Microsoft SentinelがCopilotやMCPと連携 AIエージェント搭載でタスク自動化を支援：セキュリティソリューション

MicrosoftはSentinelをAIエージェント駆動型のセキュリティ基盤へ進化させ、新たにグラフ技術やノーコード開発機能を導入した。Security CopilotやMCPと連携させ、脅威分析および自動対応を強化した。

[後藤大地，ITmedia]

　Microsoftは2025年9月30日（現地時間）、セキュリティ基盤「Microsoft Sentinel」における新たな機能拡張を発表した。同社は従来のクラウドネイティブなSIEM（Security Information and Event Management）の枠組みを超え、AIエージェントを中心に据えた「エージェント駆動型」セキュリティプラットフォームへと進化させることを明らかにした。

　発表では「Microsoft Sentinel」（Sentinel）のデータレイクが一般提供に移行したこと、また新たに「Sentinel Graph」と「Model Context Protocol（MCP）サーバ」がパブリックプレビューとして利用可能になったことが示されている。

Microsoft Sentinelに新機能　AIエージェントを搭載した次世代基盤に

　Sentinelはこれまでログやイベントを統合管理する役割を担ってきたが、今回の拡張により、構造化・半構造化データを取り込み、ベクトル化やグラフ関係を使った高度なセキュリティ文脈を形成できるようになった。攻撃経路の追跡や影響範囲をより精密に把握できる。

　Sentinelは「Microsoft Defender」や「Microsoft Purview」と連携することで、既存のツール群にグラフベースのコンテキストを付与する仕組みを提供する。セキュリティ担当者は日常的に利用する操作環境下で脅威の相関関係や被害の優先度を把握し、対応を効率化できる。またMCPサーバにより、「Security Copilot」や「VS Code」「GitHub Copilot」を使った開発環境で動作するエージェントが、統合データに基づいて推論し、自動応答や調査を支援できるようになる。

　Security Copilotについても新機能が追加された。Security Copilotエージェントは2025年3月に提供が開始されたが、新たに提供される「ノーコードエージェントビルダー」によって、利用者は自然言語で要件を記述するだけで、独自のエージェントを短時間で構築し、運用環境に導入できる。

　開発者には、MCP対応のVS Code環境においてGitHub Copilotを活用しつつエージェントを構築する方法も用意される。これらのエージェントは、フィッシング判定や条件付きアクセスの最適化など、具体的な業務フローに組み込める形で提供されており、誤検知の削減や調査時間の短縮、平均対応時間の低減に寄与するとされる。

　MicrosoftはAIを活用する組織が増加する状況を踏まえ、「Security for AI」の領域でも追加施策を導入している。その一環として、AIエージェントの管理を支援する「Entra Agent ID」や、カスタムアプリにおけるデータ過剰共有を防ぐ制御機能、MCPサーバやAIモデルプロバイダーへのリスク発見機能、プロンプトインジェクション攻撃を検知する仕組みなどが拡張された。

　「Azure AI Foundry」における新たな強化策として、エージェントのタスク順守制御、個人情報保護のためのガードレール、クロスプロンプト攻撃への対抗を目的としたプロンプトシールド強化などが導入予定だ。

　エコシステムの面において、Sentinelのオープンかつ拡張可能な設計を生かし、パートナー企業が独自のエージェントやソリューションを開発できる環境が整備された。既にAccentureやServiceNow、Zscalerといった企業との協業が進められており、新設されている「Microsoft Security Store」からエージェントの検索、購入、導入を容易にできるようになった。

　Sentinelはクラウド規模でのデータレイクを基盤としつつ、AIエージェントによる推論と自動化を取り込んだ統合的なセキュリティプラットフォームへと発展している。Security Copilotとの組み合わせによって、サイバー脅威に対し迅速かつ大規模に対応できる環境を提供することをMicrosoftは強調する。Microsoftは今後も、組織がAI時代に適応したセキュリティ体制を構築できるよう支援を継続する方針を示している。