ジェネレーティブ AI でセキュリティを強化

※この投稿は米国時間 2023 年 4 月 25 日に、Google Cloud blog に投稿されたものの抄訳です。

Google Cloud は、強固なセキュリティを普及し、誰にとってもシンプルなセキュリティを実現するため、「見えないセキュリティ」という目標に向かって前進していくための主要なテクノロジーに投資を続けています。Google の投資は、世界水準の脅威インテリジェンス チームからの分析情報や、極めて巧妙化したサイバー攻撃に対処するお客様へのサポート経験に基づいて実施されています。お客様はそうした機能を活用して、他では得られない非常に危険な脅威アクターに対する見通しと可視性を獲得することが可能となります。

最近の AI の進歩、特に大規模言語モデル（LLM）により、組織での安全維持を担う人材をサポートする Google の能力はますます進歩しています。これらの新しいモデルを使用することで、より自然でクリエイティブな方法でセキュリティを把握し、管理できるようになるだけではなく、自分たちだけで獲得し得る情報を超えた、AI によって強化された専門知識へのアクセスも可能となります。

RSA Conference 2023 では、セキュリティに特化した大規模言語モデル（LLM）の Sec-PaLM を利用した、業界初の拡張可能なプラットフォーム、Google Cloud Security AI Workbench について発表いたします。この新しいセキュリティ モデルは、Google による脅威の可視化や、脆弱性、マルウェア、脅威インジケーター、行動に基づく脅威アクターのプロファイルに関する Mandiant の最前線のインテリジェンスといった、卓越したセキュリティ インテリジェンスを組み込んだセキュリティ ユースケース向けに微調整されています。

Google Cloud Security AI Workbench では、脅威の過負荷、扱いにくいツール、人材ギャップというセキュリティ チャレンジにおける 3 つの大きな課題に独自の方法で対処する新しいサービスを提供しています。また、脅威インテリジェンス、ワークフロー、その他の重要なセキュリティ機能をお客様に届けるために、パートナーのプラグインを統合しており、Accenture が初めて Security AI Workbench を活用するパートナーとなっています。

また、このプラットフォームにより、お客様は推論時にプラットフォームで非公開データの利用が可能となります。その際、Google はお客様に対し、すべてのデータ プライバシーに関する Google の取り組みを確実に履行します。つまり、Security AI Workbench が Google Cloud の Vertex AI インフラストラクチャ上に構築されているため、お客様はデータの分離、データ保護、主権、コンプライアンスのサポートといったビジネス仕様の機能を活用してデータをコントロールできるということです。

最初の感染を抑え込み脅威の拡大を抑制

すでに Google は最高水準の機能を提供し、組織による脅威への迅速な対応をサポートしています。ですが、もし Google が初期の感染を特定して封じ込めるだけでなく、他の場所でも感染が起きないように防止することができたらどうでしょう。AI の進歩により、今では Google は特定の時点のインシデント分析を使った世界水準の脅威インテリジェンスと、AI ベースの新たな検知および分析を組み合わせることで、新たな感染を防止しています。こうした進歩は、ML システムやジェネレーティブ AI システムを使用した敵対的攻撃が急増する可能性に対処するうえで欠かせません。そこで紹介するのがこちらです。  

• VirusTotal Code Insight は Sec-PaLM を使用して潜在的に悪意のあるスクリプトについて分析および動作を説明し、どのスクリプトが実際に脅威であるかをより厳密に検知することが可能です。

• Mandiant Breach Analytics for Chronicle は Google Cloud と Mandiant Threat Intelligence を活用し、環境内のアクティブな侵害を自動的に警告します。また、Sec-PaLM を使用して、そうした重大な検知を即座にコンテキスト化して対応します。

こうした最新の更新情報は、業界をリードする Google のソリューション内の、既存の AI 上で構築されています。たとえば Chronicle Security Operations では、すでに、最前線のインテリジェンス、統合された推論機能、ML を使用して、初期感染の特定、インパクトの優先順位付け、脅威の封じ込めを行っています。その他の例としては、画像のノイズ化機能を使用して攻撃者からサイトを保護する reCAPTCHA Enterprise があり、新たな AI の進化を活用することで bot に対する防御を大幅に向上します。

インテリジェンスの付加によるトイルの削減

Google Cloud は、可能な場面でセキュリティ ツールやセキュリティ管理を簡素化するなどして、どのような段階の組織であってもセキュリティのモダナイズの実現をサポートします。ジェネレーティブ AI の進化のより、組織は大規模な攻撃対象エリアを守りながらも、必要とするツールの数を減らし、最終的には自身のシステムを強化して身を守ることが可能となります。これにより、複数の環境を管理するためのトイル、すなわち手作業で繰り返し行われる作業を最低限に抑えながら、セキュリティ設計やセキュリティ機能、そして、セキュリティ管理を生み出すことができます。今回ご紹介する機能は以下のとおりです。

• Assured OSS では LLM を使用して、より多くのオープンソース ソフトウェア（OSS）パッケージを OSS 脆弱性管理ソリューションに追加することが可能であり、Google が使用しているのと同じキュレート済みかつ脆弱性をテスト済みのパッケージを提供しています。

• Mandiant Threat Intelligence AI は、Mandiant の巨大な脅威グラフ上に構築されており、組織それぞれに関係する脅威を迅速に検知、整理、対応するために Sec-PaLM を活用します。

