Copilot for SecurityでMicrosoftのセキュリティ製品はどう進化するか？（1/2 ページ）

2024年4月にリリースされた生成AIを使ったセキュリティサービス「Microsoft Copilot for Security」に続々と新たな機能が追加されている。従来のMicrosoftのセキュリティ製品にこれを組み込むことでどのようなメリットがあるのか。担当者がデモを披露した。

[宮田健，ITmedia]

　日本マイクロソフトは2024年5月29日、オンラインセミナー「Japan Microsoft Security Bootcamp」を開催した。

　本稿は同セミナーにおける、同社の小町紘之氏（クラウドセキュリティ技術営業本部　テクニカルスペシャリスト）による講演「Copilot for Security BootCamp 〜概要から新機能まで〜」の内容をレポートする。

　同セッションでは、生成AIを活用したMicrosoftのセキュリティサービス「Microsoft Copilot for Security」（以下、Copilot for Security）の概要を語るセッションで、この機能が組織の運用をどう変えるか、そして誰を変えるかという点に絞り、セキュリティにおける来たるべき変革を解説するものだ。

なぜセキュリティに“AI”が必要なのか？　Microsoftの狙い

　Copilot for Securityは2024年4月にリリースされてから約2カ月が経過したが、その間にフィードバックや新機能の追加など、さまざまな変化があった。同セッションではCopilot for Securityがなぜ運用に必要なのかという問いから始まった。

　小町氏はまず、防御する側には新たなアプローチが必要だと述べる。特にシステム運用においては、長く運用しているシステムほどさまざまな新しいセキュリティツールが追加され、その度に新たなスキルの習得が必要となる。この他、見るべきログが分散し、複数のダッシュボードを見ながらの運用しなければならない。考慮ポイントが増えることで、運用は日に日に困難になっていく。

　「人」の観点でも課題がある。ツールが増えることで習熟した人材の確保が難しく、スペシャリストを育成しても転職や異動によって、そのナレッジを引き継ぐことが難しいのが現状だ。

　Microsoftはこれまでも「Microsoft Defender XDR」（以下、Defender XDR）をはじめとするツール群でポータルを統合し、運用を簡素化にしてきたと小町氏は話すが、それだけで全てが解決するわけではない。そこで注目を集めるのが、生成AIを活用したサポートだ。これまでの運用を省力化、効率化し、人力が足りないところやナレッジが不十分な部分を、AIによりカバーすることこそが、Copilot for Securityの狙いだ。

Microsoftの「Copilot」シリーズ（出典：日本マイクロソフトの発表資料）

Copilot for Securityでできる“4つのこと”

　小町氏は、Copilot for Securityについて「SOCアナリストが、マシンスピードとスケールで組織を防御できるようにする初の生成AIセキュリティ製品」と説明した。

　では具体的にどのような機能を提供するのか。小町氏はCopilot for Securityができることとして4つの柱を解説した。

1．Incident summarization：インシデント概要をまとめる

　従来、アラートが挙がった際にはシニアエンジニアが蓄積してきた知識を基に、数十ものアラート内容を一つ一つ読み解いてインシデントの詳細を把握してきた。これは非常に時間がかかる作業だ。Copilot for Securityがこの作業を肩代わりすることで、ジュニアアナリストであっても同様の作業ができるようになる。

2．Impact analysis：そのインシデントはどのようなインパクトを組織に与えるか？

　発生したインシデントをまとめ、それが組織に対して具体的にどのようなインパクトを与えるかを予測する。

3．Guided response：では、どう封じ込めるか？

　Copilot for Securityは分析結果を基に、次のアクションを提案する。レスポンス部分はシニア／ジュニアで対応内容やスピードが変わってしまうことが多いが、次のアクションを提示することで対応を均一化できる。

4．Reverse engineering of scripts：そのスクリプトは何を狙っていたか？

　攻撃者が使用していたツールをリバースエンジニアリングし、何をしようとしていたかを把握できる。リバースエンジニアリングには高度なスキルを要求されるが、Copilot for Securityがこれを肩代わりすることで、セキュリティ担当者のスキルにかかわらず、インシデント内容の理解が促進される。

Copilot for Securityで実現するセキュリティ強化（出典：日本マイクロソフトの発表資料）

　小町氏は「最終的に判断をするのは担当者だが、その判断に至るまでに必要な概要のサマリーや影響度、次のアクション決定を支援し、最初のレスポンスまでを迅速に実行できる。シニアアナリストにとっては、ルーティンワークをAIに任せ、自分にしかできないプロアクティブな業務に専念できることが大きなメリットだ」と話す。