AIがセキュリティで大活躍しそう

Microsoft Security Copilot

近年の傾向

ビッグデータ
(ビッグデータというと聞こえはいいものの、今はデータ収集で手いっぱいの段階)

セキュリティ（今回は端末）におけるビッグデータ

EDR/EPPで収集したログデータ
※EDRでは、危険と判断された操作(例えば、怪しいソフトが特権昇格を実施)に対してプロセス情報が表示されます。(プロセス情報 : プロセスIDから親プロセスや子プロセスといった情報が紐づけられてプロセスツリーが構成され、画面表示)
解決すべき問題点 : プロセスIDはずっと固定ではない(変更されるタイミングがある) + プロセスが終了すると、別のプロセスがそのプロセスIDを再利用する。
その結果わけのわからないプロセス経緯が作成されてしまう危険性がある

AIの得意分野

OpenAIないしはChatGPTは情報収集・整理が得意なので、ビジネスに必要な情報を端的に提示してくれます。
これはログの分析にも応用できます。

MS Security Copilot

　Microsoftは、世界で最も自社製品やネットワークに対する“攻撃”を受けている企業の1つである。攻撃を受ける過程で1日当たり65兆個の「脅威シグナル」を検知しているという。ここまで来ると、もはや個人や一般的な企業の情報部門に手に負える水準ではなく、必要な対策を施しつつ、専門家にセキュリティ対策を依頼することが求められるレベルとなる。

　とはいえ、セキュリティ専門家を雇おうと考えた場合、たとえコスト問題を乗り越えられたとしても、その人員そのものが不足しているという問題がある。ゆえに、既存のリソースを活用しつつ、日々の業務と並行してセキュリティ対策に当たらざるを得ないのが現状だ。

　そうしたスキル不足や人員不足を補うソリューションが、今回のSecurity Copilotということになる。質問に対して次々と必要な情報を整理して、問題の概要や対策方法をアドバイスしてくれる。ここで返答される情報は、LLMを使った汎用（はんよう）的な情報の検索とは異なり、あくまで社内のネットワークの稼働状況を基に収集した各種データを用いて、その最新情報を分かりやすくまとめたものとなっている。

　従来のセキュリティソリューションであれば、表示されるアラートをきっかけに、ダッシュボード上に表示される情報を各種ツールを駆使しつつ分析していき、問題の発見や対策を行っていた。この一連の動きを“アシスタント”付きチャットに置き換えたものがSecurity Copilotなのだ。

参照 : https://www.itmedia.co.jp/pcuser/articles/2303/30/news162.html

所感

・セキュリティに対するAIの進出の影響は大きい。なぜなら、セキュリティは基本的に"安全な状態"に近づけることを目的として活動を行うため、"人的状況/空間的状況"を鑑みるべきではないに。実際に、企業がセキュリティ施策をAIのいう通りに導入できれば、ほぼ完全にセキュリティは維持できるだろう。

・今のアドバイザとしてのAIにできないのは運用作業だ。それは人間がAIの出力する結果を信じ切ることができていないためだが、100%信じることができる精度に近づくまでに大きな時間はかからない。

・セキュリティ(一部)が人間の仕事じゃなくなる日は近い。

・反面、高度なセキュリティ知見の需要は急増し、残り続ける。プロの開発者たちが取り組んで失敗した7PAYのような事例を止めることができる人材は継続して必要である。また、AIによる攻撃が発生するため、防御する施策を考えることはより重要で困難になる。

※ここからは企業・組織体制の話

・ただし、日本の企業では特定職業に適切な評価で雇うことができないので、優秀な人材は海外に流出する。

・結果、素晴らしい発明段階においてセキュリティは足を引っ張り、各企業が手を出せない状態は続いていくことを想像するのは易しい。