「ガートナー セキュリティ & リスク・マネジメント サミット2024」が7月24日から26日の3日間にわたって開催された。今回レポートするセッションはガートナーのシニアディレクター・アナリストであるアンヘル・べリオス氏による「SOCでの生成 AI の活用:メリットとデメリット」である。
投影されたスライドの表紙を見ると『The Good, the Bad and the Ugly』と講演の副題が書かれている。これは映画『続・夕陽のガンマン』の原題ではないか。映画の題をもじった講演タイトルはBlack Hat USAでよく見かけるスタイルだ。
『続・夕陽のガンマン』とは、いわゆるイタリア製の西部劇映画「マカロニ・ウェスタン」のひとつで1966年に公開され、日本では1967年に公開された。このタイトルはもちろん邦題。ちなみに本稿執筆にあたって未見だったため3時間近いこの映画を最初から最後まで見たが、劇中に夕陽のシーンは一度もなかった。大ヒットを収めた「ドル三部作」と呼ばれる作品群の3作目であり、この3部作でクリント・イーストウッドが一躍国際的スターになった。
アンヘル氏がこれらの映画をリアルタイムで見たとは思えないが、タイトルに惹かれて見た可能性は十分に考えられる。原題の「善き者、悪しき者、卑劣な者」という三類型のキャラクター造形は、その後の映画製作に非常に大きい影響を与えている(例:善玉=ルーク、悪者=ダースベーダー、利己的卑劣漢=ハンソロ ※途中まで)。果たして「Good Bad Ugly」はサイバーセキュリティにどんな風に当てはまるのか。
そもそもガートナーの講演は、まるで大学の紀要論文のタイトルのような、きわめて実用的な(良い意味でだが)面白みがひとつもない講演タイトルが多い。だからそんな中で本セッションには大いに興味を引かれた。いや、最大の興味は「SOCでの生成 AI の活用」なのであるが。
●「SOCのための実用的な生成 AI 」とは何か
アンヘル氏が示した最初のスライドには「生きるために働いているのに、なぜ死にそうになりながら働いているのか?」と書かれていた。これも『続・夕陽のガンマン』に出てくるセリフである。「卑劣な者」トゥーコが「善き者」ブロンディに「お前とはもう組まない」と砂漠に置き去りにされ、やっとたどり着いた町でこれをつぶやく。
アンヘル氏はこのセリフについて「セキュリティ分野に AI を導入する目的は仕事を楽にすることであり決して自分の首を絞めるためではない」と説明した。また、そもそもサイバーセキュリティに情熱を持って携わって欲しいという期待も込めたとした。その上で、(1)SOCのための実用的な生成 AI、(2)出発点は…いくつかのユースケース、(3)やるべきこと、やってはいけないこと、の3つの論点を挙げた。
SOCにおける生成 AI の実用的な活用法には、まず「知識の発見」がある。生成 AI は人間よりも早く情報を収集し解釈することもできる。これにより意思決定を手助けしてくれる。2つ目は「プログラムによる支援」。生成 AI は、例えばSQLの関数や構文を全て覚えているし、Pythonでのスタックオーバーフローの問題について検索することもできる。これらはセキュリティオペレーションで必要なことであるが、生成 AI はルールやロジックを理解することが得意なので作業効率を上げられる。
3つ目は「要約」である。セキュリティの専門家は多くの専門用語を使うが、それを他の部署に平易な言葉で伝える必要がある。生成 AI の要約機能は、複雑な文に論理を適用することで同じことをセキュリティ用語を使わずに自然に伝えることができる。
しかし、生成 AI に完全性や信頼性を求めることは禁物だとアンヘル氏は言う。例えば生成 AI に意思決定のための情報を提供してもらうときには、あらかじめ関連情報を学習させておく必要がある。 AI は知らないことには答えられない。また、生成 AI にコードを生成させた場合には、人間が作成した場合と同じように人間が検証を行う必要がある。
さらに生成 AI への質問文は読み返す必要がある。タイプミスがあると間違った答えを出す可能性があるためだ。間違った質問はコストが発生してしまうものであるため、SOCで生成 AI を効果的に活用するためにはさらなる厳密さが必要であるとした。「最大の価値を得るためには、組織にとっての関連性と価値を考え、またサポートするために習得または保持する必要があるスキルについても考える必要があります」(アンヘル氏)
●生成 AI で想定されるユースケースとメリット・デメリット
セキュリティ・オペレーションで考えられる生成 AI のユースケースには、攻撃演習におけるシナリオ開発、アナリストの能力強化、検知のエンジニアリングにおけるコーディング支援があるとアンヘル氏は言う。また、ナレッジベースや文書化、仮想アシスタントにも生成 AI は活用できる。一方で、「セキュリティ・オペレーションの現場における生成 AI の価値は、SOCスタッフのスキルレベルに大きく左右される」とガートナーの言葉を引用した。
「SOCスタッフのスキルが高ければ高いほど、 AI の使用によるメリットが大きくなり、 AI を過度に信頼するリスクは低くなります。 AI はすぐに人間に取って代わることはできません。SOCに能力のある人材を配置し、 AI を戦略的な増強装置として考えましょう」(アンヘル氏)
SOCに限らず AI の導入は、機能する場所と現状をどれだけ改善できるかが重要である。SOCの「ロール(役割)」や「プロセス」は状況が変化するため置き換えることは難しい。そこで、ロールが実行する「活動」や「タスク」を拡張することになる。日々の業務を分解し、具体的なユースケースを特定する必要がある。 AI を使う理由を考える必要はなく、既存のツールをアップグレードするものとしてあらゆるアイデアを検討する。ツールに備わっているべき機能について考え、それが実現可能かどうかを特定する。