これらの機能は既存の機能上に構築されており、お客様の一元的な可視化および管理、ターゲットの検知、セキュリティの向上をプラットフォーム全体を通してサポートします。たとえば、Security Command Center（SCC）では常にオンの ML を使用して、カスタム コンテナ環境で実行される悪意のあるスクリプトを検出し、即座にお客様に通知します。加えて、Cloud Data Loss Prevention ではデータの検出と分類に ML を活用しており、Confidential Computing では機密性保持を確保しながらも、クラウド内で機密かつ規制対象の AI モデルで作業し、トレーニングして、デプロイすることが可能です。

実務担当者が行うセキュリティ業務を変革し人材ギャップを埋める

Google は、真にセキュリティを民主化するためには、まずは AI によりセキュリティの専門知識に新しい時代が到来し、実務担当者がどのようにセキュリティ業務を「行う」かに大きな影響を与えることを認識する必要があると考えます。開発者、システム管理者、SRE、さらには新人アナリストまで、セキュリティを担当する人材の多くは、トレーニングを受けたセキュリティのスペシャリストではありません。

初心者から専門家までが AI の専門知識とタッグを組み、繰り返しの作業や燃え尽き症候群から解放され、今現在では実現不可能に感じられるタスクを達成できる世界を想像してみてください。こうした進化を成し遂げるために、Sec-PaLM ベースの機能を埋め込むことで、効率を改善しながらセキュリティへの理解も高められるようにしています。この魅力的な新機能は、以下の 2 つのソリューションに導入されています。

• Chronicle AI: Chronicle のお客様は数十億ものセキュリティ イベントを検索して、その結果と会話形式でやり取りし、補足の質問をして、素早い検出を実行することが可能で、これらすべてを新たなシンタックスやスキーマを学習せずに実施できます。

• Security Command Center AI: Security Command Center は、攻撃の発生可能性についての複雑な攻撃グラフを、影響を受ける資産や推奨される緩和策を含んだ、人が読める説明に変換します。また、Google Cloud 向けに、セキュリティ、コンプライアンス、プライバシーの検出結果についての AI を活用したリスク概要も提供します。

こうした新機能は、実際の使用パターンよりも適した権限を提案する IAM Recommender のような機能を通してセキュリティの問題に取り組む、既存の試みを強化するものです。Google は、組織のポリシーを包含できるように間もなくこの機能を拡充し、管理者が組織のセキュリティ対策を改善できるように進めていきます。さらに、Mandiant Automated Defense では、頻発する Tier 1 のアラート トリアージの問題を軽減し、アラート疲れに対処するために ML を応用しています。

提供サービスの利用について

VirusTotal Code Insight は、現在、プレビューでの利用が可能で、Security AI Workbench をお客様にご使用いただける最初のケースとなります。その他のサービスについては、今後数か月間で信頼できるテスターに対して展開していく予定で、今年の夏には広くプレビュー版で提供していきます。こちらからデモをご覧ください。

Sec-PaLM やパートナーとのインテグレーション、さらには、デモで説明されていたプロダクト イノベーションまで含む Security AI Workbench は、すべてエコシステム全体のセキュリティを向上させる大きな取り組みの構成要素です。現在のところ、以下の取り組みが行われています。

• これまでは実現が難しかった、IT ジェネラリスト人材を Tier 1 セキュリティ オペレーターのステータスに素早く成長させるアシスト機能を提供します。Security Command Center では、Google Cloud 向けに脅威インテリジェンスの分析情報や検出結果を整理することができ、Chronicle では YARA-L ルールやその他の検知が迅速に実行できます。

• 反復的なクエリや多変量な検知の生成、会話型のフィルタリングや結果とのやり取り、スマートなケース認知といった高度な機能を提供し、熟練した Tier 2 および 3 のセキュリティ運用担当者が、プロセスやトイルに苦労することなく脅威の分析に集中できるようにします。Mandiant Threat Intelligence のユーザーは、Mandiant のエキスパートが使用するものと同じツールを使って、脅威のハンティング、調査、修正のためのコア コンピテンシーを高めることが可能です。

• 脅威インテリジェンスと AI べースの分析機能を融合して、誰にも負けないサービスを提供します。VirusTotal Code Insight は、怪しいコードの分析情報を取得し脅威を特定することで、セキュリティ チームをサポートします。これにより、チームが潜在的な攻撃を検知し、リスクを軽減する能力が格段に高まります。

しかし、これは単なる最初のステップです。Google は、これからもイテレーションとイノベーションを続け、お客様やパートナーに新しく魅力的な方法で Security AI Workbench を活用してもらえるように努めます。前進を続けるなかで、これからも多くの新しいユースケースが登場することを期待しています。

安全な未来の構築

最近、ジェネレーティブ AI は憶測を呼んでいますが、Sec-PaLM は Google と DeepMind による何年にもおよぶ基礎的な AI 研究や、セキュリティ チームの深い専門知識に基づいています。ここには、ビジネスに対してサイバーセキュリティ スタックのあらゆるレイヤでセキュリティ機能を提供するために、パートナー エコシステムを拡大する新たな取り組みが含まれます。Google は、ジェネレーティブ AI をセキュリティに応用することの力を認識し始めたばかりで、この専門知識をお客様のために引き続き活用し、セキュリティ コミュニティ全体の発展を牽引することを楽しみにしています。