AIの支援で非専門家でもログ分析やレポート作成、インシデント対応が可能に。そのインパクトは?
“GPT-4×セキュリティ”の可能性、マイクロソフトが「Security Copilot」を紹介
2023年05月01日 07時00分更新
Security Copilotは業務効率化を支援する“賢いインターフェイス”
マイクロソフトは2023年3月28日、セキュリティ担当者の業務効率化などをAI技術で支援する「Microsoft Security Copilot」のプレビュー版をリリースした。OpenAIが開発するマルチモーダル大規模言語モデル「GPT-4」と、マイクロソフトのセキュリティ固有モデルを活用した生成AIにより、対話形式でインシデント分析やレポート作成などを補助するものだ。
マイクロソフトがOpenAIとコンピューティングパートナーシップを締結すると発表したのは、2019年のこと。以降、3段階に渡って数十億ドル規模の投資を実施してきた。現在は「Microsoft Azure」上でOpenAIサービスを提供するほか、「GitHub Copilot X」や「Microsoft 365 Copilot」「Microsoft Dynamics 365」など、幅広い製品で精力的に生成AIの実装を進めている。
マイクロソフトはAIへの取り組みについて、3つの指針を示している。1つは、実用性を重視して有意義なイノベーションを実現すること。2つめは、人や組織の能力向上を補助するためのものであること。3つめは、責任あるAIの基本原則を遵守することだ。この指針は、生成AIを実装した同社製品群に貫かれている。Microsoft Security Copilotについても同様だ。
同社CSOの河野省二氏は、Microsoft Security Copilotに関するプレス向け勉強会の中で、この製品は「自然言語で対話しながらインサイトが得られる“頭の良いインターフェイス”」だと言い切る。
これまで、「Microsoft Defender」や「Microsoft Sentinel」といった各種セキュリティソリューションが生成するデータは、網羅的に状況を把握できるダッシュボードや、クエリで横断的なデータ分析を支援する「Advanced Hunting」といったインターフェイスを通じて活用することができた。Microsoft Security Copilotは、そうしたインターフェイスの進化の延長線上にある。
たとえば、Advanced Huntingはユーザーがクエリを記述できることが前提となっており、情報のやりとりも一方向である。それに対してMicrosoft Security Copilotでは、チャットによるAIとの対話を繰り返しながら情報を深掘りすることができる。AIの回答の最後には情報の参照元(ソース)が提示されるほか、次の質問のサジェスチョンを出すことも可能だという。
よく使う質問や操作などをプロンプトブックとして登録し、チーム内で共有することができるほか、解析結果をテキストや図を用いたレポートとして出力するプロンプトを用意すれば、スクリプトが書けない人でもデータから知見を引き出せる。
さらに、データ分析を指示する際に「経営者向け」や「取引先向け」と指定すれば、情報の粒度や機密レベルを考慮したレポートが作成できる。「セキュリティ担当者の業務を効率化するだけでなく、実際のデータを使った攻撃や防御の実態を学ぶ教育ツールとしても有効だ」(河野氏)。
Microsoft Security CopilotのAIが参照するデータは、マイクロソフトの各種セキュリティ製品/サービスのセキュリティログや「Office 365」などで生成され、「Microsoft Graph API」のデータベースなどに格納された社内リソースだ。顧客データは顧客のテナント内のみで使用され、「AIモデルの訓練に利用されることはない」と河野氏は強調する。データのポイズニングや不正利用などの不安についても、権限管理や設定を正しく行っていれば問題はない。
問題があるとすれば、出力されるインサイトの精度は社内リソースの量や質に依存することだろう。「Office Pro Plusを使っていてローカルのイベントログしか残っていないような環境と、Microsoft Graph APIを通じて十分なデータが格納できている環境とでは、出力結果に差異が出てくる。その意味で、過度な期待は禁物だ」(河野氏)。
今後のセキュリティ人材の雇用や育成に大きな影響か
Microsoft Security Copilotは、セキュリティの専門家でなくともログを分析してインシデント対応につなげることができる、いわば“セキュリティデータの民主化”を推進するツールと言える。これはセキュリティ人材不足の解消につながるだけでなく、使い方によっては非IT人材がビジネスにおけるセキュリティリスクを学び、対策の意識を高める学習ツールとしても効果が期待される。
同時に、こうした対話型の生成AIの活用が進むことで「セキュリティ人材の二極化」は加速すると思われる。技術に関する専門性がなくても一定レベルの知識があり、実行したいことを論理的に言葉にする能力があればセキュリティ担当者になれる。だが、尖った才能が不要になるわけではない。複雑化・巧妙化するサイバー攻撃の防衛最前線でしのぎを削りながら最善の対策に落とし込むのは、卓越した技術力や知識を持った“トップガン”人材だ。いずれにせよ、今後は生成AIの進化と活用を前提として、セキュリティ人材の雇用や育成を考えることになるだろう。
Microsoft Security Copilotはどのような影響をセキュリティ業界にもたらすのか。今後も注目していきたい。