AI for Securityで進化するセキュリティオペレーション
AIを推進するMicrosoftは、セキュリティ領域では、SOCアナリストなどセキュリティ専門家の業務を支援するSecurity Copilotを提供しているが、今回Igniteで全てのMicrosoft 365 E5ユーザーが追加費用なしにSecurity Copilotを利用できるようになることが発表された。これにより、Microsoft 365 E5ユーザーは、セキュリティ業務の多くをSecurity Copilotを使ってできるようになる。
この変化についてLi氏は、企業や組織でのAIの重要性がさらに高まり、AIを悪用するサイバー攻撃などの脅威も拡大する中で、AI for Securityのアプローチをより加速させる必要性があるためと説明する。
「例えば、自動運転ではAIがドライバーの操作を支援するものから段階的に自律的な運転操作へと進化しているように、セキュリティにおいてもAIが専門家の一部の業務を支援するものからAIエージェントによる自律的な仕組みへと進化する。しかし、セキュリティにおいては必ず専門家が介在し、専門家とAIエージェントによるセキュリティ・チームによって脅威に対峙していくようになる」(Li氏)
セキュリティ領域でもAIの導入や活用が進み始めているとはいえ、今なおSOCのアナリストやCISOらは、膨大なセキュリティのデータの処理に追われ、真に対峙しなければならない脅威の検知と防御に苦労している。
Li氏によれば、専門家とAIエージェントによるセキュリティ・チームでは、AIエージェントのレッドチームが自律的に脆弱性を発見し、AIエージェントのブルーチームが自律的にパッチを適用して、専門家がAIエージェントたちの実行や結果などをマネジメントしていくイメージだ。
専門家の手作業に依存するこれまでのやり方が大きく変化し、専門家は真に対峙すべき脅威へ集中できる――かつて、未来のおとぎ話のように言われたAIを活用したセキュリティオペレーションの変革。Microsoft 365 E5ユーザーが追加費用なしにSecurity Copilotを利用可能になることは、これを本当に実現していく重要なステップであることを意味している。
Microsoft 365 E5+Security Copilotが提供する価値
Microsoft 365 E5ユーザーは、Security Copilotをどう活用していけばいいのだろうか。まず押さえておくべきは、Security Copilotのコンピューティングリソース利用時の基準とも言えるセキュリティコンピューティングユニット(SCU)になる。
Microsoft 365 E5ライセンスを契約している場合、AIおよびAIエージェントとしてのSecurity Copilotを追加料金なしで利用できる。Security Copilotの実行に必要なリソースは「SCU(Security Copilot Unit)」という単位で管理され、SCUは処理能力や利用枠を示すメーターのような概念である。ライセンス1,000ユーザーごとに毎月400 SCUが付与され、追加料金なしで最大10,000 SCUまで利用可能だ。
Microsoft 365 E5を利用し、Security Copilotをこれまで利用してこなかったユーザーはマイクロソフトとLinkedinが共同で、Security Copilotの基本から学べる基本講座のオンライントレーニングを視聴しSecurity Copilotを活用するための基礎を学ぶことができます。Agentに対応したトレーニングの提供も予定しています Microsoft Security Copilot 基本講座
Igniteで発表されたSecurity CopilotのAIエージェント群には、大きく(1)トリアージ、(2)分析・調査、(3)プロアクティブ対応――の3つのタイプがある。
Li氏によると(1)は、膨大なデータを利用して迅速な意思決定を必要とする業務を支援するものになり、例えば、Microsoft Defederなどのデータを活用してフィッシング攻撃への対応を支援するPhishing Triageや、Microsoft Purviewなどと連携してデータ漏えいリスクに対応するData Security Triageなどがある。
(2)は、脅威インテリジェンスやインシデント調査といったセキュリティ関連データを活用した高度な分析やレポートなどを支援するもので、Threat HuntingやThreat Intelligence Briefingなどをラインアップしている。
(3)は、企業や組織が保護する環境のセキュリティ状態を改善したり強化したりするための能動的なアドバイスや推奨アクションの提案などを行う。例えば、Microsoft Entraと連携してアイデンティティ保護を支援するIdentity Risk Managementやアクセス管理のAccess Review、Microsoft Intuneと連携してデバイス保護を行うPolicy Configurationなどがある。
