サイバーセキュリティ業界ではもう何年も前から、人工知能(AI)がネットワーク上の不審な挙動を検出して状況を素早く把握し、侵入があった場合はインシデント対応を指揮するツールになると騒がれてきた。一方で、これまで最も信頼性が高く有用なサービスといえば、マルウェアやその他の疑わしいネットワークアクティビティの特徴を見分けるように訓練された機械学習アルゴリズムくらいというのが実情だった。ところが、ジェネレーティブAIのツールが普及するなか、これまで騒がれてきた期待に値するセキュリティ対策サービスを開発したと、マイクロソフトがついに発表したのである。
マイクロソフトがOpenAIの技術を採用し、大規模言語モデルに関する同社独自の研究と組み合わせた「Microsoft 365 Copilot」を発表したのは3月17日のことだ。さらにマイクロソフトは、「Microsoft Sentinel」や「Microsoft Defender」などのセキュリティツール、さらにはサードパーティーのサービスが提供するシステムデータやネットワーク監視を統合したセキュリティ関連の“調査記録簿”とも言えるような「Microsoft Security Copilot」の提供を、このほど開始した。
Security Copilotはネットワークに問題が起きた際にアラートを発し、ネットワーク内で何が起きているのか文字とグラフの両方で表示し、潜在的な調査の手順を提供する。人間のユーザーがSecurity Copilotを利用してインシデントの可能性を明らかにすると、Security Copilotは履歴を追跡して要約を生成してくれる。このため新しいメンバーがプロジェクトに加わった場合にも、すぐに状況を把握して作業内容を確認できる。
また、調査に関してまとめたスライドやその他のプレゼンテーション資料も自動的に作成してくれる。このためセキュリティチームが他部門の人たちや、特にセキュリティ分野での経験がなくても常に状況を把握しておく必要のある経営陣に状況を伝える上で役立つ。
「ここ数年で攻撃の頻度や巧妙さのレベル、そして激しさは本当にエスカレートしています」と、マイクロソフトのセキュリティ担当コーポレートバイスプレジデントのバス・ジャッカルは語る。「そして攻撃の激化を食い止めるための時間は、防御側にはあまりありません。現時点では戦いのパワーバランスは攻撃側に有利な方向に変化しています」
ジャッカルによると、これまでの機械学習を用いたセキュリティツールは「エンドポイントセキュリティ」と呼ばれるメールや個々のデバイスのアクティビティの監視といった特定領域で効果を発揮してきた。これに対してSecurity Copilotは、各領域の情報をすべてまとめて全体像を推測できるという。「Security Copilotは情報を結合するので、ほかの人が見逃したものをキャッチすることができます」と、ジャッカルは言う。
防御側にもジェネレーティブAIの恩恵を
Security Copilotは、OpenAIの大規模言語モデル「GPT-4」をベースとしている。ただし、マイクロソフト独自のセキュリティに特化したモデルも組み合わされていることを、同社は強調している。
Security Copilotでは、調査中に実行されたすべてのことが記録される。結果として得られる記録は監査可能であり、生成される配布資料もすべて正確で明確なものに編集可能だ。調査中にSecurity Copilotが示唆したことが間違っていたり見当違いだったりした場合には、ユーザーは「Off Target」ボタンをクリックして「的外れ」であることを知らせることで、さらにシステムを訓練することができる。
Security Copilotにはアクセス制御機能があるので、プロジェクトごとに共有メンバーを指定できる。これは内部関係者による脅威の可能性を調査する場合に特に重要だ。
さらに、緊急対策としての24時間365日の監視を可能にする。特定のスキルをもつ人が働いていないシフトや日があっても、Security Copilotが不在者の穴埋めに役立つ基本的な分析と提案をしてくれるのだ。例えば、悪意があると思われるスクリプトやソフトウェアのバイナリファイルを素早く分析したい場合、Security Copilotが分析作業を開始し、そのソフトウェアの動作と目的を明確にできる。
Security Copilotにおいて顧客データは他者と共有されることはなく、「基盤となるAIモデルのトレーニングや強化に使われていない」ことをマイクロソフトは強調している。一方でマイクロソフトは、世界中の膨大な顧客ベースから「毎日受け取る65兆個のシグナル」を脅威検出とセキュリティ製品に活用していることを誇っている。
マイクロソフトのジャッカルと同社バイスプレジデント兼AIセキュリティアーキテクトのチャン・カワグチは、Security Copilotはそれが統合するセキュリティ製品と同じデータ共有の制限や規制を受けると強調している。このため、すでにMicrosoft SentinelやMicrosoft Defenderを使用している場合、Security Copilotはそれらのサービスのプライバシーポリシーに準拠する必要がある。
カワグチによると、Security Copilotは可能な限り柔軟で自由度の高いシステムになるよう開発されており、顧客の反応が今後の機能追加や改良に反映されるという。このシステムの有用性は、最終的には顧客のネットワークや顧客が直面する脅威について、どれだけ洞察力と精度を高めることができるかにかかっている。
ただし、カワグチによると最も重要なことは、防御側ができるだけ早くジェネレーティブAIの恩恵を受けられるようにすることだという。「わたしたちが何をしようとも攻撃側がAIを使うことを考えると、防御側にもAIを装備させる必要があるのです」
(WIRED US/Edit by Daisuke Takimoto)
※『WIRED』によるGPT-4の関連記事はこちら。人工知能(AI)の関連記事はこちら。
次の10年を見通す洞察力を手に入れる!
『WIRED』日本版のメンバーシップ会員 募集中!
次の10年を見通すためのインサイト(洞察)が詰まった選りすぐりのロングリード(長編記事)を、週替わりのテーマに合わせてお届けする会員サービス「WIRED SZ メンバーシップ」。無料で参加できるイベントも用意される刺激に満ちたサービスは、無料トライアルを実施中!詳細はこちら。