見出し画像

めんどくさがり屋のセキュリティ情報収集と分析 難しい資料は生成AIにまとめてもらおう

Nasotasy

セキュリティのリサーチャーの皆さんはどうやって情報を集めて分析しているのか…?うまく情報とインテリジェンスをかき集め、分析し、組織の防御に役立てるために生成AIの力を借りる方法を記述していきます。


我々セキュリティ担当者は時間が圧倒的に足りません。お金も無ければ時間も無く、挙句の果てに人材が不足していると嘆かれるも、その人材が満たされることは無い様子です。
時間もお金も人手もありませんが、サイバーセキュリティは刻一刻と状況が変化し、攻撃手法や脆弱性、様々な観点から担当者は情報のインプットが求められ続けます。得なくてはいけない情報は無限に出てきて溢れ出す始末。情報のインプットが遅れ、サイバー攻撃被害に遭った時に責められるのはセキュリティ担当者である、悲しみの連鎖が待っています。
信頼できる情報ソースに頼る、新聞やニュースサイトに頼るなどで常に最新の情報を得ることはできますが、それらで得られる表面上の情報のみでは自組織に活かし当てはめることは難しい現状があります。しかし、情報が分析され、かつある程度信頼できる(レビュー済み)の情報で、更には最新の脅威について把握できる。ついでに日本語で…。なんて媒体はほぼ無く、限りなくゼロに近いです。あっても有償の場合が多いでしょう。

嘆いていても仕方ありません。上長に「資料にまとめておいてくれ」と言われたり、担当先顧客に「今度訪問するときに教えてください」と言われたり、チームや社内で「こんな情報知ってませんか?」と頼られることもあるかもしれません。本を読む?Webサイトを検索する…? 確実な正解は分かりませんが、私の中で最も早いのはある程度レビュー体制も整った「サイバーセキュリティカンファレンス(サミット)の資料を読了する」ことが体系的に整理されたレビュー済みの情報に触れることができる最短距離だと考えています。
残念なことにこのようなカンファレンス資料はほぼ全てが英語です。更にはPDFになっていると翻訳するためのコピペも大変です、そのまま翻訳するのも専門用語の関係から難しく、数十枚のスライドを読み解くのは大変です。しかし無償で触れられる情報の中では価値あるこのスライド、時間がない私は生成AIに翻訳と要約を任せています。だって英語読むの疲れちゃうから…。

インテリジェンスの話になると何がインテリジェンスなのさ?と良く説明するのですが、私が良く分かりやすいと選ぶのは「The Relationship of Data, Information, and Intelligence」の図でして、SANSのThe Sliding Scale of Cyber Securityにも出てくる有名な図です。もともとは米国国防総省の資料が出自です、Wikipediaでインテリジェンスと調べると同様に出てきますね。カンファレンスで配布される情報は既に処理(Processing)済みですので、Informationに分類され、更にはIntelligence相当も多く存在します。なんなら自身の組織にある情報(Information)を外部の情報とともに分析を重ねることでIntelligenceを生み出すことも十分可能です。

The Relationship of Data, Information, and Intelligence (The Sliding Scale of Cyber Securityより引用)

生成AIに任せちゃいたい資料

例として挙げるのはSANSや(ISC)2、カンファレンスならBlack hatなどの公開資料が効率化できます。特にカンファレンス系(Black hatなど)のスライドについてはすべての登壇者の資料を見る必要はありませんが、話題になっている、興味を持ったものは目を通した方が良いでしょう。
このようなカンファレンスで取り扱われるトピックは、数日後にニュースサイトや、ソフトウェアの公式見解などが公開されることで話題となり、結果的に自分自身に影響確認などが舞い降りる可能性がある、かもしれません。
ただ、海外のリサーチャーの皆さんが公開する資料って素晴らしいことは分かるんですが、書かれていることがだいぶ専門的で読み解くのが難しいんですよね。Native表現かつmemeなどが含まれたスライドを、生成AIはいとも簡単に要約し、日本語で回答してくれるのでありがたいです。

perplexity proに任せてみる

試しに選んでみたスライドをperplexity proに翻訳してみてもらいます。

要約された内容で「クエリゾーン制限」について分からなかったので、そのまま続けて Ask follow-upにて質問してみます。

かなり良い感じに調べてくれますね。perplexityはサーフェスWebから情報を集めて整理してくれるので、善し悪しがあります。ただPDFのみから得られる情報以外も得られるのでとても効率的です。もしperlexityにサーフェスWeb上の情報は説明して欲しくない場合、「外部からの情報検索した情報は含めず回答してください。」などと条件付けすることでPDFのみの情報だけ要約してくれます。使い分けですね。
私はBINDの管理はしたことがないのでこの設定例が正しいかまで検証できませんが、構文としては合っていそうですし、設定したい意図や必要性が分かるため、社内関係者への周知には十分使えるように思います。

