1
/
5

Secutity Copilotが凄い!...らしい

最近、Microsoftからの発表が多く、劇的に世の中を変えてくれそうです。その中で私の専門領域のセキュリティに関しても「これは...凄い!」と感じたので記事にしてみました。

こんにちは。まずは自己紹介。名古屋大学大学院情報学研究科を修了して計算機科学を研究しております。インターネットが世に出てくる前からコンピュータのハードウェアからソフトウェアまでお仕事にしていたので、どのレイヤーでもお仕事出来ます。たまにハッカー系のお仕事やAI系のお仕事をゴニョゴニョやっていて、この会社ではセキュリティ担当です。

今回はMicrosoftのSecutity Copilotのお話しをしたいと思います。

マイクロソフトは、Office用のOpenAIベースのチャットボットであるCopilotを導入したばかりですが、さらに、このほどSecutity Copilotを発表しました。実際の製品には触ってないので信義は定かではないのですが色々拾い上げて集約しました。

Officeのcopilotと同様に、Secutity Copilotは基本的にチャットボットのようです。マイクロソフトやその他のセキュリティ ソフトウェア企業は機械学習技術を使用して疑わしい動作を防ぎ、また、脆弱性を特定してきました。 しかし、最新の AI テクノロジにより、より迅速な分析が可能になり平易な自然言語の質問を使用する機能が追加されるため、セキュリティや AI の専門家ではないエンジニア(ここが凄い!)が、より簡単にインシデントを分析できるようになりました。Secutity Copilotを用いることで、企業は、自社内で様々なインシデントに対応できるようになるかもしれません。これって凄いことです。。

例えば、Secutity Copilotを使用すると、あなたは次のような質問をすることができます。

「インシデント発生前後の1週間に、エクスプロイトのリンクや添付ファイルが付いたメールを送受信した人を表示してください。」

また、インシデントの前後の数週間に危険なリンクを含む電子メールを送受信した人をリストするように依頼することもできます。このツールは、インシデントと対応のレポートとその要約をより簡単に作成することもできるのです。

さらにSecurity Copilot のシンプルなチャット インターフェイスを使用して、次のような質問をすることができます。

「脅威にはどのようなものがありますか?」(えっ!?こんな抽象的な質問OK?)

「セキュリティ体制を改善するにはどうすればよいですか?」(ご指導頂ける??)

「最も頻繁に起きるアラートは?」(ログ解析もしてくれんの??)

「いまだに解決されていないセキュリティ インシデントは何ですか?」(脆弱性診断いらんじゃん)

「任意のAPIにおける脆弱性の概要を教えてください。」(アーキテクトには嬉しいのでは??)

通常これらは、自社内ではなくて、自社外のセキュリティ コンサルタントに訪ねてきたことです。それがあなた1人でできるようになるのです。専門家との情報格差が無くなるってことです!!

このように自然言語クエリを使用して組織のセキュリティを調べるのは便利ですが、Security Copilot はさらに価値のある追加機能をもっています。

そのような機能の 1 つは、データをインポートする機能です。Security Copilot インターフェイスは基本的に単なるテキスト ボックスですが、ファイルをテキスト ボックスにドラッグ アンド ドロップして、 Security Copilot がファイルを分析できるようにします。

ちなみに、操作できるのはファイルだけではありません。Security Copilot に URL とコード スニペットを提供することもできます。

この機能が非常に便利な理由をより具体的に示すために、最近の Microsoft のデモを見てください。デモで、プレゼンターは JSON ベースのログ ファイルを Security Copilot インターフェイスにドラッグし、Microsoft Sentinel によって検出された疑わしいログイン イベントに関連する悪意のあるアクティビティがファイルに含まれているかどうかを尋ねます。流石!世界で一番アタック受けてる蓄積が(;^_^A

この機能をログの解析に過ぎないと考える人もいるかもしれません。ただし、セキュリティ ログを解析してインシデントを特定する場合は、通常、探しているもの (関連するイベント ID など) を知っている必要があります。Security Copilot を使用すると、ログ ファイル内のイベントを詳細に理解する必要がなくなります。探しているものを Security Copilot に伝えるだけで、ファイル内のどの項目が関連しているかを識別します。(もうやることない。。。のでは?)

これを手作業で行うとすれば、次のような手間をかけなければなりません。例えば、攻撃者がMicrosoft365の管理者特権を得ようとしたかどうかを確認するには、まずログを調べなければなりません。これらのログにアクセスするには、Microsoft 365 にサインインし、管理者である自分のアクティビティをログで調べなければなりません。

アクティビティ ログでは、サインイン イベントに関わる情報が提供されます。ほとんどの場合、サインインの日付と時刻、およびサインインの場所を確認できます。サインイン イベントが発生した地域の一般化された地図を表示することもできます。アクティビティに応じて、ログインに使用されたオペレーティング システムとブラウザ、関連付けられた IP アドレス、アクセスされたアプリケーション、およびアカウント名に関する情報がページに表示される場合があります。たとえば、私の場合、私は名古屋市に住んでいるので、名古屋市からのサインインが多いと予想されます。

見覚えのないログインが表示された場合はどうすればよいでしょうか。 通常とは異なるサインイン アクティビティが見られても、必ずしもセキュリティ違反があったとは限りません。最初に考えるべきことは、ログインが成功したかどうかを確認することです。

不審なログインが成功した場合、次にすべきことは、合理的な説明があるかどうかを判断することです。たとえば、VPN を使用してサインインする場合、VPN には通常表示されるものとは異なる IP アドレスが割り当てられている可能性があり、疑わしいログインの原因となる可能性がありますから、それをログから読み取ります。このような作業が、Security Copilotでは、ログをドラッグ&ドロップすることで解決できるのです。

Microsoft はSecurity Copilot のデモでログ ファイルを使用しましたが、さまざまな種類のファイルについてSecurity Copilot に質問することができます。

もう ひとつの魅力的な機能は Prompt Book です。Prompt Book は基本的に、Security Copilot 内から実行できるインシデントのステップ解析または分析の自動化を担います。

Prompt Bookは、PowerShellスクリプトをリバースエンジニアリングしたものを要約したりします。ここで、Security Copilotは問題のスクリプトを分析したところ、DoorBreach.exe という実行可能ファイルをダウンロードするように設計されていることがわかりました。

このようにSecurity Copilotは非常に簡単にインシデントを分析してくれるのです。今のあなたがITパスポート資格取得者でもSecurity Copilotを用いることで、今すぐにでも高度な知識を必要とするセキュリティ エンジニアとして活躍できてしまうのかもしれません。これからのセキュリティエンジニアは、このようなAIを使いこなすことがタスクになるかもしれませんね。

Invitation from 株式会社ストラテジーアンドパートナー
If this story triggered your interest, have a chat with the team?
株式会社ストラテジーアンドパートナー's job postings

Weekly ranking

Show other rankings
Like Mizuki Sakakibara's Story
Let Mizuki Sakakibara's company know you're interested in their content