Charlotte AIは、セキュリティー運用の司令塔となるSOCにとって強力な味方になるだろう。
SOCの役割は大きく次の2つに分けられる。1つは、攻撃の対象になるアタックサーフェスを削減し、防御力を高める「プロアクティブセキュリティー」。もう1つは、内部に侵入した攻撃者による侵害を迅速に検知し、調査・対応する「リアクティブセキュリティー」だ。生成AIは、これら両面に対して大きな効果をもたらすという。
まずプロアクティブセキュリティーでは、脅威インテリジェンスの効果的な活用が挙げられる。「例えば、『自組織を狙う可能性のある攻撃者の一覧を出力』『その組織が攻撃に使うIPアドレスとドメインを一覧化』『カスタムIoCをFalcon Platformに登録する方法を教えてほしい』といった具合に、会話を繰り返していくだけで必要な対策を実施できます」(本氏)。
また、特定の脆弱性の概要を回答させた後、その脆弱性に該当するホストを重大度順に並べ、さらにインターネットに公開されているものを絞り込んでアラートの有無を確認するといったことも可能だ。「これまで数十分から1時間以上を要していたような作業を、数分程度で済ませることができるでしょう」と本氏は強調する。
リアクティブセキュリティーにおいては、調査の迅速化に大きな効果を発揮する。「アラートで使われているPythonスクリプトの内容を解読」「そのスクリプトを用いてアクセスされたIPアドレスを一覧化」「そのうち過去48時間以内のもののアクセス元を表示」「修復用のスクリプトを記述」といったことを順番に質問するだけで、迅速なインシデント対応を実現できる。
「もっとも、注意するべき点もあります。現状の生成AIはあくまでアシスタントレベルであり、アナリストと呼べるレベルには至っていないということです。また、SOCやCSIRTの活動を強力に支援できることは確かですが、それには適切なプロンプト(質問文)が必要です。生成AIに完全に頼り切ってしまう姿勢だと、適切なインシデント対応は難しいでしょう」と本氏は語る。
今求められるのは、まずは生成AIを実装したセキュリティーツールを日ごろから利用し、AIに慣れることだ。今後も生成AIはさらに進化し続けていくだろう。セキュリティーの現場でも当たり前のように使われるようになっていくことが予想される。その時に備えて、今からAIへの質問力を磨いておくことが大切だ。
「同時に、外部の運用・監視サービスを併用することも検討すべきです。社内人材を一から専門家に育て上げるのは並大抵のことではないため、自前で頑張るよりも、外部の力を積極的に使うのが効率的だからです」と本氏。クラウドストライクは、世界的に評価の高いMDRサービス「Falcon Complete MDR」を提供している。このようなサービスの活用も視野に入れ、自社にとって最適な体制構築を目指すことが望ましいだろう。
生成AIの活用においては、光と闇の両方の側面を正しくとらえた上で、サイバーリスクを最小化するための環境を整えることが肝心だ。Charlotte AIを搭載したFalcon Platformを活用することが、そのための手段の1つとなる。