ニュース

対話型AIでセキュリティ業務を支援する「Microsoft Security Copilot」とは――、日本マイクロソフトが解説

 日本マイクロソフト株式会社は20日、セキュリティに関する説明会を開催し、3月28日に発表した「Microsoft Security Copilot」の詳細を紹介した。

 日本マイクロソフト 技術統括室 チーフ セキュリティ オフィサーの河野省二氏は、同社が「Do more with less」(より少ないリソースでより多くのことを実現する)という方針の下でセキュリティサービスを提供しており、これまでにコラボレーションを支援するダッシュボードや、分析をサポートするAdvanced Hunting、データ活用やアプリケーション連携を実現するGraph Security APIなどを用意してきたと話す。

「Do more with less」に基づいたマイクロソフトのセキュリティサービス

 その中で、「プログラミングスキルのないエンジニアでも、対話形式で課題が解決できるようにと用意した新たなインターフェイスがSecurity Copilotだ」と、河野氏は説明する。「ダッシュボードやHuntingなどの機能は一方通行だった。その中でわかりにくい内容が提示された場合、ユーザーは詳細を聞くことができない。Security Copilotはこうした状況に対応し、ユーザーが自然言語で問いかけると返答してくれる」(河野氏)。

日本マイクロソフト 技術統括室 チーフ セキュリティ オフィサー 河野省二氏

 Security Copilotが登場するまでは、Digital Trust Securityパートナーや、Microsoft Intelligent Security Association(MISA)パートナーなどと連携して顧客からの相談に対応していたほか、Microsoft Security Expertsというマネージドサービスも提供していた。ただ、日本語では提供されていないサービスもあり、「さまざまな相談や、自ら調査するといったことを一元化できないかと考えた。そこで、対話型AIを活用した新たなセキュリティ運用としてSecurity Copilotを用意した」と、河野氏は新サービス誕生の背景を語った。

Security Copilotの位置づけ

 河野氏は、Security Copilotの機能も紹介した。そのひとつがインシデント対応だ。現在進行中の攻撃を特定してその規模を評価し、実際のセキュリティインシデントで実証された戦術に基づき対応方法を提案するという。

 また、脅威ハンティングとして、組織が既知の脆弱性や悪用の影響を受けやすい状況かどうかも確認する。侵害の痕跡がないか、それぞれの環境を調査するという。

 さらに、報告書の自動作成も可能だ。イベントやインシデント、脅威の内容を数分で要約し、経営者向けのレポートや取引先向けのレポートなど、報告先に合わせて情報をカスタマイズし共有できるよう作成する。

Security Copilotによって作成された報告書の一例

 具体的な使用例については、「セキュリティ業務のパートナーとして活用してほしい」と河野氏。「セキュリティ担当者が少ない現場では、トラブルが起きても相談できないことや、異常を見逃してしまうことがある。そのような時の相談役として、サービスの使い方を質問したり、組織内のデータ収集のサポートをしてもらったりすることが可能だ」と河野氏は語る。

 また河野氏は、「Security Copilotがセキュリティ人材の育成におけるケーススタディにもなる」という。「セキュリティインシデントが発生した際に、深掘りする能力をつけることは難しい。そこで、すでに解決しているさまざまなインシデントのデータを活用し、その詳細をCopilotに問い合わせながらインシデントへの理解を深めることで、攻撃や防御の実態、組織内への影響など、エンジニアの知見を高めることができる」と河野氏。

 十分な知見を持ったセキュリティ専門家でも、さらに深い知見を得るためのツールとしてSecurity Copilotを活用できるという。「Advanced Huntingのような機能を使うこともできるが、その代わりに対話型で深い情報を入手し、クラウドセキュリティの分析手法を学ぶためにも利用してもらいたい」と河野氏は述べている。

Security Copilotの活用法

 対話型AIでは、その対話内容に関するデータの安全性が懸念されることも多いが、河野氏は「データはユーザー自身のものであり、そのデータがAIモデルの基盤を訓練するために利用されることはない。ユーザーのデータは、組織全体のコンプライアンスやセキュリティ対策に従って保護される」と述べた。