実践企業が語る、Copilot for Securityの役に立つところ、立たないところ（2/2 ページ）

[田渕聖人，ITmedia]

Copilot for Securityはアナリストの業務をどう効率化する？

　基調講演は次に、AI時代のサイバーセキュリティにテーマを移した。Microsoftのロブ・レファーツ氏（CVP, Modern Protection and SOC）が登壇し、Microsoft製品群で実現できる統合セキュリティプラットフォームの解説とCopilot for Securityのデモを公開した。

　ロブ氏は冒頭でサイバー攻撃が激化する一方で、セキュリティ人材が大幅に不足している現状を指摘した上で「セキュリティチームには新しいアプローチが求められています。ツール間の効率の良いコラボレーションを実現してアナリストの効率化を図る必要があります」と述べた。

Microsoftのロブ・レファーツ氏（CVP, Modern Protection and SOC）

　「当社の調査によると、多くの組織はEDR（Endpoint Detection and Response）やXDR（Extended Detection and Response）、SIEM（Security Information and Event Management）、SOAR（Security Orchestration, Automation and Response）など80以上のセキュリティツールを使用していますが、これらが相互に連携されていないことがサイバー攻撃者のラテラルムーブメントを防ぐ上での妨げになっています」（レファーツ氏）

　そこでMicrosoftは同社の製品群を組み合わせてAIやXDR、SIEM、XSPM（Extended Security Posture Management）、脅威インテリジェンスという5つの領域を統合したセキュリティプラットフォームを提案した。

5つの領域を統合したセキュリティプラットフォームの概要（出典：日本マイクロソフトの発表資料）

　統合プラットフォームはグローバルの脅威情報や、クラウドからエンドポイントまでの情報をリアルタイムで収集し、単一のダッシュボードに集約・可視化する。アナリストはこれを見れば脅威の侵入を早期に検知できるため、ラテラルムーブメントの阻止に役立つ。このプラットフォームでCopilot for Securityを活用することで、インサイトの提供や脅威ハンティングに向けた情報収集用のクエリの自動生成などを実行してくれるため、アナリストの業務効率化につながる。

Copilot for Securityのデモ画面。右上部のようにクエリの自動生成が可能だ（出典：日本マイクロソフトの発表資料）

　「このダッシュボードは、複数人で見ながら共同作業できるようにアップデートされる予定です。AIによる支援を受けつつチームワークでセキュリティを確保できるような機能を今後も提供します」（レファーツ氏）

実践企業が語るCopilot for Securityの役に立つところ、立たないところ

　次に、実際にCopilot for Securityを現場で活用した事例が紹介された。ラックの谷口隼祐氏（業務・IT戦略推進部　ICTイノベーション推進室アドバンストグループ　グループマネージャー）が登壇し、Copilot for Securityをラックがどう活用したか、その使い勝手について解説した。

　ラックは「Microsoft 365 E5 Security」を採用しており、「Microsoft Entra ID（旧Azure AD）」で認証を強化しつつ、認証基盤や業務システム、デバイス管理、クラウドセキュリティなどのログをSIEM「Microsoft Sentinel」に集約する仕組みを構築している。今回この環境に対して、Microsoftのアーリーアクセスプログラムを通してCopilot for Securityを導入した。

ラックの谷口隼祐氏（業務・IT戦略推進部　ICTイノベーション推進室アドバンストグループ　グループマネージャー）

　谷口氏は「生成AIに期待を込めている人は多いかと思いますが、これを有効活用するためには下準備が非常に重要になります。ではその下準備とは何かというと、“業務データをデジタルに落とし込んでいること”です。ソリューション間がうまく連携されており、データをAIが使える状態になっているというのが前提条件になるでしょう」と語った。

　谷口氏によると、あくまでAIは補助にすぎず、これを入れれば全ての状況が改善すると考えるのは期待しすぎだという。ラックではまずCopilot for Securityの活用について主に以下2つの成果を想定していた。

1. 時短：　Copilot for Securityが代わりに作業することで短時間で成果を創出できる
2. アドバイザー：　インシデントの概要や調査、対応方針に関する助言がもらえる

　では実際の成果はどうだったのか。谷口氏は「時短については正直、思ったような成果は出ませんでした」と話す。「そもそもMicrosoft 365 E5 Securityで提供される統合ダッシュボードは良くできているため、Copilot for Securityに何かを聞くよりも自分で調査した方が早いケースが多かったです。ただしインシデント調査の際、Copilot for Securityに聞きつつ、自分でも調査することで1.5人分程度の調査が並行して実行できました。この他、アラートの要約などにも役立ちました」（谷口氏）

　一方、アドバイザーについては想定以上の恩恵が得られた。特にMicrosoft関連のサービスで使用できるデータ分析用のクエリ言語「KQL」（Kusto Query Language）への回答が非常に優秀だったという。

　谷口氏は「KQLを使えばMicrosoft関連のさまざまなログを取得できますが、これを覚えるのは簡単ではありません。しかしCopilot for Securityに自然言語でやりたいことを入力すれば、目的に応じたクエリを生成してくれます。これ以外にも、問い合わせ対応やアイデアの壁打ちに利用するのも有効だと感じました」と述べた。

　ただしまだ課題もあり、「ChatGPT」などと同様に一度の質問で想定した回答が返ってくるケースは少ない他、ハルシネーションも発生するため、出力されたアウトプットが正しいかどうかはチェックする必要がある。

　ラックは、緊急度の低いアラート対応や膨大な業務データの中から新しいリスクを発見する際にCopilot for Securityを利用できるかどうかを試行している段階だ。ただあくまで現在はアーリーアクセスプログラムでの利用のため、機能の変更や追加なども発生する可能性がある。

　谷口氏は「当社はTrust Baseと連携し、Copilot for Securityを活用して高度なセキュリティ運用を実現する実証実験を開始する予定だ」と締めくくった。

「責任あるAI」の実践に向けて

　生成AIを活用する上では「責任あるAI」の実現に向けたガイドラインの整備やガバナンスの構築が必要だ。基調講演の最後には、日本マイクロソフトの河野省二氏（CSO）が登壇し、Microsoft製品で実現するAIガバナンスの世界観を説明した。

日本マイクロソフトの河野省二氏（CSO）

　河野氏は「リアルタイムでガバナンスを効かせるためにはデータとそれにひも付くメタデータの管理、つまり“データの意味付け”が非常に重要になります。あるデータに対して『このデータは誰が作り』『誰が参照して』『どのような法律に関係するのか』『個人情報が含まれているかどうか』『GDPR（EU一般データ保護規則）の対応が必要かどうか』といった多くの関連情報がメタデータとしてひも付いているイメージです」と述べた。

　こうしたメタデータなどの管理にはデータの構造上、グラフデータベースが用いられる。Microsoftはグラフデータベースとして「Microsoft Graph」を提供している他、外部のデータストレージとMicrosoft Graphを連携させるデータ分析プラットフォームとして「Microsoft Fabric」を展開している。

　河野氏は最後に「これに加え、内部不正や情報漏えいに対処するため、組織のデータ資産全体を管理・保護できるリスクコンプライアンスソリューション『Microsoft Purview』を提供しています。これらのソリューションを組み合わせることで、資産をコントロールしてAIのリスクを低減します」と語った。

Microsoft製品で実現するAIガバナンス（出典：日本マイクロソフトの発表資料）