セキュリティ対策にAIが使える「Microsoft Security Copilot」の実力は？：セキュリティのCopilot活用法

セキュリティ分野で人工知能（AI）技術を使った自動化による業務効率化が期待されている。「Microsoft Security Copilot」を使えば、何がどうよくなるのか。その活用法を解説する。

[Matthew Smith，TechTarget]

　Microsoftは生成AI（人工知能）技術を取り入れたセキュリティツール「Microsoft Security Copilot」を2024年4月に正式リリースした。ユーザー企業はこのツールのチャットbot機能で、セキュリティ関連のさまざまな質問をし、AI技術によって生成された回答を得ることができる。Microsoft Security Copilotをどのように活用すれば、防御力の強化につなげられるのか。5つのユースケースを紹介する。

Microsoft Security Copilotでできるセキュリティ対策はこれだ

併せて読みたいお薦め記事

「Copilot」で何がどう変わるのか

• 生成AIはセキュリティ製品も駆逐する？　「Copilot for Security」登場で変わる常識
• 実はこんなにある「Copilot」　明日の仕事がはかどりそうなのはどれ？

　Microsoft Security Copilotはセキュリティの問題を解決できるようトレーニングを受けた生成AIツールだ。MicrosoftのAIアシスタントツール「Microsoft Copilot」に組み込まれて提供される。ベースとしているのは、AI技術ベンダーOpenAIが開発したLLM（大規模言語モデル）だ。Microsoft Security Copilotを利用することで、例えば以下ができる。

• セキュリティインシデント対処の優先順位付け
• 不正コードの分析
• 攻撃の手口や経路の分析

　セキュリティ対策では、「特定」「保護」「検知」「対処」「復旧」の5つに取り組むことが重要だ。では、この5つに沿ってMicrosoft Security Copilotのユースケースを見てみよう。

1．特定（IT資産管理）

　セキュリティに際してまず考える必要があるのは、「何を守らなければならないのか」ということだ。エンドポイントやIoT（モノのインターネット）センサーといったハードウェア、ソフトウェア、クラウドなど、組織のIT資産は多岐にわたる。IT資産を詳細に把握していなければ、保護対象を決めるのが難しい。Microsoft Security Copilotを使えば、IT資産のリストアップを依頼して回答を得られる。

　例えば、モバイルデバイス管理（MDM）ツール「Microsoft Intune」を利用している組織は、「ネットワークにどのようなデバイスが接続されているか」という質問を投げかければ、Microsoft Security CopilotがMicrosoft Intuneのデータを分析し、回答をしてくれる。組織は回答を踏まえ、リスク評価や脆弱（ぜいじゃく）性のパッチ（修正プログラム）管理といった作業に関してもMicrosoft Security Copilotの力を借りられる。

　このユースケースでは、クエリ（問い合わせ）言語やツールの学習方法など専門的な知識は必要ない。Microsoft Security Copilotを使ったIT資産管理によって、IT部門が承認していない「シャドーIT」の状況も把握し、セキュリティ対策を講じられる。

2．保護（脆弱性管理）

　保護対処を把握したら、次はその保護法を考えなければならない。具体的にはデバイスやソフトウェアの脆弱性を把握し、パッチ適用といった対策を実施する。

　煩雑な作業である脆弱性管理の鍵を握るのは、効率化だ。Microsoft Security Copilotには「プロンプトブック」機能がある。組織はこの機能を利用することで、自社にカスタマイズしたプロンプト（命令文）集を事前に作っておき、毎回、プロンプトを新規作成する作業を省ける。これにより、セキュリティ担当者の負荷を減らすとともに、人に依存しない脆弱性管理のプロセスを構築できる。

　脆弱性には、ベンダーが脆弱性を修正あるいは公表したことを示すための識別子「CVE」（Common Vulnerabilities and Exposures）が付与される。脆弱性管理のために、CVE情報を集めることが重要だ。Microsoft Security Copilotを使えば、CVE情報の収集やそれらを踏まえた脆弱性のリスク評価を機械に任せられる。

3．検知（インシデントの分類）

　プロンプトブック機能は、セキュリティインシデントの分類にも利用できる。大半の組織では、常に何らかインシデントが発生し、大量のアラートが発される。重要なアラートとそうでないアラートを見分けるにはインシデントの分類が大切だ。プロンプトブック機能を用いれば、特定のリスク基準を満たさないインシデントをアラートから削除する命令を作成し、アラートのフィルタリングができる。

　プロンプトの具体例は以下の通り。

• 「影響を受けるデバイスを特定せよ」
• 「それらのデバイスのユーザーを特定せよ」
• 「MFA（多要素認証）が有効かどうかなど、それらのデバイスのセキュリティ状態を分析せよ」
• 「システム全体への影響を判断せよ」
• 「インシデントに総合影響度スコアを付けよ」
• 「結果を読みやすいレポートにまとめよ」

4．対処（アクションの実行）

　セキュリティで肝心なのはアクションを実行することだ。Microsoft Security Copilotを利用すれば、上記で紹介した3ステップを踏まえ、「では、どうすればいいのか」の回答を生成してもらえる。具体的には、ある脆弱性を特定し「どのような対策が有効か」や「今の対策は十分か」といった質問が想定される。そのためには、自社独自のデータをMicrosoft Security Copilotに組み込む必要がある。

5．復旧（コミュニケーション）

　セキュリティの最後のステップは、レポート作成や社内外への情報共有を軸にしたコミュニケーションだ。コミュニケーションは攻撃の再発防止や復旧プロセスの評価などに欠かせない。レポート作成やインシデント情報の要約にMicrosoft Security Copilotを活用できる。

TechTarget発　世界のインサイト＆ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。