セキュリティのプロが実感した Security Copilot 活用の効果を、サービスに発展させた株式会社ラック

「社内の安全」と「次世代サービス創出」の両輪を担う生成 AI 活用

ラック は高度なセキュリティ ソリューションをお客様に提供するプロフェッショナルであり、自社のサイバーセキュリティに関しても、常にハイレベルな状態を維持してきました。現在は、Microsoft 365 E5 の機能をフルに活かしたゼロトラストセキュリティを実践。自社内で SOC を運用し、アフターコロナの働き方に則した、高度なセキュリティを維持しています。

しかし、サイバー脅威は年々高度かつ複雑になっており、クラウド活用や DX の推進によって脅威にさらされる機会も増えています。セキュリティ対策に終わりはなく、適切なソリューションを、限られた人員で効率よく運用し続けていく必要があります。この点において「当社もお客様も、悩みの根は同じようなところにある」と話すのは、ラック 事業統括部長の東 俊介 氏です。

「近年、サイバー脅威が増していく中で、日本国内のセキュリティ市場も拡大してきたと実感しています。一方で、少子高齢化が続く日本においてセキュリティ人材の不足も深刻になっています。そのためSOC や CSIRT (Computer Security Incident Response Team) を含むセキュリティ体制をいかに効率よく運用していくかということが課題になっています」

そして、この課題の解決に向けてラックが採用した手段の 1 つが、Security Copilot の採用でした。東 氏は次のように説明を続けます。

「脅威は増え続け、人材不足は継続していく。そうした未来予測に立てば、生成 AI の活用に踏み切るのは当然の流れだと言えるでしょう。何より、当社のセキュリティ運用の中で生成 AI 活用の価値を示すことができれば、それはお客様に向けた “次世代サービス” の提案にもつながります。そこで、Security Copilot が発表されるとすぐに、当社内での活用に踏み切ることを決めました」

Microsoft 365 E5 との親密な連携による、対応の迅速化

Security Copilot は、認証基盤となる Microsoft Entra ID や、ネットワークを自動監視する Microsoft Sentinel、統合的なMDM (モバイルデバイス管理) 製品である Microsoft Intune など、ゼロトラストセキュリティを構成するマイクロソフトの各種セキュリティ製品と親密に連携。インシデント発生時にさまざまなデータを抽出・分析することで、アラートの内容を日本語での要約や、トリアージ（対応の優先度付け）を行い、対応が必要なインシデントを素早く確実に見極めることが可能になっています。

ラック 事業統括部 次世代サービス企画部 エンジニアリングサービスデザイングループ グループマネージャーである土井 秀記 氏は、Security Copilot から届けられる、こうした「速報」だけでもセキュリティ対策の効率化に役立つと話します。

「インシデントが発生した際、その原因や対策などについては SOC のメンバーで精査する必要があります。しかしその一方で、インシデントへの対応・復旧・対策を担う CSIRT のチームは一刻も早い情報を欲しがっています。その点において、まずトリアージによってインシデントの重大度を把握できるのは大きなメリットです。実際、お客様の CSIRT チームから同じような相談を受けたこともあるくらい、多くの企業ニーズに応えることができると思います」

プロフェッショナルの対応時間を 10% 以上短縮

いち早く Security Copilot を検証・活用してきた技術統括部 事業推進ユニット コーポレートIT推進部 ITアドバンストグループマネージャーの谷口 隼祐 氏は「体感では 10% 以上、20% 未満の時間短縮ができている」と話します。

「SOC の業務は、決まりきった作業にはなりません。突発的なインシデントに際しては必ず揺らぎがあり、プロとしての知見や勘が要求されることになります。そうした状況に対して、Security Copilot によるアラートの要約やトリアージは、初動を迅速化するのに役立ちます。先ほど、私たちのチームでの時間短縮について 10% 以上と話しましたが、元々 Non-IT であった方がセキュリティを兼務されているような場合には、さらに大幅な時間短縮効果が得られるのではないかと思います」

