【ITリーダー向け】 生成型AIを活用してサイバーセキュリティを強化する方法
サイバー犯罪との戦いにおいて、生成型AIは企業のサイバーセキュリティの強力な味方として立ちます。このブログでは、チャットボットや大規模言語モデル(LLM)を通じて、セキュリティチームを強化する方法について、生成型AIの活用法を探ります。
【関連記事】
Table of Contents
脆弱性スキャンとフィルタリング
Cloud Security Alliance(CSA)がサイバーセキュリティへの影響を研究したレポートによると、生成型AIモデルの使用はセキュリティ脆弱性のスキャニングとフィルタリングの能力を大幅に強化できるとされています。レポートは、OpenAIのCodex APIをC、C#、Java、JavaScriptなどのプログラミング言語に対する効果的な脆弱性スキャナーとして強調し、「CodexのようなLLMは将来的に脆弱性スキャナーの標準コンポーネントになると期待されている」と述べています。例えば、さまざまな言語を通じて安全でないコードパターンを検出し、強調するスキャナーを開発することで、開発者は潜在的な脆弱性に積極的に対処できます。
フィルタリングの面では、生成型AIモデルは、人間のセキュリティ担当者が見逃す可能性のある脅威識別子を明らかにし、意味のある文脈を加えることができます。例えば、MITRE ATT&CKフレームワークの攻撃技術識別子TT1059.001は、サイバーセキュリティ担当者にとっては馴染みがないかもしれず、簡単な説明が必要になる場合があります。レポートによると、ChatGPTはそのようなコードをMITRE ATT&CK識別子として正確に認識し、悪意のあるPowerShellスクリプトの使用に関連する特定の問題についての説明を提供できます。また、PowerShellの機能の詳細な説明や、サイバー攻撃でのPowerShellの使用可能性、関連する例とともに提供することもできます。例えば、昨年5月に公開されたOX SecurityのOXGPTは、コードがハッカーによってどのように悪用されるか、攻撃の潜在的な影響、および組織への可能な損害について情報を提供します。
アドオンとPEファイルのAPI分析
Deep InstinctのサイバーインテリジェンスエンジニアリングマネージャーであるMatt Fulmerは、生成型AI/LLM技術がIDAやGhidraのようなリバースエンジニアリングフレームワークに基づいて人気のあるアドオンの構造のルール作成と分析を可能にすると述べています。Fulmerは、「プロンプトを通じて必要なものを指定し、MITRE ATT&CKテクニックと比較した後、結果をオフラインで改善と防御利用のために持ち出す」と説明しています。LLMはまた、ポータブル実行可能ファイル(PEファイル)のAPIを分析し、その目的を特定するのにも役立ち、セキュリティ研究者がPEファイル内のAPI通信を分析するのに費やす時間を削減します。
脅威ハンティングクエリ( Threat Hunting Queries )
CSAによると、セキュリティディフェンダーはChatGPTやその他のLLMを使用して脅威ハンティングクエリを生成することで、効率を高め、対応時間を短縮できます。ChatGPTは、Yaraのようなマルウェア研究および検出ツールのためのクエリを生成でき、ディフェンダーが潜在的な脅威を迅速に特定し、軽減するのを支援します。これは、絶えず進化する脅威の風景の中で堅牢なセキュリティ姿勢を維持するために特に有用です。企業が検出または監視したい特定の要件と脅威に基づいたカスタムルールも調整することができます。
サプライチェーンセキュリティの改善
生成型AIモデルは、サプライチェーンセキュリティのリスクにも対応できます。例えば、4月にSecurityScorecardは、OpenAIのGPT-4システムを自然言語検索と統合した新しいセキュリティ評価プラットフォームを発表しました。同社によると、顧客は自社のビジネスエコシステムに関する開かれた質問を行い、ベンダーの詳細を含む回答をレビューして、リスク管理の決定を下すことができます。質問には、「最も評価の低い10のベンダーはどれですか?」や「昨年侵害された主要ベンダーはどれですか?」などが含まれるかもしれません。SecurityScorecardは、新しいプラットフォームが迅速なリスク管理の意思決定を支援すると主張しています。
攻撃における生成型AIテキストの検出
