セキュリティ & アイデンティティ

AI を活用した調査機能を Chronicle Security Operations に導入

2023年5月10日

https://storage.googleapis.com/gweb-cloudblog-publish/images/aiml2022.max-2500x2500.png

Google Cloud Japan Team

※この投稿は米国時間 2023 年 4 月 25 日に、Google Cloud blog に投稿されたものの抄訳です。

最新の AI と大規模言語モデル（LLM）を活用した Google Cloud Security AI Workbench は、脅威に対する過重負担、扱いにくいツール、人材ギャップという 3 つの大きな課題に対処することを目的としています。セキュリティ運用ほど、これらの課題が関わっている分野はないでしょう。

現在サンフランシスコで開催されている RSA Conference 2023 で、Chronicle Security Operations に AI 活用の機能を導入したことを発表いたします。これらの機能によって、サイバー防御における脅威検出、調査、対処を変革し、複雑なデータ分析とセキュリティエンジニアリングを簡素化して、防御機能それぞれの効果を高めることができます。

ジェネレーティブ AI を周到に実用化する

優れた防御機能の確立は簡単ではありません。データ量が増え続けるなかで微妙なシグナルを検出することは、多くの場合きわめて困難です。Chronicle は、結果重視の概念に基づいて、日常業務の改善に必要な、有用で実践的なインテリジェンスと自動化を提供し、それによって防御を促進させることを目的としています。

AI を活用する場合も同じです。AI にはセキュリティアナリストの能力を強化できる可能性が大いにありますが、AI の実用化は慎重に行う必要があります。AI を使用するのは、高度な専門性または高度な手作業を要する場所であることが必要です。

Google は AI 研究の最前線に立っており、セキュリティ運用に関しては革新的であると言えます。昨今の進歩、特に大規模言語モデル（LLM）によって、あらゆる規模のあらゆるスキルレベルのセキュリティチームが、実用化への新しい道を進めるようになってきました。

セキュリティデータを会話形式で検索、分析、調査する

Google は、Chronicle での調査や対処が根本的にシンプルで優れたものになるよう取り組みを続けています。AI によって Chronicle ユーザーは、セキュリティイベントへの対処とその調査をさらに簡単に行えるようになります。自然言語で質問を入力するだけで、Chronicle AI が作業を行ってくれます。Chronicle AI では、クエリの生成、最初の情報の確認、結果に基づいた変更やイテレーションが可能です。

また AI は、セキュリティイベント、エンティティ分析、行動の異常からデータを集めて分析し、そういったセキュリティ分析情報や動向を提供することでアナリストをサポートし、調査のスピードアップにつなげます。データの精査と分析は会話形式の調査として行われるため、平均対応時間が短縮され、イベントの全容をすばやく判断できるようになります。最終的には、チームがリソースをより有効に活用できるようになります。

https://storage.googleapis.com/gweb-cloudblog-publish/original_images/ai-powered-investigation-chronicle-security-operations1.gif

AI で検出機能を作成する

検出機能の作成は複雑なことが多く、専門的な知識がないと、適切なアプローチの選択は困難です。Google は強い信念を持って、検出エンジニアリングという負担の大きい作業を扱う結果重視のプラットフォームを提供しています。Google は、この取り組みを Chronicle のキュレーションされた検出機能の提供から開始しました。現在はさらに前進して、ユーザーが自然言語を使用して検出機能を作成できるようにする取り組みを進めています。パラメータを入力すれば、Chronicle がルールを作成してくれるだけでなく、作成の繰り返し、リスクスコアの適用、結果の精査も行います。

https://storage.googleapis.com/gweb-cloudblog-publish/original_images/ai-powered-investigation-chronicle-security-operations3.gif

AI が生成した要約を活用して、優れた意思決定をすばやく行う

セキュリティ担当者は、目まぐるしく変化する状況をすばやく把握する必要があります。AI を活用した Chronicle によって、ケースや調査からデータが解明されます。ケースの概要から、ケースで生じている内容を明確に確認して、脅威に対するガイダンスと解釈を得ることができます。十分な情報に基づく意思決定を行うために必要なレベルの詳細を得るまで、結果に基づいてイテレーションできます。

https://storage.googleapis.com/gweb-cloudblog-publish/original_images/ai-powered-investigation-chronicle-security-operations4.gif

最前線のインテリジェンスを運用化して、脅威アクターに先手を打つ

Chronicle でイベントデータに Mandiant と VirusTotal の脅威インテリジェンスを適用できることは、Google のお客様にとって脅威を検出、追跡し、脅威と戦うための優れた方法です。Mandiant Breach Analytics は、AI ベースのモデルを活用し、Mandiant が活発に追跡するセキュリティ侵害インジケーター（IOC）をキュレートして優先順位を付け、アクティブな侵害を示している可能性のある未検出の一連のイベントを優先順位を付けて提示します。

Mandiant Breach Analytics を使用すると、新たな手法を使う不正な行為者を簡単に見つけて阻止できます。AI ベースのモデルにより、一致に対してキュレーションと優先順位付けが行われ、Indicator Confidence Score（IC-Score）が割り当てられます。IC-Score は、悪意のあるアクティビティで使用されていることに対する確信度を示します。

Google は、Breach Analytics を Chronicle コンソールに組み込む予定です。これにより Google のお客様は、アラートと脅威アクターのアトリビューションを直接確認できるようになります。アクターのアトリビューションは、それぞれの Chronicle イベントに取り込まれるので、アナリストはすぐに使える検出機能を、IC-Score と脅威アクターの関連付けに基づいた追加のコンテキストで増強できます。

https://storage.googleapis.com/gweb-cloudblog-publish/original_images/ai-powered-investigation-chronicle-security-operations2.gif

次のステップ

今年後半、Chronicle Security Operations に AI による調査機能の第一弾を導入する予定です。Google のセキュリティ AI の詳細については、RSA Conference のブース N6058 にお立ち寄りください。または、cloud.google.com/security/ai をご覧ください。

- 脅威検出および対応担当プロダクトマネジメントディレクター Chris Corde

- Chronicle Security Operations、プロダクトマネージャー Spencer Lichtenstein

投稿先