さらに谷口 氏は「Security Copilot の精度が確実に向上しているのを実感している」と続けます。

「アラートが上がった際には、そのインシデントに関連するファイルや ID、デバイスといったエンティティを抽出することが重要になりますが、Security Copilot の活用を続けている中で、抽出の精度が非常に高くなってきたのを実感しています。きっと、Entra ID や Intune などとの連携が、よりスマートになってきているのでしょう。このように常に機能や性能が進化していることも Security Copilot の良い点だと思います」

プラグインの充実によって獲得した「汎用性」

ラックにおける Security Copilot 活用を続ける中で「プロとして、ハッとさせられるような瞬間も増えてきた」と、谷口 氏は言います。

「誰かに話を聞いてもらってアイデアを整理するのと同じように、Security Copilot に向かって、いろんなことを問いかけることがあります。たとえば『シャドー IT をゼロにすることはできないが、許容の線引きをどこにするべきか？』といったように、なかなか答えのでない課題について問いかけていたら、私たちにとって盲点だった回答が返ってくることがありました。この間まで幼いと思っていた子どもが、ある日突然、鋭い意見をいうようになったような感慨がありましたね。『あ、これはもしかすると有効だな』と思った時にはすぐに、Microsoft Sentinel のデータを分析するルールを変更して検証しています」

加えて最近は「プラグインが充実してきたおかげで、汎用できるようになってきた」と谷口 氏は評価しています。

「利用者のスキルや経験に関係なく Security Copilot を社内で汎用するためには、プロンプトの書き方によって回答の質が左右されてしまうことが課題になっていました。しかし最近は潜在的なフィッシングの脅威などを分析してくれるものや、攻撃者の行動に関する情報を取得するものなど、さまざまなプラグインが充実してきました。おかげで、プロンプトを書くスキルに左右されることなく、Security Copilot を汎用できるようになってきました。これはありがたいですね。近いうちに、一次的なサポート窓口を Security Copilot に任せられるようになると期待しています」

Microsoft Purview との連携でストレスなくコンプライアンスの徹底へ

こうして、Security Copilot 活用成果を実感しているラックでは、今後への期待として「コンプライアンスの徹底」を挙げています。東 氏と谷口 氏は次のように説明します。

「データセキュリティに関して、当社でもコンプライアンスの徹底、インサイダーリスクマネジメントの領域へと一歩踏み込んでいく必要があります。そのためには先ず、経営層、リスクマネジメント室、人事部などと綿密に連携して計画していくことが重要となります。システム面においては、Microsoft Purview の多彩な機能を使いこなしていくことが肝要でしょう」(東 氏)

「インサイダーリスクマネジメントについては極力、人の手を省きたいのです。『内部不正を疑う』ということは、ユーザーにとっても、管理者にとっても大変なストレスが生じることです。ネットワーク上での振る舞いや、重要ファイルへのアクセスログなどを『誰か怪しいユーザーがいるはずだ』と疑う心理は、担当者の精神衛生に、必ず悪い影響をもたらします。Security Copilot が『怪しい』とアラートを上げてきた振る舞いだけを、人の目でチェックすればいいような状態になれば理想的ですね」(谷口 氏)

最後に東 氏は「当社で積み重ねたノウハウは、必ずお客様にも還元する」と力強く話します。

「当社内での Security Copilot 活用は、これからさらに深化していくでしょう。人材不足を補うための活用深化についても、コンプライアンスの徹底についても、当社が実際に歩んだ道のりであれば、お客様にも自信を持って提案させていただくことが可能です。当社としても Security Copilot には、セキュリティ運用を劇的に変化させるだけのポテンシャルがあると期待しています。その期待のままに、お客様に “次世代のサービス” と呼ぶにふさわしい提案を行っていきたいと思っています」