生成AIの活用先の一つにセキュリティ対策の運用業務がある。日本マイクロソフトが3月8日に開催したセキュリティセミナー「Microsoft Security Forum 2024」では、ラックがマイクロソフトの「Microsoft Copilot for Security」の検証状況を発表した。
Copilot for Securityは、マイクロソフトが推進する生成AI機能群「Copilot」のうち、特にセキュリティ対策の運用業務を支援するものになる(関連記事)。現在は、一部ユーザーが先行して機能などを評価する「アーリーアクセスプログラム(EAP)」で提供され、国内ではラックを含む複数の企業が検証中とのこと。なお、このEAPは有償になり、「(参加企業は)投資を伴うため、検証だが本格導入を見据えた取り組み」(日本マイクロソフトの担当者)という。
ラック 業務・IT戦略推進部 ICTイノベーション推進室 アドバンストグループ グループマネージャーの谷口隼祐氏
セミナーの基調講演では、ラック 業務・IT戦略推進部 ICTイノベーション推進室 アドバンストグループ グループマネージャーの谷口隼祐氏が、ラック社内のセキュリティ運用にCopilot for Securityを適用した状況を説明した。谷口氏は、同社の情報システム担当者として社内のセキュリティ業務に従事しており、まず「AIを活用する上で下準備がとても重要になる」と切り出した。
ラックは、システムインテグレーション(SI)とセキュリティソリューションの2つを主力事業とする。連結を含む2023年3月末時点の従業員数は2129人だが、管理対象のIDには、SIなどの協力企業の関係者やゲストも含まれるという。谷口氏は、「テレワークなど多様な働き方も推進しており、IDやデバイスをひも付けてなるべく効率的に管理を行えるようにしている」と話す。
同社は「Microsoft 365 E5」を契約しているといい、「Office」などのほか、セキュリティツールでは脅威防御・対応などの「Defender」や「Sentinel」、認証基盤の「Entra ID」、情報管理・漏えい対策「Purview」などマイクロソフトのものが多い。また、パロアルトネットワークスといったセキュリティソリューションのパートナー製品も導入しており、マルチベンダーのソリューションを適材適所で組み合わせ、社内のセキュリティ対策を運用しているという。
谷口氏は、生成AIをセキュリティ業務で利用するには、さまざまな業務データを活用する基盤の整備が不可欠だと述べる。「業務データをデジタルに落とし込めているかが重要であり、サイバー空間で業務データの安全を守る土台を構築する。結果として当社はマイクロソフト製品に寄せているが、Copilot for Securityで業務データを扱うことができれば、『Power Platform』や『Microsoft Graph』を使ってセキュリティ業務を自動化したり状態を可視化したりできるだろう」(谷口氏)
マイクロソフトの説明では、セキュリティ担当者がCopilot for Securityに自然言語で問いかけることにより、検知された危険な兆候の内容をすぐに把握したり、要約の報告レポートを作成したりといったことができる。
例えば、フィッシングメールを検知して社内の影響をすぐに把握したい場合、Copilot for Securityが、セキュリティシステムのデータやメールシステムのログデータなどを分析して、同様のメールが「いつ」「どの程度」「誰宛て」に送信されたのか、さらには「メールを開封したのが何人か」「誰が開封したのか」「メールの不正リンクをだれがクリックしたのか」を取りまとめて報告してくれる。これを手作業で行うのは大変だが、生成AIが多くを自動で実行する。ただし、こうした生成AIのメリットを享受するには、谷口氏が指摘するように、あらかじめ業務データを蓄積するデータレイクや各種データを相関付けする仕組みなどを整備しておかないといけない。
谷口氏が社内で行ったCopilot for Securityの効果検証のポイントは、「時間短縮」「アドバイザー」「魔法のような何か」の3つになる。
まず「時間短縮」は、手作業を自動化することで期待できる分かりやすい効果だが、谷口氏は「恩恵は限定的。何をすべきか自分が分かっているので自分でした方が早い。Microsoft 365のダッシュボードも情報はとてもまとまっているので便利」と結果を明かした。一方で、インシデント調査は、自身で調べながらCopilotでも並行して調査することにより、状況把握などを進めやすくなるとのこと。また、「Log Apps」を用いて「Microsoft Teams」で共有する情報の投稿にCopilotを使った要約も活用できるなど、作業効率の向上に役立つとした。
次に「アドバイザー」としての効果は、「優秀で、(照会言語の)KQLを使った回答がすばらしい」(谷口氏)と評した。これは、格納されている多様なデータから情報を素早く探索できる生成AIの特性になる。谷口氏によれば、一回目の問いかけだけでは求める回答を得にくいことがあるものの、追加の問いかけを続けることで、回答精度が向上していく。また、回答内容のハルシネーション(AIが事実に基づかない情報を生成してしまうこと)に注意する必要があるとした。セキュリティ担当者が自身の見解をあえて生成AIに問いかけて回答を確認することで、「自分の考えを壁打ちで検討することにも役立つ」(同)という。
最後の「魔法のような何か」の検証では、現時点では想定し得ないが、生成AIの活用で新たに得られるかもしれない効果を探索した。谷口氏は、「まだまだの状況といえる。AIに判断を任せて良い領域もあるだろう。AIが誤った回答をすることもあるので、人が確認をしないといけない。生成AIの特性を生かすことが大切」と述べる。これについては、例えば、重要度が「ミディアム」相当以下のアラートの処理を生成AIに任せて人がより重要なものに対応したり、膨大なデータから生成AIで未知のリスクの存在を調べたりする使い方を試しているとした。
ラックは同日、三井住友トラストグループのTrust Baseと共同で、金融機関のセキュリティ対策の運用におけるCopilot for Securityの活用について検証作業を開始すると発表した。
ラックは三井住友トラスト・グループのTrust Baseとも生成AIのセキュリティでの活用検証を開始した