AIが企業内のセキュリティ対策を手助けする「Microsoft Security Copilot」の詳細

　日本マイクロソフトは、GPT-4をサイバーディフェンスに適用した「Microsoft Security Copilot」を発表。その概要について説明した。

　日本マイクロソフト 技術統括室 チーフセキュリティオフィサーの河野省二氏は、「Security Copilotは、セキュリティのための優れたインターフェイスであり、副操縦士（Copilot）として、いつでも必要な回答や情報を提供する。セキュリティの運用に関して悩んでいることを相談したり、文書作成を支援するアシスタントの役割を担ったりする。外部データだけでなく、Microsoft Graphに蓄積した社内データなどのリソースを活用して、セキュリティの強化を支援することができる」などと語った。

日本マイクロソフト 技術統括室 チーフセキュリティオフィサーの河野省二氏

　Security Copilotは、最先端のジェネレーティブAIであるOpen AIのGPT-4を利用。マイクロソフト独自のセキュリティに関する専門知識、グローバルな脅威インテリジェンス、包括的なセキュリティ製品を活用したマイクロソフト固有のセキュリティモデルと位置づけている。現在は、プライベートプレビュー版として提供している段階だ。

　日本マイクロソフトの河野氏は、「情報セキュリティの担当者が少なく、トラブルが発生しても相談することができないといった環境の企業でも、セキュリティ業務のパートナーとして、Security Copilotを活用できる。セキュリティ人材の育成や人材獲得に苦労をしている企業に対しても解決策を提案できる。

　トラブルが発生した際に、セキュリティの初学者はどんな対応をすればいいのかがわからなかったり、どんな影響が起こるのかを推察できなかったりといった課題がある。既に解決している事例をもとに、Security Copilotがインシデントの内容を特定し、対策方法を提案するなど、セキュリティエンジニアの知見を高めるための支援を行なう。また、高度なセキュリティ専門家にとっても、より深い知見を得るためのツールとして活用できる」と述べた。

　Security Copilotでは、「インシデント対応」、「脅威ハンティング」、「報告書の自動作成」の3つの役割を担うという。

　「インシデント対応」では、現在進行中の攻撃を特定し、その規模を評価し、実際のセキュリティインシデントで実証された戦術に基づく対応方法を提案するという。

　「Security Copilotに対して、自然言語を使って、『いま攻撃が進行中なのか』、『対策は進んでいるのか』といったことを質問できる。経験が少ないセキュリティエンジニアでも、どんな対策を行なったらいいのかを理解できる。また外部企業に質問すると情報が漏れてしまうが、Security Copilotは社内だけでやりとりを完結できるため、情報が漏洩することがない。Security Copilotは、社内で生成したデータを活用して、インシデント対応を提案することができる」とした。

　「脅威ハンティング」では、自然言語での対話を通じて、組織が既知の脆弱性や悪用の影響を受けやすい状況にあるかどうかを確認し、侵害の痕跡がないかどうかも調査する。

　「セキュリティ担当者からは、本当に見たい情報が見えないという声が上がっているのが現状だ。その理由の1つが、欲しい情報を得るためのクエリーがうまく書けないと点である。Security Copilotでは、自然言語で対話しながら、欲しい情報に辿りつれるようになる。Bing Chatで繰り返し質問をして、回答を絞り込み、深堀りしていくのと同じ使い方ができる」とした。

　「報告書の自動作成」では、イベントやインシデント、脅威を数分で要約し、報告する相手に最適な形にカスタマイズした報告書を、いつでも共有できるように作成する。

　「PowerPointやWordなど、指定したアプリにあわせて報告書を作成できる。インシデントの影響を経営者向けにわかりやすくレポートを作成した欲しいといった要望にも対応できる。被害額の算定、サービスへの影響時間なども報告書に盛り込むことが可能だ」という。