LLMはテキストを生成するだけでなく、AIによって生成されたテキストを検出し、ウォーターマーキングする能力も持っています。CSAは、この機能がメール保護ソフトウェアの一般的な機能になると予測しており、攻撃におけるAI生成テキストの識別に役立ち、フィッシングメールや多様なコードの検出に役立つでしょう。LLMは、通常とは異なるメールアドレスやそのドメインを簡単に検出し、テキスト内のリンクが既知の悪意のあるウェブサイトにつながるかどうかを確認できます。
セキュリティコードの生成と伝送
LLMは、セキュリティコードを生成し、伝送するために使用できます。CSAのレポートは、複数の従業員をターゲットとした成功したフィッシングキャンペーンを引用しており、その中で資格情報を盗むために設計された悪意のあるコードを実行した従業員が誰であるかではなく、どの従業員がフィッシングメールを開いたかを特定しました。レポートには、「Microsoft 365 Defender Advanced Hunting Queriesを使用すると、既知の悪意のあるメールを受信してから30分以内に、メール受信者によって実行された最も最近の10回のログオンイベントを見つけることができます。これは、侵害された資格情報に関連する可能性のある怪しいログイン活動を特定するのに役立ちます」と記載されています。
ChatGPTは、侵害されたメールアカウントを使用したログイン試行をチェックするためのMicrosoft 365 Defenderハンティングクエリを提供し、攻撃者を効果的にブロックし、パスワードを変更する必要性を特定することができます。これは、サイバーインシデント対応中の行動時間を短縮するための貴重なユースケースを表しています。システムがKQLプログラミング言語をサポートしていない場合、プログラミング言語のスタイルを変換することができます。CSAは、「この例は、ChatGPTの基礎となるCodexモデルがソースコードの例を取り、他のプログラミング言語の例を生成し、エンドユーザーの作業プロセスを簡素化するために新しい作成に使用される主要な詳細と方法論を追加できることを示しています」と述べています。
最優先事項:安全な使用環境の確保
すべての技術進歩と同様に、AIとLLMはリスクの観点から見て両刃の剣を提示します。GigamonのCSOであるChaim Mazalは、製品の安全な使用を確保することがリーダーにとって重要な任務であると強調し、「セキュリティチームと法務チームは、知的財産やセキュリティを損なうことなく技術を最適に活用する方法を見つけるために協力しなければならない」と述べています。生成型AIは古い構造データに基づいているため、セキュリティと防御を評価する際の出発点としてのみ使用することが賢明です。Deep InstinctのMatt Fulmerは、「挙げられた利点のために生成型AIを使用する場合、人間が結果を正当化する必要があります。結果はオフラインで持ち出され、より正確で実用的になるように強化されるべきです」と付け加えました。
生成型AIチャットボット/LLMは最終的にセキュリティと防衛を強化することができますが、サイバーセキュリティの姿勢を効果的に活用する鍵は、内部コミュニケーションと対応にあります。Mazalは、「生成型AI/LLMは、セキュリティ問題をより迅速かつ効率的に解決するためのステークホルダーを巻き込む手段として機能することができます。リーダーは、これらのツールを目標達成のためにどのように活用するかについて情報提供するとともに、それらがもたらす潜在的な脅威について教育する必要があります」と指摘しました。Tovie AIのAI技術責任者兼CEOであるJoshua Kaiserは、AIベースのチャットボットを定期的に更新し、LLMの正確な運用を監視するスタッフを配置し、潜在的な弱点や脆弱性を特定するために定期的なテストと評価を実施することで、脅威を効果的に軽減できると助言しています。
貴社のビジネスにAI技術の導入をご検討ですか?
CMC Japanは、ベトナム第二位のICTグループ「CMC グループ」の日本法人です。30年にわたりCMCグループが培ってきた技術力やノウハウをもって、お客様の満足度を向上させるためのAIコンサルティングおよびAIソリューションをご提案いたします。
ビジネスの成長を促進する技術パートナーをお探しの方は、お気軽にお問い合わせください!
>> CMC Japan会社概要ダウンロード <<