いよいよ正式リリースされた、Microsoft Copilot for Securityの最新機能とは

Microsoftソリューション推進チームの田川椋一です。

昨今、マイクロソフト社はOpenAIとの協業を通じて、提供するソリューションに生成AIを組み込んだ「Copilot」の範囲を拡大しています。

今回は、Microsoft Copilot for Security（以下、Copilot for Security）の早期アクセスプログラム（Early Access Program：以下、EAP）期間中から利用している私たちの視点から、Copilot for Securityの最新機能を見ていきます。

Copilot for Securityとは

Copilot for Securityとは、Microsoft Defender XDRなどマイクロソフト社のセキュリティ関連製品に組み込まれ、セキュリティ運用サポートを行う生成AIサービスです。

EAP期間中の使用感はこちらの記事にまとめているので、ぜひご一読ください。

まずは、EAP期間中から共通しているCopilot for Securityの基本的な使い方と、活用に欠かせない機能を確認していきます。

EmbeddedとStandalone

Copilot for Securityのユーザーインターフェースには、マイクロソフト社のセキュリティ製品（Microsoft Defender XDRやIntuneなど）の管理画面に組み込まれた「Embedded」と、Copilot for Security独自のポータルの「Standalone」があります。ここでは各ユーザーインターフェースの違いを見ていきます。

Embedded

Embeddedは、マイクロソフト社のセキュリティ製品のユーザーインターフェースに、Copilot for Securityを組み込んだ提供形態です。

Defender製品全般を管理するMicrosoft Defender XDRのインシデント対応画面や、端末などを管理するIntuneの端末情報の画面などに組み込まれます。例えば、Microsoft Defender XDRでインシデントを調査しようとする際、サイドバーにCopilot for Securityが表示され、インシデントの概要や対応方法の提案、関連情報などが提供されます。これにより、インシデントの初動から迅速に対応できるようになります。

Embeddedでは、あらかじめ定義された内容が自動表示されるため、生成AIのプロンプトに触れる必要はありません。そのため、応答の品質は安定していますが、独自の細かな調査はできません。既にMicrosoft Defender XDR（Microsoft Defender for Endpointなど）を使ってセキュリティ運用を行っている組織が、初めてCopilot for Securityを使う際は、ここから使い始めてみると比較的取っ付きやすいでしょう。

Standalone

Standaloneは、Copilot for Security専用のポータルから利用する提供形態です。

ChatGPTのような対話形式で自由にプロンプトを記述し、インシデントの関連情報や設定の状態を調査できます。インシデントの概要作成やスクリプトのリバースエンジニアリングなど、マイクロソフト社が作成したプロンプトもあり、目的によっては一からプロンプトを作成せずに情報を得られます。

Embeddedとは異なり、自由にプロンプトを記述できるため、応答の品質（事実と異なる応答を返すハルシネーションの発生など）はプロンプトの質に左右されます。高品質な応答を得るには、プロンプトエンジニアリングのスキルが求められます。効果的なプロンプトのコツは、具体的で明確、かつ簡潔に記述することです。

Standaloneは、権限管理や利用状況レポートの表示など管理機能が提供されます。Copilot for Securityに慣れてきて、応用した使い方をしたい場合はこちらの使用が適しています。

高度な活用方法

Copilot for Securityを高度に活用する上で、欠かせない機能を紹介します。現状ではほとんどの機能はStandaloneが前提となります。

プラグイン

プラグインとは、Copilot for Securityが様々なソリューションから情報を取得するためのモジュールです。Copilot for Securityはプロンプトに応じて適切なプラグインを選択し、情報を取得します。この情報をプロンプトと一緒に言語モデルへ渡し、言語モデルが応答を生成します。ユーザーは「/」を使って使用するプラグインを指定することもできますが、現時点では1つのプロンプトで1つのプラグインしか利用できません。

プラグインで連携できるのは、マイクロソフト社の製品だけではありません。「Splunk」、「ServiceNow」、「Netskope」といったサードパーティ製品のプラグインも用意されており、連携できるサービスの数は徐々に増えています。また、カスタムプラグイン機能で、組織にあわせた独自の連携も作成できます。

注意点として、連携先のソリューションから情報を取得するには、実行者が連携先ソリューションにアクセスするための適切な権限を有している必要があります。例えば、Microsoft Defender XDRへのアクセス権が無い人がCopilot for Securityを使用して、「Microsoft Defender XDRのインシデントID xxxxの内容を要約して」のようなプロンプトを入力しても、インシデント内容の要約は生成されません。

