セキュリティでのAI活用は「SOC体験の変革」–マイクロソフト幹部
今回は「セキュリティでのAI活用は「SOC体験の変革」–マイクロソフト幹部」についてご紹介します。
関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
Microsoftは、さまざまな領域でOpenAIとの協業に基づく生成AIや対話型AIの技術の実装を進めているが、具体的な活用領域の1つにサイバーセキュリティを挙げている。MS Threat Protection(高度サイバー脅威防御担当部門) コーポレートバイスプレジデントのRob Lefferts氏が、サイバーセキュリティにおける同社のAIソリューションの狙いなどを説明した。
まずLefferts氏は、同社の狙いを「SOC体験の変革」と簡潔に示した。SOCとは、「Security Operation Center」(セキュリティ運用センター)で、組織を狙うサイバー攻撃などの脅威を監視、検知、分析、対応、防御を担う。組織が自前で運営するケースや、マネージドサービス事業者(MSP)が複数の顧客にサービスとして提供するケースなどがある。いずれもサイバー脅威に詳しい専門家が常駐し、大半のSOCが24時間体制で脅威に対峙(たいじ)している。
Lefferts氏は、「サイバーセキュリティでは防御側が圧倒的に不利だ」と述べる。サイバー攻撃がいつ実行されるのかは、攻撃者側の都合次第だからだ。しかも攻撃者は、さまざまな攻撃手法を幾つも組み合わせて実行するため、攻撃の内容は千差万別だ。防御側はあらゆる内容の攻撃に全方位で24時間備え続けなければならず、防御の最前線となるSOCの負担は非常に大きい。
Lefferts氏は、「セキュリティ人材も不足している。米国ではセキュリティ職務の3分の1で人材がいない。日本は幾分ましだが、それでも4分の1がいない状態にある。防御側のこの状況を変える必要がある」と述べる。
Lefferts氏によれば、組織は平均して50種類以上のセキュリティツールを導入している。その一つ一つを正しく運用するだけでも大変になる。さらに、サイバー攻撃の手法は、システム的、技術的なものにとどまらない。人をだますフィッシングなどの詐欺的な方法も駆使するため、SOCの専門家は、ITやサイバーセキュリティの技術、脅威に関する知識などに加え、組織のビジネスやカルチャーといった人的要素も踏まえて、脅威に対応しなければならない。
このためMicrosoftは、「Unified Security Operations Platform」(統合型セキュリティ運用プラットフォーム)というアプローチを取る。ベースとなるのが脅威インテリジェンスで、「われわれは毎日65億ものセキュリティイベントを分析している」とLefferts氏。膨大な情報から脅威動向を取得し、それを「The Ultimate Guide to Extended Security Posture Management」(XSPM)のレイヤーに展開して、組織の情報資産やIT環境にまつわる脆弱(ぜいじゃく)性を解消していくことで、それらの健全性を担保する。
その上で組織を狙う脅威に対し、SIEM(セキュリティ情報・イベント管理)の相関分析により脅威の実態を可視化し、XDR(拡張型脅威検知および対応)を用いた脅威への対応や防御を実施する。Lefferts氏は、AIがこうしたセキュリティ基盤全体を効果的に機能させることで脅威の侵入を自動的に遮断し、SOCの専門家が脅威対応に専念するための支援役を担うと説明した。
Microsoftは、11月に開催した「Ignite」で、Unified Security Operations Platformの提供や、サイバーセキュリティ向け対話型AI「Microsoft Security Copilot」の実装の拡大などを発表した。これは、Lefferts氏の言う「SOC体験の変革」の一環になるという。
Unified Security Operations Platformは、クラウドベースのセキュリティ基盤の「Microsoft Sentinel」やSIEM、XDRを統合しており、これにSecurity Copilotも組み込まれている。脅威インテリジェンスやサードパーティーからの情報などを基に脅威動向を監視し、組織に侵入しようとする脅威の分析、検知、調査、遮断までの多くを自動的に実行する。
Security Copilotは、SOCのメンバーに対し、分析した脅威動向の要約や検知した脅威の詳細、自動防御などの実行内容の詳細、手動対応時に行うべきアクション、適用を推奨するスクリプトやコードなどの技術情報、推奨される調査方法、脅威対応後のレポート作成支援などを提供する。
Lefferts氏は、「統合プラットフォーム側で各種のデータを集約、分析してSOCの担当者には最も重要な情報を提供する。脅威の動向や各種のセキュリティイベントを単一のビューで把握でき、脅威の侵入を自動的に遮断する。高度な攻撃者が5分で攻撃を完了させるのに対し、Microsoftはそれより早く3分で攻撃を阻止する。SOCの担当者は脅威の全体像を捉えながら封じ込めに専念できる」と話す。
Microsoftのアプローチは、膨大なデータ基盤と統合プラットフォームやAIなどのテクノロジーを活用して脅威対応プロセスの多くを自動化することにより、SOCの生産性を向上させることにあるという。
ただし組織の状況によっては、例えば、ビジネスを優先する必要があり脅威を一気に遮断できないという判断に迫られるシーンもある。Microsoft米国本社で日本企業の支援などにも当たるサイバーセキュリティ ソリューショングループ チーフセキュリティアドバイザーの花村実氏は、組織ごとのルールや対応の判断基準を設定することもでき、組織固有の設定は、ほかの組織とは共有されないと説明する。セキュリティ対策の運用を自動化しながらも柔軟性を確保しており、組織のプライバシーに配慮しているとした。
サイバーセキュリティにおけるAIの活用は、脅威対応の効率化や防御力の向上など多くの効果をもたらすと期待される。別の取材で国内大手MSPのSOC責任者は、「AIは確かに便利だが、それに依存した運用になると、若手担当者が育たなくなることも懸念している」と述べていた。人の作業をAIが代替すれば、SOC業務に求められる本質的なスキルや能力、感性といったものの醸成に影響するという懸念だ。
Lefferts氏は、こうした懸念は杞憂(きゆう)だと主張する。「Security Copilotの早期プレビューに参加しているSOCユーザーで実際に多いユースケースは若手の訓練になる。インシデントへどのように対応するのか、どう判断すべきなのかといった手がかりをSecurity Copilotが実地訓練を通じて詳細に提示し、若手が学んでいる」という。
Lefferts氏は、サイバーセキュリティにおけるAIの役割がSOCの専門家を手助けするものであり、専門家の仕事をマシンに置き換えて、人を減らすものではないと強調している。