[ユーザー事例]
生成AIは多忙なセキュリティ担当者を救うか?─「Microsoft Copilot for Security」の先行ユーザーが語る効果と課題
2024年5月22日(水)神 幸葉(IT Leaders編集部)
「Azure OpenAI Service」や「Microsoft Copilot」などの生成AIサービスがグローバルで支持され、この市場でのポジションを強固なものにしつつあるマイクロソフト。2024年4月にはセキュリティ分野での生成AI活用に主眼を置く新サービス「Microsoft Copilot for Security」をリリースしている。生成AIはセキュリティ担当者にどんな恩恵をもたらすのだろうか。日本マイクロソフトが同年4月17日に開催した説明会に、Copilot for Securityの先行ユーザーが登壇し、導入効果や今後の計画などを語った。
セキュリティ事業に1万人の人員を投入し、毎日78兆件以上の脅威シグナルを処理──マイクロソフトのセキュリティ分野への注力はよく知られているが、説明会に立った米マイクロソフト セキュリティマーケティング担当バイスプレジデントのアンドリュー・コンウェイ(Andrew Conway)氏(写真1)は改めて強調。「現在のセキュリティ業界で、最も完全な統合型プロテクションプラットフォーム」(同氏)の提供に余念がないようだ。
写真1:米マイクロソフト セキュリティマーケティング担当バイスプレジデントのアンドリュー・コンウェイ氏マイクロソフトのAIに対する大規模な投資は、次々提供する技術やサービスを見れば明らかだ。なかでも、既存製品に生成AIアシスタント機能「Microsoft Copilot」の組み込みは、エンドのビジネスユーザーにとって最も身近な生成AIの1つと言える(関連記事:Microsoft 365に営業/コンタクトセンター業務を支援する生成AI「Copilot」を追加)。
そんなマイクロソフトにとって、生成AIをセキュリティ領域においても活用を促す取り組みは必然である。具体的なサービスとして、2024年4月1日に、セキュリティ担当者に向けた「Microsoft Copilot for Security」の一般提供を開始している(図1)。
一般提供版では、日本語を含めた8言語でのプロンプト処理とレスポンスを行うほか、25言語に対応。マイクロソフトが処理する脅威シグナルの大規模なデータと脅威インデリジェンスから得た情報を基に、セキュリティ担当者に対応策の提案などを行う。Copilot for Securityは独立したポータルとしての提供のほか、同社の既存セキュリティ製品に組み込む形でも提供する。
図1:セキュリティを強化するCopilot(出典:日本マイクロソフト)拡大画像表示
コンウェイ氏は、約200人のセキュリティ専門家を対象に、Windows標準のセキュリティソフトウェア「Microsoft Defender」単体でタスクをこなす場合と、Microsoft DefenderとCopilotを併用してタスクをこなす場合の比較検証を依頼した結果を紹介した。
検証結果によると、併用することで業務は22%迅速に完了し、精度は7%向上することが判明。また、97%の専門家が、次回同じタスクを行う場合もCopilotを使いたいと回答したという(図2)。
図2:Copilotによる成果(出典:日本マイクロソフト)拡大画像表示
セキュリティ人材不足をCopilotで補完
Copilot for Securityは、一般提供に先立ち、2023年10月から早期アクセスプログラムとしてプレビュー版を提供している。同プログラムには330社以上の顧客・パートナーが参加し、発表会では同プログラムに参加した先行ユーザーの事例が紹介された。
1つ目の事例は、三井住友トラスト・ホールディングスのデジタル戦略子会社であるTrust Baseと、セキュリティ専門コンサルティング/ベンダーのラックによる取り組みだ。両社は、2023年7月からラックが提供する「Microsoft Sentinel活用支援サービス」の共同検証を行っており、今回Copilot for SecurityではTrust Baseのセキュリティ人材不足を補えるかを検証している。
Trust Base DXプラットフォームセンター センター長の中川哲氏(写真2)は、同社が抱える課題として、第1に自社セキュリティ担当者のリソース・スキル不足していること、第2にAzure、AWS、Google Cloud、SaaSなどセキュリティの守備範囲が拡大したこと、第3にプロアクティブなセキュリティ運用に取り組めていないことを挙げた。
「担当者のリソース、スキル不足についてはSOC(Security Operation Center)ベンダーによる支援で解決は可能とする一方で、2、3点目についてはベンダーの支援だけでは難しい。その部分をCopilot for Securityでカバーできないかと考えた」(中川氏)
写真2:Trust Base DXプラットフォームセンター センター長の中川哲氏導入後はラックの協力の下、Microsoft 365 E5の環境にペネトレーションテストツールを使って疑似攻撃を仕掛け、Copilot for Securityでインシデントを分析し評価を行った。また、トロイの木馬、C&C通信、ワーム、ランサムウェアなど9つのシナリオで主要機能をテストした(図3)。
テスト対象となったのは、インシデント情報などの詳細情報を要約する機能、脅威情報を加味しインシデントやアラートを分析する機能、インシデントへの対処方法を推奨する機能、アラートやログデータを検索するためのKQLクエリの自動生成機能、インシデントの報告用レポートを自動生成する機能の5つである。
図3:評価の観点と評価ツール(出典:Trust Base)拡大画像表示
中川氏は検証を通じて、以下の4点をCopilot for Securityの活用メリットとして挙げた。
●インシデント対応などのMicrosoft Sentinel運用作業をCopilot for Securityがアシストしてくれて、作業時間の短縮を図ることができる。
●高度なスキルを持ったSOCアナリストが担当しているインシデント分析を、セキュリティ担当者でも運用できるようになる。
●セキュリティ担当リソースをプロアクティブなセキュリティ運用に集中させることで、セキュリティ運用全体のパフォーマンス最適化を図り、人材不足を補うことができる。
●セキュリティ担当者ではカバーしきれないセキュリティの知見を脅威インテリジェンスから取得し、わかりやすく要約してくれることで、Sentinelによるインシデント分析・対応に活用できる。
一方で、複雑な問い合わせには回答に数分程度時間がかかる、回答に不正確な内容が含まれる場合があるなど、課題点も見えたと言い、マイクロソフトによる今後の改善に期待すると同時に、一般提供版を用いてどこまで課題解決できるかを確認していくとした。
●Next:金融向けコンサルのシンプレクスが取り組んだ、IDaaS/デバイス管理チームにおける導入効果
会員登録(無料)が必要です
- 1
- 2
- 次へ >
Microsoft / Microsoft Copilot / 生成AI / シンプレクス / Microsoft Defender / SOC / 三井住友トラスト・ホールディングス / ラック / インシデントレスポンス / Trust Base