Microsoft 365 E5のユーザーは、自社のセキュリティ課題に応じて利用するSecurity CopilotのAIエージェント群を柔軟に構成でき、その選択や運用状況などに応じて使用されるSCUも変わってくる。Li氏によると、上述のMicrosoft 365 E5に含まれるSCUは、Microsoftの大型顧客が毎月必要とするセキュリティ業務を十分にカバーできるという。万一不足が発生してもオプションでSCUを追加することができ、SCUの消費状況はAzureと同様リアルタイムな把握と可視化をできるようにしている。
なお、新たなSecurity Copilotには、Microsoftが開発・提供する12種類のAIエージェントと30以上のサードパーティ製のAIエージェントがあり、Epstein氏によれば、これらに加えて、Security Copilotのユーザーが独自に作成するカスタムエージェントも提供していく予定だ。
「われわれおよびサードパーティのエージェントでも多くのセキュリティ業務をカバーできるが、完全に網羅できるわけではない。ユーザーは、プロコードやローコードを使ってカスタムエージェントを開発することができ、これにより例えば、オンプレミスのシステムやレガシーなアプリケーションのセキュリティに関するデータの分析をカスタムエージェントに実行させるといったことが可能になるだろう」(Epstein氏)
セキュリティに関するMicrosoftの高度な知見を活用可能に
Microsoftは、世界最大規模のサイバーセキュリティ企業でもある。Windowsをはじめ世界中のシステムを同社が支えている現実を鑑みれば、Microsoftは日々膨大なセキュリティの脅威に対峙しており、同社が毎日収集するセキュリティのシグナルは約100兆にも上るという。それらを高速に処理してユーザーをリアルタイムに保護する豊富なセキュリティの経験や知見を有している。
今回のMicrosoft 365 E5 +Security Copilotは、そうしたMicrosoftのセキュリティに関する知見や専門性をユーザーが最大限に活用できるようにするためのものだ。Li氏によれば、MicrosoftはSecurity Copilotの“原動力”となる大規模言語モデル(LLM)やグラフデータベースをサイバーセキュリティに特化して開発しており、その基盤に約100兆ものセキュリティシグナルを含む膨大なセキュリティデータを蓄積し続けている。
CIOやCISOは、よくサイバーセキュリティをコストとみなしてしまいがちだろう。年間のセキュリティ予算も予測可能な範囲において、できるだけ少なくしたいと考える傾向にある。だが、実際にセキュリティインシデントが発生して想定をはるかに超える規模の損害やコストが発生するケースが日々世界中で発生しているのは言うまでもない。サイバーセキュリティは、コストではなく自社のビジネスを守るための投資だ。
ただ、企業や組織がMicrosoftのような規模のセキュリティデータ基盤を自前で構築することは、ほぼ不可能に近い。それならば、Microsoft 365 E5 + Security Copilotを通じてMicrosoftが持つセキュリティの知見やノウハウを存分に生かし、自社におけるセキュリティ脅威への対応能力を向上させていくことが、サイバーセキュリティの投資価値を最大化させることにつながる。
Li氏は、Microsoft 365 E5 + Security Copilotを提供する狙いを、企業や組織がAIの価値を享受し変革を実現していく上での“ボトルネック”を取り除くためだと説明する。AIの活用とセキュリティ脅威での悪用が同時並行的に進む現在、企業や組織のAIの価値を守ることにもAIの活用が必要であり、そのためにMicrosoftは、Security CopilotのAIエージェント群を進化させ、Security Copilotを予測可能な投資として利活用できるMicrosoft 365 E5 + Security Copilotを提供するわけだ。
Microsoftは、アイデンティティからデバイス、クラウドに至るまでの包括的なセキュリティソリューションを提供し、世界最大規模のセキュリティデータ基盤や高度な知見、ノウハウ、経験を有する。企業や組織は、Microsoft 365 E5 + Security Copilotによってそれらを最大限に活用しながら、自社のAI活用と変革の進化をより安全に守るセキュリティオペレーションを実現していくことができるだろう。
関連リンク Micosoft Security Copilot 基本講座 提供されるエージェント
