの最新技術を活用して効率化していかなければ、セキュリティ運用の現場は疲弊する一方で、高度化する脅威への適切な対策は取れないままだろう。
そんな背景から伊藤忠テクノソリューションズ(CTC)は日本マイクロソフトと協力し、生成AIや脅威インテリジェンスを活用したセキュリティ分析サービスを開発、提供する方針を明らかにした。
その狙いと効果を、CTC-SOCでセキュリティ運用に携わってきた伊藤忠テクノソリューションズ マネージドサービス企画・推進事業部 サイバーセキュリティサービス部 SOC運営課長の原裕氏と、SentinelやCopilotなど、Azureを中心にマイクロソフトが提供するセキュリティソリューションのマーケット展開を率いるマイクロソフトコーポレーション Advanced Security Architect Global Black Beltの中村弘毅氏が語った。
伊藤忠テクノソリューションズ
マネージドサービス企画・推進事業部
サイバーセキュリティサービス部 SOC運営課長
原 裕氏
マイクロソフトコーポレーション
Advanced Security Architect Global Black Belt
中村 弘毅氏
攻撃者も活用し始めている生成AI、後手に回らず防御側も活用を
Q:CTC-SOCの特徴についてお聞かせください。
原氏:CTC-SOCでは、セキュリティに関する知見はもちろん、システムインテグレータとしての強みを生かしたサービスを提供しています。たとえば緊急のインシデントが発生した際には、お客様に伴走しながら支援します。
我々がSOCサービスを立ち上げたのは2014年のことです。当時は金融業など、セキュリティ意識の高い大手企業が対象となるイメージでしたが、最近は中小企業のお客様でも当たり前のようにSOCサービスをご活用いただいています。
Q:今回の日本マイクロソフトとの共同発表のポイントを教えてください。
原氏:マイクロソフトさんが提供する生成AIサービス「Azure OpenAI Service」と、脅威インテリジェンスの「Microsoft Defender Threat Intelligence」(Microsoft Defender TI)を活用し、セキュリティ監視基盤の「Microsoft Sentinel」上で活用していくという内容です。これまでアナリストが手作業で行っていた部分を生成AIに肩代わりさせることで作業を効率化し、お客様に通知するまでの時間を短縮できる、つまりお客様から見るとより早期にインシデントに対応できるといったメリットが得られると考えています。
Q:こうした取り組みが必要になった背景をお聞かせください。
原氏:生成AIは大きな技術革新ですが、サイバー攻撃者側もすでに、生成AIを含むAI技術を活用し始めています。わかりやすいところでは、ディープフェイクを使った詐欺行為などが挙げられますし、実行するたびにコードを変化させるポリモーフィック型マルウェアの作成も生成AIで可能になっています。プログラミングの経験がなくても、生成AIを用い、誰でも新たなマルウェアを作成できてしまう状況です。
こうした動きに対して後手に回ると、対処が遅れ、短時間で被害が拡大してしまう恐れもあります。守る側もAIについて正しく理解し、活用することが重要です。将来的には「AI対AI」で、AIを用いて攻めてくる攻撃者からAIで守るという構図に移行していくと考えています。
通知までの時間短縮に加え、適切な対応につながる精度の高い情報を提供
Q:Azure OpenAI ServiceをCTC-SOCでどのように活用していくのか、もう少し詳しくお聞かせください。
原氏:いくつかの側面で活用できると考えています。
まず考えているのは、SIEMから上がってきたアラートにMicrosoft Defender TIの情報を加味し、レポートを自動的に生成させることです。これまで現場のアナリストがアラートを一つ一つ調べ、文章を書いていく作業が必要でしたが、生成AIが作成したものをチェックする程度で済むようになるため業務負荷が大幅に削減でき、アナリストが、本来の分析業務により集中できるようになります。
また、マルウェアや攻撃コードは、解析しにくくするために難読化という処理を加えられていることが大半です。人間のアナリストでも解析は可能ですが、やはり時間がかかります。こうした作業を生成AIに任せることでも、時間短縮と分析品質の向上が期待できます。
Q:具体的にどのくらい時間が短縮できるのでしょうか。
原氏:CTC-SOCでは検証を終え、9月末から本番の分析環境への適用を開始していますが、生成AIを適用できたものについては通知時間を47%削減できたという成果が出ています。仮に侵害されても内部で拡散して致命的な事態に至る前にお知らせして攻撃を食い止め、被害を最小化できると考えています。
中村氏:今回の協業では、生成AIによる時間短縮に加え、脅威インテリジェンスとSIEMを組み合わせることによる情報の質の向上というメリットも大きいと考えています。
マイクロソフトは以前からさまざまな脅威情報を収集していましたが、お客様に届ける方法がありませんでした。そこで2年前、RiskIQを買収して脅威インテリジェンス市場に参入しました。300以上の脅威アクターをトラッキングして得られた情報を、ほぼリアルタイムでMicrosoft Defender TIに反映し、お客様に届けています。
グローバルでみても、脅威インテリジェンスをいかに活用するかが問われています。先ほど、SOCが当たり前のものになったというお話がありました。今後、いかにサービスを高度化し、精度の高い情報を提供してお客様のリスクを減らしていくかが問われる中、いかに自社にあった脅威情報を取り入れ、活用していくかは重要な要素になります。
原氏:おっしゃるとおりですね。セキュリティデバイスからはさまざまなアラートが上がってきますが、ただ「C2サーバと通信していることがわかったので、アラートを上げました」とお伝えするだけでは、受け取ったお客様の側も、具体的にどうすればいいのか、どれから優先的に対応すべきなのかがわかりません。
そこに脅威インテリジェンスを組み合わせることで、たとえば「このIPアドレスのホストはEmotetをばらまくものでした」と、具体的な付加情報を提供できます。こうなるとお客様側も、「なら、Emotetに感染したことを前提にして対応を進めよう」と指針を定め、具体的に対応を進めることができます。なぜそれが危ないのか、どう対応すべきかといった質の高い情報をお伝えできることもポイントです。
CTC-SOCではこのように生成AIと脅威インテリジェンスを活用して、万が一お客様の環境でセキュリティインシデントが発生しても迅速に、適切に情報を提供し、被害の局所化に貢献していきます。またそのために我々も、生成AIを効果的に使いこなすため、プロンプトエンジニアリングも含めた継続的な改善を進めていきますし、先日発表されたセキュリティに特化した生成AI「Microsoft Security Copilot」にも注目しています。
セキュリティ人材不足が叫ばれて久しいですが、たとえば我々のノウハウを学んだ生成AIを、経験の浅いエンジニアの先輩役として活用することも可能かもしれません。