プロンプトブック

プロンプトブックは、調査などを行う複数のプロンプトをまとめたものです。実行すると、プロンプトブックに含まれる複数のプロンプトが順番に実行されます。プロンプトブックにはパラメータがあり、インシデント調査であれば対象のインシデント番号などを入力して実行します。

セッション

セッションとは、一連のプロンプトと応答が含まれた対話の記録です。Copilot for Securityはプロンプトを言語モデルへ渡す際に、圧縮したセッションの内容も含めて渡し、対話の文脈を考慮した応答を生成します。

ただし、EmbeddedやLogic AppsからCopilot for Securityを使用する場合は、基本的にすべて新規セッションとなります。Logic Appsを使用した自動化プロセスでCopilot for Securityを組み込む際は、必要に応じてセッションを維持するように構成する必要があります。

セッションは組織内に共有でき、上長やチームメンバーに調査結果や過程を共有する際に便利です。共有された側はセッション内容を編集できませんが、セッション内のプロンプトと応答をすべて閲覧でき、共有後に更新された内容も反映されます。

正式リリースで追加された機能

カスタムプロンプトブック

カスタムプロンプトブック機能を使えば、ユーザーはプロンプトブックの編集や、新規プロンプトブックの作成ができます。

余談ですが、正式リリース前はプロンプトブックの編集ができず、Copilot for Securityで用意されたもののみが使用可能でした。

ナレッジの共有

作成したカスタムプロンプトブックは組織内で共有できます。頻発するインシデント対応には組織内で有用なプロンプトを再利用でき、対応者によるプロンプトの質を均一化できます。

対応時間の節約

これまでは、Copilot for Securityを使ってインシデントや脅威インテリジェンスを深堀調査しようとすると、プロンプトごとに応答を待って次のプロンプトを入力する必要があり、熟練したセキュリティエンジニアは自分で調査した方が早いことがありました。しかし、カスタムプロンプトブックを用いると、一連のプロンプトをまとめてCopilot for Securityに投入できるため、応答を待つ時間を別のタスクに充てられます。

プロフェッショナルの調査プロセスをトレース

セキュリティ運用の現場の課題の1つに、高度なセキュリティ人材の不足があります。高度なスキルを持った人材は限られているため、組織の複雑なセキュリティ運用に優先度をつけて対応していくことになります。この結果、優先度の低い事項が見落とされ、対処がおろそかになることがあります。さらに、インシデントの調査・分析など高度なスキルを要する業務では、育成する側の労力が足りず、人材育成が進みにくいという問題もあります。

カスタムプロンプトブックを使用することで、高度なスキルを持つアナリストなどが調査に用いたプロンプトを他の人員が利用できるようになり、高度なスキルを持つアナリストは重要な問題に集中できるようになります。

ナレッジベース機能

組織によってセキュリティ運用の実態は様々です。Copilot for Securityは一般的な対処や対策を生成できますが、組織内のルールや手順に従った応答は生成できません。ナレッジベース機能を使うと、組織の実態に応じた追加情報をファイルやデータベースで提供することで、組織の実態に応じた応答を生成できます。

組織内のルールやナレッジを応答に反映させる

組織のルールや手順、ナレッジに関するドキュメントをアップロードすることで、Copilot for Securityがその内容を読み込み、応答に反映できます。組織のルールや手順に即した応答を生成できれば、カスタムプロンプトブックやLogic Appsと組み合わせることで、運用の自動化も期待できます。

出力文書のテンプレートなどを指定する

報告書のフォーマットや、インシデント関連のヒアリング文面テンプレートをアップロードすることで、Copilot for Securityにこれらの文書を生成させることができます。カスタムプロンプトブックと組み合わせれば、必要な情報の収集から報告書の作成までをCopilot for Securityに任せることも期待できます。

ナレッジベース機能を活用するコツは、ルールや手順ごとにファイルを分け、内容が分かりやすいファイル名を付けることです。また、報告フォーマットなどを学習させる場合はCopilot for Securityが理解しやすい形式で記載することもポイントです。

おわりに

正式リリースを迎えて大きく強化されたCopilot for Securityですが、今後も様々な機能追加が期待されます。

ラックではEAP期間の経験を基に、これからCopilot for Securityを検討するお客様に対して、導入および活用の方法を支援する「Microsoft Copilot for Security導入・活用支援サービス」を提供します。

まずは小規模に試してみたいという評価検証から、本格的な導入支援、活用アドバイスなど、お客様のフェーズに合わせた支援をいたします。もしご興味をお持ちいただけたら、ぜひラックへお問い合わせください。