{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
昨今、さまざまな分野で大規模言語モデル(LLM:Large Language Model)を用いた生成AIが活用されています。セキュリティ分野でも生成AIが組み込まれたサービスの活用検討が進んでおり、本稿ではセキュリティに関連して定期的に行う必要がある業務、いわゆるセキュリティ運用にてこれらのサービスがどのように活用可能かを考察します*1。
生成AIの特徴
まず生成AIの特徴についてまとめます。生成AIは自然言語を用いた入力と出力が可能な点が特徴的ですが、「できること」と「できないこと」があります。特に、情報の入力、出力という点に着目すると、以下が代表的な点として挙げられます。
生成AIができること
あいまいな入力の解釈、実行
生成AIは、プロンプトという形により、ある程度抽象的に与えられた指示を解釈することが可能です。また、AIによってはプロンプトの内容の解釈に従って文章としての結果を生成する他、検索や各種プログラムの実行などを行うこともできます。
前提を定義した上での解釈
生成AIは、前提を定義した上で入力の解釈を行うことが可能です。AIによっては生成結果に関連した質問を追加入力することで、前に生成された結果を前提とした追加回答を出力が可能です。
プログラムの結果を人間が解釈可能な形に整形し出力
プログラムなどによって一括処理されたデータは、そのままでは人間が解釈しづらい形式となっている場合があります。それらを生成AIで読み取ることで、人間が解釈しやすい図表や言葉に整形することが可能です。
生成AIができないこと
指示の真意理解
生成AIはプロンプトという抽象的な形で指示を受け取り、学習データに基づいて解釈を行います。AIは最大限このプロンプトを理解しようとしますが、抽象的すぎる内容である場合は、想定していた意図と違った解釈がなされたり、解釈自体ができなかったりする可能性があります。これを防ぐためには、より具体的にプロンプトを記載する必要があります。その手法はプロンプトエンジニアリングとも呼ばれ、主な要素としては以下の4つが挙げられています*2。
- Instruction(指示)
生成AIに実行させたい特定のタスクまたは指示 - Context(背景)
生成AIの出力品質を高める外部情報や背景情報 - Input Data(入力)
生成AIに回答させたい質問 - Output Indicator(出力方式)
出力の形式、フォーマット
学習していないことに関する回答
生成AIは基本的に、学習したデータに基づいて結果を出力します。そのため、AIが未知のデータに関連する質問を行った際には回答できない、または回答精度が低下する可能性があります*3。
出力内容の正確性担保
生成AIは学習データの品質や組み合わせなどにより、一見正しく見えるようで、実際には誤っている情報を出力する(ハルシネーション)ことがあるため、出力された情報の正確性については個別に確認する必要があります。
セキュリティ運用での生成AI活用方法と注意点
活用が想定される分野
前述の特徴を踏まえると、セキュリティ運用での生成AIの活用方法としては、以下の3つが考えられます。
- 対話型インターフェイスでの脆弱性調査
各種スレットインテリジェンス上で脆弱性に関する情報を検索する際に、対話型インターフェイスであることを活かし、不明瞭なキーワード情報を確認しながら理解を進めることができます。 - SIEM/XDRなどの検索文生成
スレットハンティングを行う際に、各システムからログを収集し、統合管理、監視を行うSIEM(Security Information and Event Management)や、端末・システム上で発生したイベントを相関させて多面的に調べることができるXDR(Extended Detection and Response)を用いて調査・分析を行うケースがあります。
しかし、これらを活用するにはさまざまな条件を複雑に組み合わせる必要があり、相応のスキルが必要となります。ここに生成AIを用いることで、運用者が直感的に理解できる言葉から複雑な検索文を生成し、初学者でもスレットハンティングを効率的に行うことができるようになります。 - レポート生成
プログラムやAPIの実行結果をそのままの状態で人間が読み取れるようになるには、相応の時間とスキルが要求されます。そこで生成AIを用いることで分かりやすい図や言葉に変換し、取りまとめることで、状況が把握しやすくなります。
生成AI活用時の注意点
一方で、実際のセキュリティ運用に生成AIを組み込む場合は、AIが苦手な分野を踏まえ、以下の内容を考慮する必要があります。
生成AI活用部分の選定
セキュリティ運用ツールの1つとして組み込まれている生成AIの中には、他の製品と連動させることができ、解釈内容の実行を含めた一連の対応のすべてを任せることが可能なものもあります。
セキュリティ運用では情報の正確性が求められるため、生成AIを組み込む際には、AIに任せる業務をタスクごとに分解し、それぞれ詳細にプロンプトを指定して出力の精度を上げる必要が出てきます。しかし、AIに任せる範囲が広くなるほどプロンプトの数は増え、実行完了までに多くの時間やリソースを消費することになります。製品によっては生成AIのリソース単価が一般的なクラウド基盤のリソース単価と比べて高額となっている場合もあるため、発生頻度の高い運用業務をそのまま生成AIに対応させてしまうと、想定外の費用が発生してしまう可能性も考えられます。
そのため、実際のセキュリティ運用にAIを組み込む際には、すべてをAI任せとするのではなく、テストの過程で生成されたSIEM・XDRの検索文など、再利用可能な結果はローコードツールなどのリソース単価が安価な自動実行基盤で活用しつつ、結果の取りまとめなどに生成AIを組み込むなど、分野に応じて使い分けを考える必要があります。
生成AIが抱えるリスクに対しての対策
生成AIが抱える正確性の欠如などのリスクにも対応する必要があるため、利用においては、NIST AIリスクマネジメントフレームワーク*4などに照らし合わせ、権限制限が可能(①-b、①-d)、結果に至るまでの過程の提示が可能(①-c)、不必要なデータを連携させない(①-d)、後から入力プロンプト内容が確認可能(②)といった機能をもつサービスを選定する必要があります。
具体的な実装案
具体的な実装案の1つとして、不審メール調査の高度化が考えられます。
不審メールの疑いがあるとして受け取ったメールの確認、各種システムでの検索、調査について、これまでは担当者の手で逐次行うという運用だったものを、生成AI上で各種システムを検索、調査するプロンプトプレイブックとして整理し、生成された各種検索文などを自動実行基盤に移すことで、コストを抑えつつ検索、初動調査の自動化が可能になります。その他、報告システムとの連動により確認の部分を自動化することや、二次分析で生成AIを用いて調査した内容を自動実行基盤へフィードバックすることで、継続的な運用高度化も実現できると考えます。
まとめ
セキュリティ運用の中で取り扱う必要がある情報量は爆発的に増えており、担当者がすべてを把握するのは困難になりつつあります。生成AIの特徴を理解し、効果的に使うことで運用業務をより効率的に遂行できると考えています。
脚注
*1 本稿では注記がない場合は「LLMを用いるテキスト生成AI」を「生成AI」として取り扱います。
*2 DAIR - AI Prompt Engineering Guide Elements of a Promptより一部引用、PwCにて翻訳。
https://www.promptingguide.ai/introduction/elements
*3 データを追加学習させるファインチューニングや、外部のデータベースから情報を検索し、追加情報を得た上で結果を出力するRAG(Retrieval-Augmented Generation:検索拡張生成)といった技術でこれらの課題を補完する動きもあります。
*4 PwC - NIST「AIリスクマネジメントフレームワーク(AI RMF)」の解説
https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/generative-ai-regulation04.html
参考資料
IPA - テキスト生成AIの導入・運用ガイドライン
https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2024/generative-ai-guideline.html
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
