生成 AI は SOC アナリストにどのような力を与えるのでしょうか?

今日のサイバーセキュリティの脅威がますます深刻化する中、セキュリティ オペレーション センター (SOC) は大きな責任を担っています。しかし、SOC アナリストは人員が不足し、仕事に圧倒されることがよくあります。生成型人工知能 (GenAI) の出現により、このジレンマを軽減する希望が生まれ、ジュニア セキュリティ アナリストは面倒な分類や文書化の作業から解放され、調査、対応、コア スキルの開発にさらに多くのエネルギーを注ぐことができるようになりました。

ここでは、世界中の SOC ですでに成果を上げている 6 つの生成 AI アプリケーションを紹介します。

1. 新入社員の研修

カーネギーメロン大学のベン・モーズリー教授は、新入社員の研修には上級アナリストの貴重な時間が費やされることが多いと指摘している。生成 AI アシスタントは、新入社員の質問に迅速に回答し、より早く業務を開始できるように支援します。

2. 情報収集

Forescout Technologies は、企業顧客に SOC サービスを提供するとともに、独自の SOC も運営している企業です。同社は生成 AI が顧客データにアクセスすることを許可していますが、それは Forescout が構築および管理する制限付きプレビュー内でのみ許可されています。アナリストは、顧客データや会社の機密情報に関係しない日常業務に、パブリック バージョンの ChatGPT を使用することもできます。フォアスカウトの最高技術責任者ジャスティン・フォスター氏は、生成型人工知能の効率性と利便性は従来の検索エンジンをはるかに上回り、文脈を理解してその後の会話を円滑に進められると述べた。ジュニアアナリストは、潜在的なイベントの説明とアクションの提案を直接確認できるため、作業効率がすぐに向上します。

フォスター氏は、生成AIがジュニアアナリストのタスクを自動化し、彼らをより高度な脅威対応活動に割けるようにするのに役立つと強調した。

3. カスタマイズされたモデルとセキュリティ制御

Forescout は、セキュリティと制御を強化するために、プライベートインスタンスでカスタムモデルを実行します。また、アナリストがモデルと直接対話するのではなく、API を通じて安全対策も講じています。フォスター氏は、安全な使用を確保するために、ユーザーに尋ねる質問とユーザーに提供する回答を制御することを選択したと述べた。この方法はより便利で、システムが事前に回答を準備できるため、アナリストが必要な情報を切り取って貼り付けたり、プロンプトを自分で書いたりする必要がありません。

4. 脚本と要約を書く

Netskope は、社内の資産を 24 時間 365 日監視し、セキュリティ アラートに対応するグローバル SOC を備えた企業です。 Netskope は当初、ChatGPT を使用して新しい脅威情報を探そうとしましたが、すぐにその情報が古くなっていることに気付きました。その後、彼らは、ファイアウォール ルールに基づいてアクセス制御エントリを書き込むなど、生成 AI の他の機能に注目しました。

Netskopeの副最高情報セキュリティ責任者であるジェームズ・ロビンソン氏は、ChatGPTに機密情報を入力しないようにするなど、アナリスト向けの使用ガイドラインを策定すると述べた。テクノロジーが進化するにつれて、プライベートインスタンスや API アクセスなど、より安全なオプションが利用可能になります。ロビンソン氏は、API によって提供されるセキュリティをより信頼していると指摘しました。

5. アナリストが脅威インテリジェンスの最新動向を迅速に理解できるように支援する

たとえば、Copilot を使用して脅威アクターに関連する情報を更新します。ロビンソン氏は、生成 AI によって新しいアナリストが脅威の概要をより速く作成できるようになり、より深い理解のための時間を確保できると考えています。経験豊富なアナリストにとって、生成 AI は乗数として機能し、仕事をより効率的に行うのに役立ちます。将来的には、生成 AI はカスタム ルールの構築、エンジニアリング テストの実行、他のシステムとの統合にも役立つ可能性があります。

6. コンプライアンスポリシーを確認する

Insight はアリゾナ州を拠点とするソリューション インテグレーターであり、独自の SOC で生成 AI を使用し、企業に関連するコンサルティング サービスも提供しています。初期の応用事例の 1 つは、生成 AI を使用してコンプライアンス ポリシーを確認し、推奨事項を作成することです。

たとえば、ユーザーは次のように質問できます。「すべてのポリシーを読んで、現在の規制の枠組みに基づいてどのようなアクションを取るべきか、また、ポリシーがこれらの推奨事項とどの程度一致しているかを教えてください。」

Insight は、Microsoft Azure のプライベート インスタンスで実行される OpenAI と、Retrievable Augmented Generation (RAG) テクノロジーを組み合わせて、データ ストアにアクセスします。タグリエンティ氏は、適切なコンテキストを提供し、適切な質問をすることが、生成 AI を最も効果的にするのに役立つと強調しました。

SOCにおける生成型人工知能の高度な応用

SOC における生成 AI の応用の見通しは非常に有望です。たとえば、Secureworks は、異常検出、その他の機械学習モデル、さらにはニューラル ネットワークなど、さまざまな形式の AI を長年にわたって使用してきました。これらのシステムは、Secureworks がアラートを収集して優先順位を付けるのに役立ち、アナリストが最も重要なアラートを優先できるようにします。過去 18 か月間で、同社はアラート量を 80%、アナリストの作業負荷を 50% 削減し、アナリストがより困難なケースや新規顧客への対応に多くの時間を費やせるようになりました。

「我々が次に注力する分野は、トリアージ、調査、対応の観点からアナリストのエクスペリエンスをいかに向上させるかだ」と同社の最高製品責任者カイル・ファルケンハーゲン氏は語った。ジェネレーティブAIは絶好のタイミングで登場した。

SOC における生成 AI の 3 つの高度なアプリケーションを以下に示します。

• 自動化されたアクション: セキュリティの専門家は、将来的には生成 AI が、特定のポリシーや脆弱性データベース (@MITRE など) に基づいて標準的な操作手順を作成するなどのアクションを実行できるようになると予測しています。
• より効率的な脅威対応: Secureworks は、有用なデータを AI システムに取り込むことができるプラグインを開発しました。また、最近のハッカソンでは、生成 AI をオーケストレーション エンジンに組み込むテストも実施しました。同社の最高製品責任者カイル・ファルケンハーゲン氏は、生成AIは人間の介入なしに、ユーザーのログインをブロックしたり、適切な廃棄計画を選択したり、APIを呼び出してアクションを実行したりするなど、必要な手順を推論して実行できると述べた。
• 人材不足とスキル開発: ファルケンハーゲン氏は、生成 AI の出現によってセキュリティ アナリストの職がなくなるのではなく、調査、根本原因分析、脅威ハンティングなどのより価値の高い活動に重点を移すことが可能になると考えています。同氏は、生成型AIは、現在のサイバーセキュリティ人材不足の緩和に役立つ可能性があると述べた。生成型AIは、第一線アナリスト（第二線に近い）のレベルを向上させるだけでなく、アナリストのコンサルタントやスキルトレーナーにもなる。