インシデント調査における、Microsoft Copilot for Securityと一般的な生成AIの違い

「Microsoft Copilot for Security（以下、Copilot for Security）」がリリースされて数ヶ月がたちました。この短期間で、企業やセキュリティの専門家の間で大きな話題となっています。現在、数多くの生成AIサービスが存在する中で、Copilot for Securityはセキュリティに特化した生成AI利用サービスという独自の位置を確立しています。

Copilot for Securityと一般的な生成AIとの違いはどこにあるのでしょうか。今回は、インシデント調査と調査クエリの提案に焦点をあてて、Copilot for Securityと他の生成AIの共通点と相違点を具体的に見ていきます。今後、業務でCopilot for Securityを導入・活用する際の参考になれば幸いです。

インシデント調査を比較してみる

はじめに、一般的なAIとCopilot for Securityとで、インシデント調査を進めようとする際の動きを比べてみます。

一般的な生成AIの場合

一般的な生成AIに、インシデントの要約を頼むとどうなるでしょう。例えば、「最近のインシデント5件の重要度とその理由を教えて」と依頼すると、返ってくるのは最近のニュースになったインシデントの内容や、過去に公表された内容のまとめが多いでしょう。

このような応答はあくまで一般論に基づいたものであり、組織内で現在発生しているインシデントの状況とは一致しません。もちろん、詳しい状況を追加して、十分な情報を与えたうえで問い直すことも可能ですが、その時点でかなりの労力がかかります。これでは迅速な対応が求められる現場での利用は難しいと言えます。

Copilot for Securityの場合

Copilot for Securityの特徴に、実際のセキュリティサービスのログを元に回答を生成できる点があります。

例えば、Copilot for Securityはプロンプト（命令文）を元に、各種用意されたプラグインを通じて、それぞれのセキュリティサービスやその他サードパーティのサービスなどに問い合わせを行います。実際のデータを確保した上で、あらためて生成AIを使って回答をします。

そのため、「最近のインシデント5件の重要度とその理由を教えて」と質問すると、組織内のインシデント情報を元にした答えを返せるのです。

また、Copilot for Securityでは、Microsoft Defender 脅威インテリジェンスを利用できます。関連したドメイン名やIPアドレスの脅威情報を参照することで、セキュリティサービスのログだけでは得られない情報を補完します。もちろん、一般的な生成AIでも脅威インテリジェンス情報サービスを導入した上で連携させれば可能ですが、仕組みの構築には手間暇がかかります。

さらに、社内の情報を文章ファイル形式でCopilot for Securityに追加したり、Azure Open AI Searchを通じて連携したりすることで、自社に特化した回答が期待できます。この技術はCopilot for Securityではナレッジベースと呼ばれ、一般的な生成AIではRAG（Retrieval Augmented Generation）として利用できる機能です。企業で独自の生成AIを制作する際の強力なツールになります。

調査クエリの提案を比較してみる

次に、調査クエリの提案をした際の動きを比べてみます。

一般的な生成AIの場合

Defender XDRやMicrosoft Sentinelなどのセキュリティサービスは、KQL（Kusto Query Language）という調査クエリを使ってテーブルに格納されたログを深掘りできます。日常的に利用する機能ではありませんが、インシデント対応時には細かな情報の裏取りができて大変便利な機能です。

KQLはシンプルなクエリであれば簡単に作成できますが、複数のテーブルをまたぐ複雑なクエリになると手間がかかります。ここで生成AIを活用すれば、調査クエリの提案を受けて軽く手直しするだけなので、省力化した上で柔軟に調査ができます。複雑な文法を考える手間が省けるため、作業の負担が大幅に軽減されるのも魅力です。

Copilot for Securityの場合

Copilot for SecurityにはKQL生成専用のプラグインがあり、一般的な生成AIよりも高精度のクエリ作成が期待できます。

また、インシデント調査の途中でKQLを生成させれば、調査の文脈にそったクエリを得ることが期待できるため、より迅速で的確な対応をしやすくなります。また、日本語でプロンプト（命令文）を入力して適用対象を絞りこむことで、複雑なクエリ条件を簡単に指定できることも大きなメリットです。

Copilot for Securityだけの特徴

ここまで、一般的な生成AIとCopilot for Securityのインシデント調査と調査クエリの提案を比較しました。次に、一般的な生成AIにはない、Copilot for Securityだけに備わった特徴を見ていきます。

セキュリティサービスへの埋め込み（Embedded）機能

一般の生成AIにはないCopilot for Securityだけの特徴として、Defender XDRなどセキュリティサービスへの埋め込み（Embedded）機能があります。

例えばDefender XDRでは、インシデントなどの個別項目を表示した画面で、表示内容にあわせて自動でCopilot for Securityの情報を表示します。インシデントの要約だけでなく、インシデントの種類に応じた対策や細かな具体的アクションを提案してくれるため、まさにCopilot（副操縦士）として助けになる機能になります。

レポート生成機能

インシデントの画面から直接、レポートを出力でき、組織内で状況を説明するための基礎資料としても使えます（検証時点では言語に制限があります）。

重大なインシデント対応では、情報をピックアップして報告書を作成するのは労力のかかる作業です。そこでこの機能を使えば、事実を迅速にまとめて編集できるため、作業負担を大幅に軽減できます。出力された報告書をもとに詳細な分析を加えることで、より効果的な対応が可能となるでしょう。

おわりに

ラックでは早期アクセスプログラム（Early Access Program：EAP）期間の経験を活かし、「Microsoft Copilot for Security導入・活用支援サービス」を提供しています。これからCopilot for Securityを検討するお客様に対して、小規模な評価検証から本格的な導入支援、さらに活用アドバイスまで、お客様のフェーズに合わせたサポートをします。

Copilot for Securityの導入をお考えの際は、ぜひラックへお問い合わせください。