セキュリティでのAI活用は「SOC体験の変革」--マイクロソフト幹部

國谷武史 (編集部)

2023-12-11 06:00

 Microsoftは、さまざまな領域でOpenAIとの協業に基づく生成AIや対話型AIの技術の実装を進めているが、具体的な活用領域の1つにサイバーセキュリティを挙げている。MS Threat Protection(高度サイバー脅威防御担当部門) コーポレートバイスプレジデントのRob Lefferts氏が、サイバーセキュリティにおける同社のAIソリューションの狙いなどを説明した。

 まずLefferts氏は、同社の狙いを「SOC体験の変革」と簡潔に示した。SOCとは、「Security Operation Center」(セキュリティ運用センター)で、組織を狙うサイバー攻撃などの脅威を監視、検知、分析、対応、防御を担う。組織が自前で運営するケースや、マネージドサービス事業者(MSP)が複数の顧客にサービスとして提供するケースなどがある。いずれもサイバー脅威に詳しい専門家が常駐し、大半のSOCが24時間体制で脅威に対峙(たいじ)している。

サイバーセキュリティを取り巻く現状。コストの増加や人材不足など課題が山積している
サイバーセキュリティを取り巻く現状。コストの増加や人材不足など課題が山積している

 Lefferts氏は、「サイバーセキュリティでは防御側が圧倒的に不利だ」と述べる。サイバー攻撃がいつ実行されるのかは、攻撃者側の都合次第だからだ。しかも攻撃者は、さまざまな攻撃手法を幾つも組み合わせて実行するため、攻撃の内容は千差万別だ。防御側はあらゆる内容の攻撃に全方位で24時間備え続けなければならず、防御の最前線となるSOCの負担は非常に大きい。

 Lefferts氏は、「セキュリティ人材も不足している。米国ではセキュリティ職務の3分の1で人材がいない。日本は幾分ましだが、それでも4分の1がいない状態にある。防御側のこの状況を変える必要がある」と述べる。

 Lefferts氏によれば、組織は平均して50種類以上のセキュリティツールを導入している。その一つ一つを正しく運用するだけでも大変になる。さらに、サイバー攻撃の手法は、システム的、技術的なものにとどまらない。人をだますフィッシングなどの詐欺的な方法も駆使するため、SOCの専門家は、ITやサイバーセキュリティの技術、脅威に関する知識などに加え、組織のビジネスやカルチャーといった人的要素も踏まえて、脅威に対応しなければならない。

マイクロソフトの統合セキュリティ運用基盤のコンセプト
マイクロソフトの統合セキュリティ運用基盤のコンセプト

 このためMicrosoftは、「Unified Security Operations Platform」(統合型セキュリティ運用プラットフォーム)というアプローチを取る。ベースとなるのが脅威インテリジェンスで、「われわれは毎日65億ものセキュリティイベントを分析している」とLefferts氏。膨大な情報から脅威動向を取得し、それを「The Ultimate Guide to Extended Security Posture Management」(XSPM)のレイヤーに展開して、組織の情報資産やIT環境にまつわる脆弱(ぜいじゃく)性を解消していくことで、それらの健全性を担保する。

 その上で組織を狙う脅威に対し、SIEM(セキュリティ情報・イベント管理)の相関分析により脅威の実態を可視化し、XDR(拡張型脅威検知および対応)を用いた脅威への対応や防御を実施する。Lefferts氏は、AIがこうしたセキュリティ基盤全体を効果的に機能させることで脅威の侵入を自動的に遮断し、SOCの専門家が脅威対応に専念するための支援役を担うと説明した。

 Microsoftは、11月に開催した「Ignite」で、Unified Security Operations Platformの提供や、サイバーセキュリティ向け対話型AI「Microsoft Security Copilot」の実装の拡大などを発表した。これは、Lefferts氏の言う「SOC体験の変革」の一環になるという。

「Unified Security Operations Platform」のデモ。SAPの財務データに侵入する脅威の動きを可視化した様子
「Unified Security Operations Platform」のデモ。SAPの財務データに侵入する脅威の動きを可視化した様子

 Unified Security Operations Platformは、クラウドベースのセキュリティ基盤の「Microsoft Sentinel」やSIEM、XDRを統合しており、これにSecurity Copilotも組み込まれている。脅威インテリジェンスやサードパーティーからの情報などを基に脅威動向を監視し、組織に侵入しようとする脅威の分析、検知、調査、遮断までの多くを自動的に実行する。

 Security Copilotは、SOCのメンバーに対し、分析した脅威動向の要約や検知した脅威の詳細、自動防御などの実行内容の詳細、手動対応時に行うべきアクション、適用を推奨するスクリプトやコードなどの技術情報、推奨される調査方法、脅威対応後のレポート作成支援などを提供する。

「Security Copilot」のデモ。「PowerShell」を悪用する手法を解説し、推奨される具体的な対応方法を提示する
「Security Copilot」のデモ。「PowerShell」を悪用する手法を解説し、推奨される具体的な対応方法を提示する

 Lefferts氏は、「統合プラットフォーム側で各種のデータを集約、分析してSOCの担当者には最も重要な情報を提供する。脅威の動向や各種のセキュリティイベントを単一のビューで把握でき、脅威の侵入を自動的に遮断する。高度な攻撃者が5分で攻撃を完了させるのに対し、Microsoftはそれより早く3分で攻撃を阻止する。SOCの担当者は脅威の全体像を捉えながら封じ込めに専念できる」と話す。

 Microsoftのアプローチは、膨大なデータ基盤と統合プラットフォームやAIなどのテクノロジーを活用して脅威対応プロセスの多くを自動化することにより、SOCの生産性を向上させることにあるという。

 ただし組織の状況によっては、例えば、ビジネスを優先する必要があり脅威を一気に遮断できないという判断に迫られるシーンもある。Microsoft米国本社で日本企業の支援などにも当たるサイバーセキュリティ ソリューショングループ チーフセキュリティアドバイザーの花村実氏は、組織ごとのルールや対応の判断基準を設定することもでき、組織固有の設定は、ほかの組織とは共有されないと説明する。セキュリティ対策の運用を自動化しながらも柔軟性を確保しており、組織のプライバシーに配慮しているとした。

米Microsoft MS Threat Protection コーポレートバイスプレジデントのRob Lefferts氏(左)とサイバーセキュリティ ソリューショングループ チーフセキュリティアドバイザーの花村実氏
米Microsoft MS Threat Protection コーポレートバイスプレジデントのRob Lefferts氏(左)とサイバーセキュリティ ソリューショングループ チーフセキュリティアドバイザーの花村実氏

 サイバーセキュリティにおけるAIの活用は、脅威対応の効率化や防御力の向上など多くの効果をもたらすと期待される。別の取材で国内大手MSPのSOC責任者は、「AIは確かに便利だが、それに依存した運用になると、若手担当者が育たなくなることも懸念している」と述べていた。人の作業をAIが代替すれば、SOC業務に求められる本質的なスキルや能力、感性といったものの醸成に影響するという懸念だ。

 Lefferts氏は、こうした懸念は杞憂(きゆう)だと主張する。「Security Copilotの早期プレビューに参加しているSOCユーザーで実際に多いユースケースは若手の訓練になる。インシデントへどのように対応するのか、どう判断すべきなのかといった手がかりをSecurity Copilotが実地訓練を通じて詳細に提示し、若手が学んでいる」という。

 Lefferts氏は、サイバーセキュリティにおけるAIの役割がSOCの専門家を手助けするものであり、専門家の仕事をマシンに置き換えて、人を減らすものではないと強調している。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]