WIREDに掲載されているすべての製品は、編集者が独自に選定したものです。ただし、小売店やリンクを経由した製品購入から報酬を受け取る場合があります。詳細はこちらをご覧ください。
長年にわたり、「人工知能(AI)」はサイバーセキュリティ業界でホットなバズワードであり、ネットワーク上の不審な行動を検知し、何が起こっているかを迅速に把握し、侵入があった場合にはインシデント対応を導くツールを約束してきました。しかしながら、最も信頼性が高く有用なサービスは、マルウェアやその他の疑わしいネットワーク活動の特徴を検知するように訓練された機械学習アルゴリズムでした。生成型AIツールが急増する中、マイクロソフトはついに、防御担当者向けに、期待に応えるサービスを構築したと発表しました。
同社は2週間前、OpenAIとの提携とマイクロソフト独自の大規模言語モデル開発を基盤とするMicrosoft 365 Copilotを発表しました。同社は現在、Microsoft SentinelやDefenderなどのセキュリティツール、さらにはサードパーティサービスからのシステムデータとネットワーク監視を統合する、いわばセキュリティフィールドノートとも言える「Security Copilot」を展開しています。
Security Copilotは、アラートを可視化し、ネットワーク内で何が起こっているかを言葉とグラフの両方でマッピングし、潜在的な調査手順を提供します。ユーザーがCopilotを使用してセキュリティインシデントの可能性をマッピングすると、プラットフォームは履歴を追跡し、概要を生成します。そのため、プロジェクトに同僚が加わった場合、彼らはすぐに状況を把握し、これまでの作業内容を確認することができます。また、このシステムは調査に関するスライドやその他のプレゼンテーションツールを自動的に作成し、セキュリティチームが部署外の関係者、特にセキュリティ経験はなくても最新情報を把握する必要がある経営幹部に状況の事実を伝えるのに役立ちます。
「ここ数年、攻撃の頻度、巧妙さ、そして激しさが、まさにエスカレートしているのを目の当たりにしてきました」と、マイクロソフトのセキュリティ担当チーフバイスプレジデント、ヴァス・ジャッカル氏は述べています。「防御側が攻撃のエスカレーションを食い止めるには、それほど多くの時間がありません。今、状況は攻撃側にとって有利に傾いています。」
マイクロソフト提供
ジャッカル氏によると、機械学習セキュリティツールは、メールや個々のデバイス上のアクティビティの監視(いわゆるエンドポイントセキュリティ)といった特定の領域では効果を発揮してきたが、Security Copilotはそれらの個別のストリームをすべて統合し、より広い視野で捉えることができるという。「Security Copilotは、こうした情報を繋ぎ合わせる役割を担うため、他社では見逃していた可能性のある情報も捕捉できます」と彼女は語る。
Security Copilotは主にOpenAIのChatGPT-4をベースにしていますが、Microsoftは独自のセキュリティ特化モデルも統合していることを強調しています。このシステムは、調査中に行われたすべてのことを追跡します。記録は監査可能で、配布用に作成された資料はすべて編集して正確性と明確性を高めることができます。調査中にCopilotの示唆内容に誤りや不適切な点がある場合は、「Off Target(対象外)」ボタンをクリックしてシステムをさらにトレーニングできます。
このプラットフォームはアクセス制御機能を備えており、特定のプロジェクトに特定の同僚のみを参加させることが可能です。これは、内部脅威の可能性を調査する際に特に重要です。また、Security Copilotは、24時間365日体制の監視のための一種のバックストップを提供します。これにより、特定のスキルセットを持つ担当者が特定のシフトや日に勤務していない場合でも、システムが基本的な分析と提案を提供し、ギャップを埋めるのに役立ちます。例えば、チームが悪意のある可能性のあるスクリプトやソフトウェアバイナリを迅速に分析したい場合、Security Copilotはその作業を開始し、ソフトウェアの動作とその目的を文脈化することができます。
マイクロソフトは、顧客データは他者と共有されず、「基盤となるAIモデルのトレーニングや強化には使用されない」ことを強調しています。しかしながら、マイクロソフトは世界中の膨大な顧客基盤から「毎日65兆ものシグナル」を脅威検出および防御製品の情報として活用していることを誇りとしています。しかし、ジャカル氏と、彼女の同僚であるマイクロソフトの副社長兼AIセキュリティアーキテクトのチャン・カワグチ氏は、Security Copilotは、統合する他のセキュリティ製品と同様に、データ共有に関する制限と規制の対象となることを強調しています。そのため、既にMicrosoft SentinelまたはDefenderを使用している場合、Security Copilotはこれらのサービスのプライバシーポリシーに準拠する必要があります。
川口氏は、Security Copilotは可能な限り柔軟かつオープンエンドに構築されており、顧客からの反応は今後の機能追加や改善に反映されると述べています。システムの有用性は、最終的には、各顧客のネットワークと彼らが直面する脅威について、どれだけ洞察力と精度に富んでいるかにかかっています。しかし、川口氏は、最も重要なのは、防御側が生成AIの恩恵をできるだけ早く受け始めることだと述べています。
彼はこう述べています。「攻撃者は我々が何をしようとも AI を使うだろうから、防御側に AI を装備させる必要がある。」
