多段階推論で導く、セキュリティリスク対処の術
Sysdig Sageの機能は、これだけではない。竹内氏は、さらに以下3つの機能を紹介した。
- 多段階推論:初歩的な質問から始め、徐々に質問を深掘りしていくことで、より深い知見に基づいた回答を導き出す
- コンテクストの理解:質問の文脈を理解するだけでなく、ユーザーが閲覧しているUIの状況も把握し、適切な返答ができる。ユーザーがSysdigのどの管理画面を見ているか認識し、その画面内で示された質問に対して回答するため、初歩的な質問でも精度の高い応答が可能
- 脅威検知後の対応支援:多数のアラートが発生する中、検知したセキュリティイベントにどう対応すべきか具体的に提示する
続けて竹内氏は、Sysdig Sage for CDRによるデモンストレーションを通じ、その対応力を示した。SysdigはSaaS型のクラウドサービスとして提供されるため、アクセスする際はWebブラウザを用いる。管理画面には、対話形式での問い合わせが可能なインターフェースが用意されているとのことだ。
なお、質問は日本語で行える。たとえば「今日発生した重要なイベントは何ですか?」と尋ねると、AIがイベントを分析し、結果を表示。表示されたイベントにはリンクが付いており、それをクリックすることで関連イベント一覧を確認できる。イベントをクリックすると詳細情報が表示されるが、内容がわかりにくい場合は「なぜこれが危険なのか」と追加で質問することで、危険性についての説明が得られるのだ。
また、検知されたイベントの対処法について質問すると、複数の対応パターンが提示される。他にも、「このコンテナに対して他に検知されたイベントはありますか?」と尋ねれば、対象のコンテナに関連するイベントがリストアップされるという。さらには、Sysdig Sageがその回答に至った経緯についても確認できる。
Sysdig Sageは現在、ランタイムイベントの脅威検知領域において既に提供されている。今後、このシステムは他の領域にもエージェント型として展開され、総合的にセキュリティ全般を監視する機能として提供される予定だ。具体的には、クラウド環境の設定ミス検出や、コンテナイメージ、Linuxホストの重大なバグ発見、log4jのような脆弱性の早期発見と侵入者の攻撃経路遮断のほか、不要な権限が過剰に割り当てられていないか確認するアイデンティティ管理といったものが利用可能になるという。
最後に、竹内氏はSysdig Sageの今後について、「様々なエージェントがAIの専門家チームのように連携し、顧客の環境における最もクリティカルなセキュリティリスクを、相関的に分析できるようにしたいです」と意気込んだ。
