防御者側の生成AI活用:ブルーチームに有効な「インシデント対応シミュレーションゲーム」
では、防御側がAIを活用するためには、具体的にどのような方法があるのか。アマル氏は、「AI for サイバーセキュリティ」と題してセキュリティのおける各分野での活用法を紹介した。
セキュリティ分野では、役割ごとにチームが編成されることが多い。攻撃を検知し、対応する防御の役割を担うのがBlue Team(ブルーチーム)。攻撃的な手法を用いたペネトレーションテストを実施し、システムの脆弱性を特定することでセキュリティを強化するのがRed Team(レッドチーム)。企業のセキュリティ戦略や規制対応を支援する、セキュリティコンサルタントやコンプライアンスの専門家はWhite Team(ホワイトチーム)に分類される。
また、システムの基盤を構築し、安定した運用を支えるセキュリティエンジニアの役割も重要だ。さらに、セキュリティ情報を整理してインシデント対応の指針を提供するチームも存在する。
ブルーチームにおいて、生成AIはアラートやインシデント対応の調査補助として有効に活用できる。たとえば、インシデント対応のアラートが発生した際、AIに過去のナレッジと照合させ、類似する事例を提示させることが可能だ。
アマル氏は、具体的な活用例として「机上トレーニングの自動化」を紹介した。ChatGPTなどの生成AIにプロンプトを入力して訓練シナリオを作成し、その対応によってスコアリングするゲームを作るという方法だ。たとえば、CSO(最高戦略責任者)の役割を設定し、会社の規模や提供サービスを指定した上で、ネットワークの異常、ランサムウェア攻撃、データ漏えい、内部脅威という4つのインシデントを発生させるシミュレーションを行える。
各インシデントに対し、責任者としてどのように対応するかを選択し、たとえばネットワークを遮断するのか、それとも原因分析を優先するのかといった判断を求める。ゲーム中の選択によってポイントが加算され、ランダム性を加えたフローを組み込むことで、より実践的な訓練が可能になる。最終的に、自身の対応が適切だったかを振り返り、フィードバックを受けることもできる。
「高額な費用をかけて実施していた訓練も、生成AIを活用すれば手軽に自作できるようになります」(アマル氏)
また、セキュリティの現場では大量のデータやレポートを分析し、脅威インテリジェンスを抽出する必要がある。そこにLLMを活用すれば、新たな脆弱性の記事を分類・要約し、情報整理を効率化できる。コード解析の分野でも、攻撃者の難読化されたスクリプトへの迅速な解析が可能だ。
さらに、セキュリティルールの作成にもAIが貢献できると同氏。SIEMやEDRの運用ルールは複雑だが、LLMを使えば自然言語から適切なルールを自動生成できる。こうした技術の導入により、ブルーチームの業務効率が向上し、より強固な防御策を構築できるという。
レッドチームが実践すべき「脅威モニタリングの自動化」
そのほか、アマル氏はレッドチームにおける脅威モデリングの重要性も強調。ペネトレーションテストを実施する際には脅威モデリングの実施と攻撃シミュレーションの作成が不可欠だが、そこにLLMを活用できる。たとえば、現在StrideGPTというAI駆動の脅威モニタリングツールがオープンソースで公開されており、Webアプリの基本情報を入力することで自動的に脅威モデリングを行い、攻撃のシミュレーションを行うことも可能だ。
このほか、ペネトレーションテストの分野では、LACも明治大学と共同で研究を進めているという。マルチエージェントの仕組みを導入しつつ、人の判断を取り入れる工夫も加えており、評価方法についても検討を重ねている。年内には、成果の一部を公開する予定とのことだ。
アマル氏はセキュリティ分野にAIを適用する上で、まず社内の規定や組織のルールを見直す必要があると指摘し「データと人のナレッジが、暗黙知から形式知へと適切に変換されていることが重要だ」と強調。業務の流れを明確に定義し、可視化しておかなければ、AIに何を任せるべきか判断できない。人間がどのようにAIを活用するのかを考える必要があると主張した。
「まずはAIを専門家の補助として導入しましょう。たとえば、ChatGPTのようなプラットフォームを試し、業務にどう活用できるかを見極めます。その上で、AIに任せられる部分を特定し、自動化の範囲を徐々に広げていく。AIありきではなく、まずは自分たちの業務の実態を踏まえた見極めが重要です」(アマル氏)
