セキュリティ運用に変革をもたらす生成AIの力

昨今、さまざまな分野で大規模言語モデル（LLM：Large Language Model）を用いた生成AIが活用されています。セキュリティ分野でも生成AIが組み込まれたサービスの活用検討が進んでおり、本稿ではセキュリティに関連して定期的に行う必要がある業務、いわゆるセキュリティ運用にてこれらのサービスがどのように活用可能かを考察します^*1。

セキュリティ運用での生成AI活用方法と注意点

活用が想定される分野

前述の特徴を踏まえると、セキュリティ運用での生成AIの活用方法としては、以下の3つが考えられます。

• 対話型インターフェイスでの脆弱性調査
  各種スレットインテリジェンス上で脆弱性に関する情報を検索する際に、対話型インターフェイスであることを活かし、不明瞭なキーワード情報を確認しながら理解を進めることができます。
• SIEM/XDRなどの検索文生成
  スレットハンティングを行う際に、各システムからログを収集し、統合管理、監視を行うSIEM（Security Information and Event Management）や、端末・システム上で発生したイベントを相関させて多面的に調べることができるXDR（Extended Detection and Response）を用いて調査・分析を行うケースがあります。
  
  しかし、これらを活用するにはさまざまな条件を複雑に組み合わせる必要があり、相応のスキルが必要となります。ここに生成AIを用いることで、運用者が直感的に理解できる言葉から複雑な検索文を生成し、初学者でもスレットハンティングを効率的に行うことができるようになります。
• レポート生成
  プログラムやAPIの実行結果をそのままの状態で人間が読み取れるようになるには、相応の時間とスキルが要求されます。そこで生成AIを用いることで分かりやすい図や言葉に変換し、取りまとめることで、状況が把握しやすくなります。

生成AI活用時の注意点

一方で、実際のセキュリティ運用に生成AIを組み込む場合は、AIが苦手な分野を踏まえ、以下の内容を考慮する必要があります。

生成AI活用部分の選定

セキュリティ運用ツールの1つとして組み込まれている生成AIの中には、他の製品と連動させることができ、解釈内容の実行を含めた一連の対応のすべてを任せることが可能なものもあります。

セキュリティ運用では情報の正確性が求められるため、生成AIを組み込む際には、AIに任せる業務をタスクごとに分解し、それぞれ詳細にプロンプトを指定して出力の精度を上げる必要が出てきます。しかし、AIに任せる範囲が広くなるほどプロンプトの数は増え、実行完了までに多くの時間やリソースを消費することになります。製品によっては生成AIのリソース単価が一般的なクラウド基盤のリソース単価と比べて高額となっている場合もあるため、発生頻度の高い運用業務をそのまま生成AIに対応させてしまうと、想定外の費用が発生してしまう可能性も考えられます。

そのため、実際のセキュリティ運用にAIを組み込む際には、すべてをAI任せとするのではなく、テストの過程で生成されたSIEM・XDRの検索文など、再利用可能な結果はローコードツールなどのリソース単価が安価な自動実行基盤で活用しつつ、結果の取りまとめなどに生成AIを組み込むなど、分野に応じて使い分けを考える必要があります。

生成AIが抱えるリスクに対しての対策

生成AIが抱える正確性の欠如などのリスクにも対応する必要があるため、利用においては、NIST AIリスクマネジメントフレームワーク^*4などに照らし合わせ、権限制限が可能（①-b、①-d）、結果に至るまでの過程の提示が可能（①-c）、不必要なデータを連携させない（①-d）、後から入力プロンプト内容が確認可能（②）といった機能をもつサービスを選定する必要があります。

まとめ

セキュリティ運用の中で取り扱う必要がある情報量は爆発的に増えており、担当者がすべてを把握するのは困難になりつつあります。生成AIの特徴を理解し、効果的に使うことで運用業務をより効率的に遂行できると考えています。