大規模ログを意思決定に生かすAI活用 セキュリティベンダーが挑んだ分析基盤構築：ログデータの背景を読み解く

ログデータを「宝の持ち腐れ」にしていないだろうか。あるセキュリティベンダーは、LLMを使った分析基盤を構築してログデータの活用に挑んだ。わずか2週間で劇的な変化をもたらしたAI活用の成果とは。

[PR／ITmedia]

　自社サービスのバックエンドで生まれるログは、サービス改善の基になる貴重なデータだ。高度なセキュリティ運用においても、膨大なログデータを十分に活用することは容易ではない。この課題解決に挑んだのが不正ログイン対策サービスを展開しているCapyだ。自社サービスのインフラ運用を任せているgrasysと協力して、LLM（大規模言語モデル）を活用したログデータ分析基盤を構築した。

不正ログイン対策で独自路線を行くCapy

　Capyは、ログインリクエストの送信元が人間なのかbotなのか判別するCAPTCHAの技術に強みを持つ。同社の「Capyパズル CAPTCHA」（以下、Capy CAPTCHA）は、変形した文字を入力する従来型のCAPTCHAではなくジグソーパズル形式を採用した独自の手法で、国内外の数十社が導入している。

　Capyが保有するログデータは、日々の不正ログイン攻撃を含む大量のトラフィックに関する情報を反映しており、攻撃傾向の分析において価値の高いデータ群である。この膨大なデータの真価を引き出し、サービスの価値を引き上げるために始まったのが、grasysと共同で実施したログデータ分析基盤の構築プロジェクトだ。

大量のログデータをどう活用するか

　Capyとgrasysの関係は、Capy CAPTCHAのサービス基盤を「Google Cloud」に移行するプロジェクトから始まった。当時、事業拡大に伴うアクセス数の増加に直面して、サーバの安定性を向上させることが喫緊の課題だった。サービスの入り口を担うシステムであり、停止すると顧客のサービス全体に影響を与えてしまう。Google Cloud環境の構築、運用について豊富な経験を持つgrasysはそのノウハウを駆使してインフラの移行をサポートし、その運用においても伴走を続けている。

　その過程で浮上した課題が「ログデータの活用」だった。代表的な不正ログイン手口の一つであるリスト型攻撃（クレデンシャルスタッフィング）は、流出したIDとパスワードを悪用して正規のログイン手順を踏むため、WAFのシグネチャ検知だけでは防ぎにくい。このような攻撃の兆候を検出するにはログデータの分析が有効だとCapyの松本悦宜氏（技術顧問）は語る。

　「従来、蓄積されたログデータはお客さまへの回答の裏付けとして利用していました。そこから一歩踏み出し、攻撃の予兆検知や地域特性の特定といった、より高度で能動的な活用の必要性を感じていました」

Capyの松本悦宜氏

　ログデータを利用する仕組みにも課題があった。攻撃に使われたIPアドレスをブラックリストに登録しても、IPアドレスの割り当て地域や所有者が頻繁に変わるためブラックリストの効果が薄れてしまう。最新の割り当て状況を把握して、ログデータと突き合わせられる仕組みが必要だった。

　IPインテリジェンスサービスの「Shodan」を使ってIPアドレスの所有者や開放ポート、使用製品などの情報を確認できるようになったものの、Shodanのデータは専門性が高く、読み解く工程が属人化してしまうという新たな課題が生まれた。

ログデータ×AIでレポートを作成　「期待以上の効果」

　Capyの課題に対して、grasysはGoogle CloudのAIプラットフォーム「Vertex AI」を使ったデータ分析基盤の構築を提案。CapyのログデータはGoogle Cloudのデータウェアハウス「BigQuery」に集約されている。このログデータとShodanのデータをGoogleのLLM「Gemini」で分析してレポーティングするシステムを構築した。

　grasysが要件定義から設計、実装、運用までを一貫して担い、Capyと密に連携しながらプロジェクトを推進した。その中でも細心の注意を払った工程が、Geminiに入力するデータの最適化だ。大量のログデータをそのまま渡すのではなく、分析の目的に応じて必要なフィールドのみを抽出してコンテキスト長を削減することで回答精度の向上とコストの削減を図った。

Capyとgrasysが連携して構築したシステムの概要。オペレータからの問い合わせ内容に応じてログデータをGeminiに渡す（提供：grasys）《クリックで拡大》

　分析の精度を向上させ、高度なセキュリティリスクの兆候を把握するために、Geminiのファインチューニングも実施した。ログデータやIPアドレスの情報の背景を読み解き、アクセス元の正体や攻撃の兆候・手口を推測するセキュリティ専門家の思考プロセスを再現したという。

　「当社のログデータは、AI活用を前提にしたものではありません。これをLLM向けに最適化する作業は難易度が高かったはずです。また、当社だけでGeminiをファインチューニングするのは難しかったでしょう」

