セキュリティ運用に変革をもたらす生成AIの力

  • 2024-10-07

昨今、さまざまな分野で大規模言語モデル(LLM:Large Language Model)を用いた生成AIが活用されています。セキュリティ分野でも生成AIが組み込まれたサービスの活用検討が進んでおり、本稿ではセキュリティに関連して定期的に行う必要がある業務、いわゆるセキュリティ運用にてこれらのサービスがどのように活用可能かを考察します*1

生成AIの特徴

まず生成AIの特徴についてまとめます。生成AIは自然言語を用いた入力と出力が可能な点が特徴的ですが、「できること」と「できないこと」があります。特に、情報の入力、出力という点に着目すると、以下が代表的な点として挙げられます。

図表1 生成AIの得手不得手

セキュリティ運用での生成AI活用方法と注意点

活用が想定される分野

前述の特徴を踏まえると、セキュリティ運用での生成AIの活用方法としては、以下の3つが考えられます。

  • 対話型インターフェイスでの脆弱性調査
    各種スレットインテリジェンス上で脆弱性に関する情報を検索する際に、対話型インターフェイスであることを活かし、不明瞭なキーワード情報を確認しながら理解を進めることができます。
  • SIEM/XDRなどの検索文生成
    スレットハンティングを行う際に、各システムからログを収集し、統合管理、監視を行うSIEM(Security Information and Event Management)や、端末・システム上で発生したイベントを相関させて多面的に調べることができるXDR(Extended Detection and Response)を用いて調査・分析を行うケースがあります。

    しかし、これらを活用するにはさまざまな条件を複雑に組み合わせる必要があり、相応のスキルが必要となります。ここに生成AIを用いることで、運用者が直感的に理解できる言葉から複雑な検索文を生成し、初学者でもスレットハンティングを効率的に行うことができるようになります。
  • レポート生成
    プログラムやAPIの実行結果をそのままの状態で人間が読み取れるようになるには、相応の時間とスキルが要求されます。そこで生成AIを用いることで分かりやすい図や言葉に変換し、取りまとめることで、状況が把握しやすくなります。

生成AI活用時の注意点

一方で、実際のセキュリティ運用に生成AIを組み込む場合は、AIが苦手な分野を踏まえ、以下の内容を考慮する必要があります。

生成AI活用部分の選定

セキュリティ運用ツールの1つとして組み込まれている生成AIの中には、他の製品と連動させることができ、解釈内容の実行を含めた一連の対応のすべてを任せることが可能なものもあります。

セキュリティ運用では情報の正確性が求められるため、生成AIを組み込む際には、AIに任せる業務をタスクごとに分解し、それぞれ詳細にプロンプトを指定して出力の精度を上げる必要が出てきます。しかし、AIに任せる範囲が広くなるほどプロンプトの数は増え、実行完了までに多くの時間やリソースを消費することになります。製品によっては生成AIのリソース単価が一般的なクラウド基盤のリソース単価と比べて高額となっている場合もあるため、発生頻度の高い運用業務をそのまま生成AIに対応させてしまうと、想定外の費用が発生してしまう可能性も考えられます。

そのため、実際のセキュリティ運用にAIを組み込む際には、すべてをAI任せとするのではなく、テストの過程で生成されたSIEM・XDRの検索文など、再利用可能な結果はローコードツールなどのリソース単価が安価な自動実行基盤で活用しつつ、結果の取りまとめなどに生成AIを組み込むなど、分野に応じて使い分けを考える必要があります。

生成AIが抱えるリスクに対しての対策

生成AIが抱える正確性の欠如などのリスクにも対応する必要があるため、利用においては、NIST AIリスクマネジメントフレームワーク*4などに照らし合わせ、権限制限が可能(①-b、①-d)、結果に至るまでの過程の提示が可能(①-c)、不必要なデータを連携させない(①-d)、後から入力プロンプト内容が確認可能(②)といった機能をもつサービスを選定する必要があります。

図表3 AIリスクマネジメントフレームワーク

具体的な実装案

具体的な実装案の1つとして、不審メール調査の高度化が考えられます。

不審メールの疑いがあるとして受け取ったメールの確認、各種システムでの検索、調査について、これまでは担当者の手で逐次行うという運用だったものを、生成AI上で各種システムを検索、調査するプロンプトプレイブックとして整理し、生成された各種検索文などを自動実行基盤に移すことで、コストを抑えつつ検索、初動調査の自動化が可能になります。その他、報告システムとの連動により確認の部分を自動化することや、二次分析で生成AIを用いて調査した内容を自動実行基盤へフィードバックすることで、継続的な運用高度化も実現できると考えます。

図表4 施策例

まとめ

セキュリティ運用の中で取り扱う必要がある情報量は爆発的に増えており、担当者がすべてを把握するのは困難になりつつあります。生成AIの特徴を理解し、効果的に使うことで運用業務をより効率的に遂行できると考えています。

脚注

*1 本稿では注記がない場合は「LLMを用いるテキスト生成AI」を「生成AI」として取り扱います。

*2 DAIR - AI Prompt Engineering Guide Elements of a Promptより一部引用、PwCにて翻訳。
https://www.promptingguide.ai/introduction/elements

*3 データを追加学習させるファインチューニングや、外部のデータベースから情報を検索し、追加情報を得た上で結果を出力するRAG(Retrieval-Augmented Generation:検索拡張生成)といった技術でこれらの課題を補完する動きもあります。

*4 PwC - NIST「AIリスクマネジメントフレームワーク(AI RMF)」の解説
https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/generative-ai-regulation04.html

参考資料

IPA - テキスト生成AIの導入・運用ガイドライン
https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2024/generative-ai-guideline.html

執筆者

藤田 恭史

パートナー, PwCコンサルティング合同会社

Email

村越 健一

ディレクター, PwCコンサルティング合同会社

Email

瀬山 稔哉

シニアマネージャー, PwCコンサルティング合同会社

Email

山田 真弘

シニアアソシエイト, PwCコンサルティング合同会社

Email

最新のインサイト

100 results
Loading...

2025年 Cyber IQ調査 ―生成AIの台頭とデジタル国境の形成に伴うサイバーリスクに企業はどう対応すべきか―

デジタル技術の進化や地政学的緊張の高まりの中で、企業は多数のサイバーリスクに直面しています。本レポートでは、法規制、生成AI、サプライチェーン、脆弱性管理、デジタルアイデンティティなどの急激な変化を考慮し、企業が取るべきリスク対応策について考察します。

中国ネットワークデータセキュリティ条例の概説――中国サイバー三法のアップデート

2025年1月1日から施行されている中国ネットワークデータセキュリティ条例では、中国サイバーセキュリティ法、データセキュリティ法、個人情報保護法の法執行の度合いを調整・明確化しており、中国で事業を展開する企業にとって注目すべき内容となっています。本稿では同条例の規定内容を解説します。

Loading...

本ページに関するお問い合わせ