　だが、「Security Copilotは、Microsoft 365などのアプリをもとに生成されたMicrosoft Graphのデータや、Microsoft DefenderやMicrosoft Sentinelなどの各種セキュリティサービスが生成しているデータをもとにした洞察を提供するものである。参照するリソースによって、出力の内容が変わってくる点は注意しなくてはならない。ローカルのイベントログしか残っていない環境と、Microsoft Graphにデータが十分に蓄積されている環境では、Security Copilotによる報告内容にも差が出ることになる」とも述べた。

　さらに、Security Copilotにおけるデータに対する基本姿勢についても説明。セキュリティに関するデータは所有者のものであり、ローカルのテナントのなかでのみ使用されていること、企業などが持つデータをAIモデルの基盤を訓練するために利用しないこと、データは、コンプライアンスやセキュリティ対策によって保護されることを強調した。

　「マイクロソフトでは、責任あるAIの基本原則を打ち出している。それに基づき、ユーザーは、Security Copilot のようなChat AIを利用して、データにアクセスする際には、Chat AIコアがイベントログを収集し、いつでも状況を把握し、制御を可能にすることを目指している。

　一般的に利用されているBing Chatの場合は、ログの記録においては、利用者情報はすべて削除し、トレーニングデータも個人情報を削除している。それに対して、Microsoft Copilotシリーズは、社内のリソースを使うことを前提にしたChat AIモデルであり、組織内のセキュリティやコンプライアンスを維持しながら、Microsoft Graphが蓄積したイベントログを活用した運用ができる。Graph APIを利用した場合にはユーザー権限を引き継いだ形での利用が可能になっている」と説明した。

　一方、マイクロソフトのMicrosoft Secureとしての全体的な取り組みについても触れた。

　Microsoft Securityは、マイクロソフトが提供するセキュリティの総称だ。同社が収集する1日65兆件の脅威シグナルをはじめとして、さまざまなデータを活用し、専門家とAIを活用して分析し、脅威インテリジェンスを生成。それに基づくセキュリティの自動化に取り組んでいる。

　「サイバーハイジーンの実現により、サイバー空間の安全な状況を、自動化によって実現するのがMicrosoft Securityの特徴になる。どのような攻撃にも影響を受けず、生産性を高めるためのセキュリティソリューションを実現することになる」とし、「最近では、Do more with less with Microsoft Security（より少ないリソースで多くのことを成し遂げることができるセキュリティ）の実現に向けた取り組みを進めている」と述べた。

　ここでは、セキュリティオペレーションの目的や、エンジニアのスキルに合わせて、さまざまなインターフェイスを活用してセキュリティに関わる業務を効率化していることに言及。Microsoft 365 DefenderダッシュボードやMicrosoft Sentinelダッシュボードによって、マイクロソフトが提供するセキュリティ情報を管理しているのに加えて、Advanced Huntingによって、Microsoft Graph内のデータやセキュリティソリューションのデータを横断的に検索することで、インシデントの詳細分析や、インシデント発生の予兆などを把握。Graph Security APIを活用することで、ほかのアプリケーションが蓄積したセキュリティ関連データも利用でき、知りたい情報をより広範囲から収集し、分析することができる。

　今回のSecurity Copilotは、こうしたDo more with less with Microsoft Securityの流れをさらに加速させるものであり、「自然言語によるチャットを利用することで、すべてのソリューションのデータを横断的に活用可能できる。ダッシュボードやAdvanced Huntingは、一方向での情報提供であったが、Security Copilotは対話形式によって、不明な部分はさらに深堀りして聞くことができる。Microsoft Securityに関わるインターフェイスを拡充することができるものになる」と位置づけた。

　マイクロソフトでは、全世界のDigital Trust SecurityパートナーやMISA（Microsoftインテリジェントセキュリティアソシエーション）パートナー、米マイクロソフトが提供するMicrosoft Security Expertsを提供することで、セキュリティソリューションの活用における支援体制を敷いているが、より手軽に質問したり、運用に関する相談を行ったりする際に、Security Copilotが有効な役割を果たすとしている。