サイバーインテリジェンス セキュリティマネジメント Summit 2024 Summer Review
先進企業に学ぶ、DX時代・生成AI時代のサイバーリスクとの向き合い方
Splunk Services Japan

「最終判断を行うのは、人」
AIの価値を引き出すSplunkの戦略

AIのセキュリティー領域への適用が加速している。ただ、すべてをAIに任せられるわけではない。最終判断はあくまで人が行うべきであり、そこまでのプロセスをスピード感をもってサポートするのがセキュリティー対策におけるAIの役割だ。セキュリティー/オブザーバビリティ(可観測性)ソリューションを提供するSplunkは、このフィロソフィーに則り、生成AI/AIを用いたツール・機能群を多数提供している。

セキュリティーの面倒を
AIがすべて見てくれるわけではない

Splunk Services Japan合同会社 技術統括本部 ソリューション技術本部 シニア・セキュリティ・ソリューションアーキテクト 藤盛 秀憲氏
Splunk Services Japan合同会社
技術統括本部
ソリューション技術本部
シニア・セキュリティ・ソリューションアーキテクト
藤盛 秀憲
 ビジネスの世界で欠かせないものとなったAI。情報セキュリティー対策も重要な適用領域の1つであり、AI搭載をうたう製品・サービスが多く市場に登場している状況だ。

 もっとも、セキュリティー領域へのAI適用というと、例えば「AIがセキュリティーの面倒を全面的に見てくれる」「AIが面倒なルールの作成や攻撃の検知を行ってくれる」「セキュリティーの知識がなくても守ってくれる」といった期待を抱くユーザーが少なくない。

 「確かにそれは理想像ですが、残念ながら現在はそこまで至っていないというのがSplunkの考えです」とSplunk Services Japanの藤盛 秀憲氏は話す。現在、AIがセキュリティー領域において主に実現できるのは、例えば突発的なアクセス増などの異常検知(Anomaly Detection)、ユーザー行動の分析(Behavior Analytics)、リスクの分析(Risk Analytics)に加え、プロンプトやテキストなどの内容にかかわる自然言語処理(Natural Language Processing)による判断といった部分だ。

 「AIは、悪質な可能性の高いものを見つけ出すことをサポートしてはくれますが、最終判断は人が、企業のポリシーなどに沿って行うことが引き続き不可欠です」と藤盛氏は語る。「テクノロジー」だけで十分な答えを得ることは難しく、そこに「人」「プロセス」を加えた三位一体の体制を整えてはじめて、実効性を持つ対策が可能になるといえるだろう。

基礎になるフィロソフィーと
5つの原則を基にAIを活用

 Splunkの製品は、この考え方を軸としたAI活用のフィロソフィーとして「Domain and Splunk Specific」「Open and Extensible」「Human in the Loop」を掲げている。

 Domain and Splunk Specificは、セキュリティーとオブザーバビリティ(可観測性)という2つのユースケースに特化してAIを提供していくという意味だ。Open and Extensible は、市場に存在する多種多様なフレームワークと自社製品を簡単に統合できるようにすること。これはAIに限らず、Splunk製品すべての基本コンセプトである。

 「そして最も重要なのがHuman in the Loopです。『人が介在すること』を前提として、検知、調査、対応の各領域を支援するのがAIである。私たちはそのように位置付けています」と藤盛氏は説明する。

 これらのフィロソフィーに則った信頼性の高いAIを、Splunkでは次の5つの原則に沿って提供している。

 1つ目は「透明性」だ。AIが返した答えがどういった理由に基づいているのかを、誰もが理解できること。2つ目は「説明責任」。AIは人が監督すべきものであり、その基盤となるシステムのライフサイクルは人がしっかり管理すべき。その前提の上で、AIの回答内容については人が説明責任を負うという考えだ。

 3つ目が「プライバシー」で、個人や組織のデータに関する機密性を尊重し、保護することを指す。4つ目が「公正性」。例えば、偏った情報による学習に基づいて、AIが偏った回答や差別的な回答を行うことがないようにしている。そして最後の5つ目が「レジリエンス」だ。AI基盤そのものの障害やサイバー攻撃に対する安全性を確保し、その状態を維持することで、AIによる価値を継続的にユーザーに提供する。

「人の支援」を基本とした
生成AI/AI機能を多数提供

 以上のようなフィロソフィーと原則に則り、SplunkはAIを製品・ソリューションの様々な領域に適用している。具体的には、生成AI/AIの両方を、セキュリティーとオブザーバビリティに特化した製品群、およびそれらを支えるプラットフォームに組み込んでいるのだ。

 「例えば、Splunkの製品はSPLという独自の検索言語を用いていますが、これを記述することは初心者にはなかなかハードルが高い面があります。この部分を生成AIでフォローする仕組みなどを実装しています」と藤盛氏は紹介する。これは「AI Assistant for SPL」と呼ばれるもの。目的に応じたSPLの記述を生成AIに指示して生成してもらう、あるいは理解の難しいSPLを見つけたときに、詳細な解説を生成AIに求めるといったことが可能だという(図1)。  また、生成 AIを用いたツールとして近日リリース予定なのが「AI Assistant for Security」である。これは実際に行われている攻撃の調査や原因究明を、管理者が生成AIにチャットで質問する形で進めていけるものだ。利用することで、調査プロセスにかかる手間と時間を大幅に削減でき、脅威へのより迅速な対応が実現できるようになるだろう。「また、この機能はSIEM製品である『Splunk Enterprise Security』とネイティブに統合されます」と藤盛氏は付け加える。

 一方、生成AI以外の AIや機械学習を用いた機能は、Splunkはより早い時期からソリューション内に組み込んできた。その一例が「User Behavior Analytics」である(図2)。  2段階の機械学習で様々なユーザー行動を分析し、行動のベースラインをまず導き出した上で、そこからかい離する異常行動を検知するもの。250以上の機械学習のルール/モデルを用いることで、リスクの迅速な検出につなげることができる。

 さらに、機械学習のユースケースを検索機能に適用する拡張機能「Machine Learning Toolkit」も用意している。これにより、例えば攻撃によく用いられる長いコマンドラインを不審なものと判定したり、通信トラフィック内からSMB(Server Message Block)のスパイクを容易に検出したりすることが可能だ。「機械学習利用のルールに基づき、Splunk上で様々な情報を検索する作業をアシストします。Splunkユーザーはどなたでも無償でご利用いただけます」と藤盛氏は紹介する。

 セキュリティー領域における生成AI/AIの活用範囲は今後もどんどん広がっていくだろう。人による判断を前提として、それをAIが多方面から支援する。進化を続けるSplunkソリューションに引き続き注目したい。
TOPへ
関連リンク
お問い合わせ
Splunk Services Japan合同会社 TEL:03-6206-3780
URL:https://www.splunk.com/ja_jp/
E-mail:splunkjp@splunk.com