ChatGPT (GPT-3.5) に任せてみる

perplexityに任せたPDFスライドを同様にChatGPTに投げてみます。

ChatGPTにも「緩和策に記載のあるクエリゾーンについて教えて」と追加で質問してみます。

ちょっとDNS用語が多い気もしますが十分分かりやすいと思います。

Claude 3.5 Sonnet に任せてみる

Claude 3.5はどうでしょう。ファイルアップロードに対応しているので同じく試してみます。

緩和策の文字が当初の回答に含まれていなかったので、「緩和策について教えて」→「緩和策のクエリゾーンについて教えて」と段階を踏んで聞いてみました。

こちらも少しDNS用語が多いですが問題ないでしょう。

Gemini 1.5Pro (NotebookLM) に任せてみる

上述するサービス群とは少しことなりますが、読み物を効率化する意味では最も近しいのではないかと考えています。NotebookLMは、知識を頼りに情報分析と展開をする我々にとっては高度なメモとして合っている可能性もあるかもしれません。
ただ、私はチャットで質問した際のプロンプトが悪いのか、1発でうまい返答が戻ってこず、上述した3サービスに比べると相性が悪いようでした。他のサービスに生成させた文章をコピーし、NotebookLMにまとめながら整理していくことが私個人としては好みかもしれません。
ソースは複数のPDFを選択して会話することが可能なので、類似のトピックに関連する情報を複数かけ合わせてメモを作り上げていくなど、思考を深めていく(セキュリティ担当者が分析する)ことなどがマッチしている気がします。

まとめたものをGemini 1.5Proの力を借り、さらにブラッシュアップしていくことが可能

アップロードする資料の取り扱い注意点

生成AIに任せようとは言ったものの、そもそもスライドも著作物です。この情報をもとに更なる論文や発表用資料を作る、あるいは引用を明言しない行為はご法度であることを認識しておきましょう。
翻訳を目的としたアップロード行為は以下の一部例外を除き、フェアユースとして私的利用は問題ないかと思われますが、資料についてどのように扱うべきかは公開ページや資料内を必ず確認してから検討しましょう。
アップロードをやめておいた方がよい資料は以下の条件です。

  1.  有償あるいはクローズドなカンファレンスで取り扱われた、限定的な資料

  2.  TLPの記載があり、TLP:GREEN, TLP:AMBER以上相当の表記がある資料

  3.  外部公開禁止と書かれた資料

TLPはグローバルフォーラム(組織)であるFIRSTが提唱定義している情報管理の指針です。海外をはじめ、日本など機密情報などを扱う際にはこれらの文言が入っている場合があります。

トラフィックライトプロトコル (TLP)は、機密となりうる情報の広範な共有と、より効果的 な連携の促進を目的に作られた。情報共有は一人または複数の受信者向けに、発信者から発 信する。TLP は、受信者に適用される情報共有の境界を示す、4 つの標示から構成される。

FIRST Standards Definitions and Usage Guidance — Version 2.0 日本語版

ハルシネーションに注意する

生成AIを使ったことがある人は一度は遭遇したことがあるかと思いますが、質問した際にあたかも間違っていることを整然と並べ回答する、ハルシネーション(幻覚)が発生することがあります。
時間がないとはいえ、得られた情報すべてが正しいとは限りません。例として提示された設定値やコードなどが間違っているリスクもあります。社内共有する際など、他人に情報提供するときは一度自身で飲み込み、誤った情報を展開しないように気を付けましょう。 せっかく発達したサービス群があるので、複数の生成AIでチェックさせてみるのも面白いです。そのすべてに騙される可能性もありますが。

サマリー

SANSや(ISC)2のオンラインサミットやウェビナーなどは、資格維持のCPE取得にも有効なので、言語の壁があるとはいえ視聴する機会が多いものです。私もCISSPの維持のためにせっせと隙間時間に視聴しています。せっかく視聴し、セキュリティ資格の維持に役立つならちゃんと理解したい、といった想いがあるのも事実です。これらのサミットはありがたいことにスライドをちゃんと公開してくれるので助かります。
各カンファレンスや組織が公開する資料は、世の中のサイバーセキュリティのためにも時間を掛けて資料を作り、公開し、説明してくれている、とてつもなくありがたい情報源なわけです。有効に使う他ないですね。

日頃から脅威インテリジェンス(Threat Intelligence)を生み出し、公開や提供を継続してくださっている皆様には本当に感謝しかないですし、せっかく提供頂いたものはうまく活用していきましょう。まずは情報収集からはじめて、分析、共有、対策実施まで結び付けていきたいですね。

ここまでお読みいただきありがとうございました。もしお役立てできる内容であった場合はスキ(ハート)を押して応援いただけると嬉しいです。


この記事が気に入ったらサポートをしてみませんか?