生成AIを活用した脅威ハンティングで
セキュリティーアナリストを強力に支援

　組織の情報セキュリティーを監視・分析・対応する重要な役割を担うSOC。だが、進化するセキュリティーの脅威や保護すべき対象の増大などを背景に、常に疲弊した状態に置かれているのが現状だ。例えば、大量のアラート処理のために膨大な時間が調査に費やされ、システム管理におけるカスタマイズや設定の複雑化で、日々の対応が追いつかない。積極的な脅威ハンティングに充てる時間が足りないことに加え、高度なスキルを持ったセキュリティー人材の不足から、脅威の早期発見や迅速な対応がままならない状況だ。

　そのため専門のマネージドセキュリティーサービスに運用を委託する企業も少なくないが、近年は全てを外部任せにするのではなく、セキュリティーの内製化を進める企業も増えつつある。それは「AIをセキュリティー対策に有効活用することで、従来のSOCの課題が解決できるようになってきたからです」とSentinelOneの藤田 平氏は説明する。

　「AIを活用すれば、社内外の膨大な脅威情報を取り込み、素早く分析・調査することが可能となります。多くのコストをかけずにリスクを監視・評価し、セキュリティーの脅威やインシデントに対する事前対応と事後対応を効率よく管理することができます。これら一連の作業を、スキルを問わず管理者が簡単に行える環境を用意することがセキュリティーの内製化に有効です」

　その実現に向けてSentinelOneが提供しているのが「Singularity Data Lake」と「Purple AI」だ。この2つのソリューションは、企業全体を保護するセキュリティーAIプラットフォーム「Singularity Platform」の中核ツール。様々なデータをSingularity Data Lakeに効率的に取り込み、SentinelOne Singularity Platformで企業全体の可視化と保護を提供する。さらに、SentinelOne Singularity Platform上で、AIセキュリティアナリストであるPurple AIを動かすことで、生成AIを効果的に活用する仕組みを提供している（図１）。

　SentinelOneのソリューションは企業セキュリティーとSOCの強化にどのような変革をもたらすのか。藤田氏は大きく5つのポイントを挙げる。

　1つ目は「データの取り込みと正規化」だ。データがサイロ化し、ツールが分断されていると、アナリストは完全な可視性とコンテキストを持たないまま手作業で調査を行うことになり、脅威を見逃す可能性が高くなる。

　そこでまず、Singularity Data LakeにSentinelOneの各種データやサードパーティのセキュリティーツールなど広範なテレメトリデータを取り込み、ログファイルやネットワークトラフィックなどから効果的に脅威を検出する準備を行う。各種製品のログは、管理者がコンソール画面から設定するだけで簡単に取り込める。ツールが個別に管理されていたとしても、Singularity Data Lake上では情報がすべて一元的に見渡せるようになる。

　「データを取り込む際には多種多様なデータを効率的に解析し、利用できる形に正規化する必要があります。その点、Singularity Data Lakeはサンプルログを解析し、重要な情報を即座に抽出、標準化するため、多くの時間と労力を節約しながらデータをインサイトに変換することができます。これによりSOCは膨大なデータを効率的に管理しながら、脅威の検出精度を向上させることが可能となります」（藤田氏）

　2つ目は「分析の自動化」だ。SOCでは異常な行動や潜在的な脅威をリアルタイムで検出する必要がある。Purple AIを実装したSingularity Platformなら、「正常」な行動パターンを学習し、それに基づいて異常を検出することで未知の脅威を早期に発見できるようになる。また複数のデータソースからの情報を統合し、脅威の全体像を把握することで、単一のデータソースでは見逃されがちな脅威も検出できる。

　「さらにPurple AIを活用することで、ログデータ、ネットワークトラフィック、ユーザーアクティビティなどを統合し、複雑な脅威の相関関係を明らかにします。このようにAIによる分析の自動化はリアルタイムでの高精度な脅威検出を可能にし、SOCの負担を大幅に軽減します」と藤田氏は説く。

　3つ目は「調査および脅威ハンティング」だ。SOCでは膨大な量のアラートが発生するが、その多くは曖昧で、スキルの低いアナリストでは調査が難しい。だがPurple AIによる自然言語でのクエリを活用すれば、技術的な知識がなくても質問を入力するだけで素早く適切な回答が生成される。

　例えば、アナリストが「私の環境はSmoothOperatorに感染していますか？」あるいは「エンドポイントにSmoothOperatorの兆候はありますか？」などと入力すると、Purple AIが自動的に迅速かつジュニアなアナリストでも理解しやすい内容で回答を返してくる。

　とはいえ、単純に回答を生成するだけではスキルの低いアナリストは次に何をすべきか判断することが難しい。そこでPurple AIは効率的な調査を支援するフォローアップの質問と最適な次のアクションも提供し、調査を強力にアシストする。これによりSOCは重要な脅威に迅速に対応し、全体のセキュリティーを向上させることが可能となるわけだ。

　4つ目は脅威を特定した後の「決定と行動」である。ここでもAIの力を借りることでプロセスが大幅に改善される。

　「例えば、Purple AIはシステムの隔離やネットワークの遮断など、脅威に対する最適な対応策をアナリストに提案します。これによりアナリストは迅速かつ正確に対応することができるようになります。またPurple AIは一部のインシデントに対して自動的に対応することも可能です。例えば、フィッシング攻撃が検出された場合、自動的にその攻撃メールを隔離し、影響を受けたユーザーに通知を送るとともに追加の対策を実行します。これにより対応時間が短縮され、被害を最小限に抑えることができるのです」（藤田氏）

　つまりPurple AIを導入することで、SOCチームは迅速かつ効率的に行動を起こし、脅威に対する対応の一貫性を向上させることができる。

　最後の5つ目が「継続的改善」だ。Purple AIは過去のインシデントデータを分析し、新たな脅威情報を活用して精度を上げていく。これにより同じ種類の脅威に何度も対処する必要がなくなる。またPurple AIは過去の経験をSOC全体に共有し、同様の脅威に対する対応を迅速かつ効果的に行っていく。こうした特長により、SOCは常に学習と改善を続け、新たな脅威に迅速に適応できるようになる。

　「このようにAIを活用した脅威ハンティングの強化を図ることによって、アナリストの負担が大幅に軽減するため、セキュリティー対策の内製化を推し進めることが可能となります。また、AIによる継続的な学習と改善により、メンバー間で経験が効率的に共有され、セキュリティー運用の効率性も向上していきます。セキュリティー対策やSOCの強化に、AI活用が今後、最も重要な要素となることは間違いないと思います」と藤田氏は話す。

　SentinelOneでは、AIを活用したEPP、EDR、XDRなどによるエンドポイントの保護だけでなく、クラウドセキュリティーやアイデンティティの強化など、高度なサイバー攻撃にあらゆる段階で対応できる多様なセキュリティー対策サービスを提供している（図２）。最先端のセキュリティー運用をワンプラットフォームで加速させたいという場合は、有効な選択肢となるだろう。