　構築したAIシステムが出力するレポートは、IPアドレスのアクセス元地域やデータセンター、開いているポート、SSL証明書などの情報が含まれる。同システムを使えば、アクセスリクエストの送信者が人間なのかbotなのかを判定できる。VPN端末やプリントサーバ、ネットワークカメラなどを経由したアクセスも可視化できる。その意義について松本氏は次のように説明する。

　「ここ数年はVPN端末の脆弱（ぜいじゃく）性を悪用した攻撃が多く、大規模なランサムウェア被害につながるケースもあります。Shodanのデータを使ったレポートは、各アクセス元のIPアドレスから使用されているVPNの一覧を確認できるため、攻撃の起点となるポイントを素早く把握できます」

　新たなシステムの導入によって、1カ月当たり数時間かかっていたログデータの分析をほぼ自動化できた。これによって、顧客からの問い合わせに先回りして、分かりやすくまとめられたレポートで攻撃の傾向や新たなリスクを把握できる体制が整ったという。

　「セキュリティの高度な専門知識がなくても概要を理解できるレポートが出力されるので、次のアクションを決めるための議論が活発になりました。膨大な量の情報から必要なものと不要なものを見極める作業をAIで効率化したことは私たちのサービスにとっても大きな前進です。セキュリティチーム内だけでなく、お客さまや営業担当者とのコミュニケーションも円滑になりました。この取り組みは当初に期待していた以上に成果を挙げています」

2週間でプロトタイプを開発　伴走と技術力がもたらした成果

　プロジェクトを通して松本氏が「印象的だった」と振り返るのが、grasysの開発スピードだ。松本氏は、セキュリティ分野の専門性が高い業務に生成AIを適用するのは時間がかかると考えていた。その予想に反して、grasysは依頼からわずか2週間でプロトタイプを完成させた。松本氏は「一般的には数カ月を要する領域において、2週間でプロトタイプを実現したスピードは驚異的でした」と語る。

　このように迅速に対応できたのは、grasysがデータ基盤構築に関する実績とノウハウを積み重ねてきたからだ。Capyから「AIを使ってログデータを活用できないか」という相談があった際、grasysはその意図を即座にくみ取り、Google Cloudに構築したサービス基盤を生かして短期間で具体化してみせた。顧客のビジネスに伴走する同社の姿勢と技術力が組み合わさり、短期間での成果創出につながった。

　松本氏が見据える次のステップが、分析情報を顧客にレポーティングする新サービスの実現だ。

　「ある企業がサイバー攻撃を受けた際に、似た構成のシステムを使っているお客さまに『同様の攻撃が来る可能性がある』と警告できるシステムを構想しています。リスクがあるお客さまのサービスで使われているCAPTCHAの難易度を一時的に上げるといったアクションを提案できれば、サービスの価値を高められます」

LLMによるログデータ分析で広がる可能性　マーケティングやUX改善に

　grasysは、Capyが実現させたログデータ分析の手法は業種を問わず応用できると捉えている。人流データをマーケティングに活用する場合は、位置情報や滞在時間、移動経路といったログを分析することで人の動きや関心度合いの傾向を可視化し、広告などの施策の効果を向上させられるはずだ。

　ゲームやエンターテインメント領域におけるユーザーコミュニティーの管理にも応用できる。ユーザーのチャットや行動ログを分析すれば、悪質な発言や不自然な挙動を示すbotを早期に検知できる。運営側が問題のあるユーザーに迅速に対応することで、健全なコミュニティーを維持しやすくなる。

　ECサイトやWebサービスにおけるUX（ユーザー体験）の改善にも有効だ。ユーザーの行動ログや検索クエリを分析すれば、目的の商品や情報にたどり着けていないユーザーの傾向を把握できる。その意図を推測し、適切な商品をレコメンドすれば購買率や満足度の向上につなげられる。

　このように、ログデータを単に集計するだけでなく、LLMがユーザーの意図や事象の背景を読み解いて意思決定に生かす仕組みは、セキュリティ分野だけでなくさまざまな分野で競争力を高める基盤となり得る。

データ活用を成功に導くために

　Capyと同様に膨大な量のデータを抱えながらも活用に悩む企業に対し、grasysは「『どのような問題を解決したいのか』『どのKPIを向上させたいのか』という目的の明確化が第一歩になる」とアドバイスしている。目的が定まれば必要なデータが分かり、次に取るべきアクションが見えてくる。データの保管場所の整理、利用内容の精査、暗黙知のデータ化など、業務を変革する手段はさまざまだ。

　ビジネスにおけるデータの重要性はますます高まるだろう。蓄積したデータを眠らせるのではなく意思決定に生かす取り組みが、これからの時代の競争優位を支える。

取材はgrasysのオフィスで実施した。同社エントランスで松本氏は笑顔を見せる