CISOのための5つのAIユースケース

Rob Hyrons / Shutterstock

セキュリティ責任者には、AIに関して2つの主な役割があります。1つは、テクノロジーをできる限り安全に企業へ導入・運用すること。もう1つは、AIがセキュリティ運用をどのように改善できるかを見つけることです。

多くのCISOはこの点で慎重です。ISC2（サイバーセキュリティ分野の認証プロバイダー）の調査によると、回答した436人のセキュリティ専門家のうち、約3分の1（30％）がすでにAIを運用に統合しています。43％は、まだツールの評価・テスト段階にあります。

以下の5つのユースケースは、セキュリティの意思決定者たちが有望だと考えているものです。

MCPによる個別AIアプリケーション

Model Context Protocol（MCP）は、Anthropic社によるオープンスタンダードで、LLM（大規模言語モデル）などのAIシステムとデータソースを接続するためのものです。

セキュリティベンダーBedrock DataのCSO、George Gerchow氏は、AnthropicのAIアシスタントClaudeとMCPを使って実験しています。「デスクトップアプリにはネイティブなMCPサポートが組み込まれており、社内ツールやデータソースとの連携が簡単です」と彼は説明します。MCPはAIとセキュリティツール間の構造化されたインターフェースを提供し、データアクセスを標準化し、不安定なAI統合を減らします。

Gerchow氏はMCPサーバーと複数のツールを開発し、その中には、文脈を理解し、機密性の高いやり取りをリアルタイムで記録するカスタムAI搭載のDLP（データ損失防止）システムも含まれます。これらの記録を使って、機密データの自動分類、ポリシーのより良い適用、安全なエージェントベースのAIワークフローの基盤作りを行っています。

CSOによれば、MCPはアセットの機密性や規制への影響などのコンテキスト情報を直接セキュリティワークフローに組み込むことができます。これにより、対策の優先順位付けやリスクに基づいた意思決定がしやすくなります。また、MCPを使うことで、自然言語でセキュリティインシデントの原因を調査しやすくなります。プロトコルにより、AIエージェントが構造化データをリアルタイムで提供し、複雑な質問にも迅速に答えることができます。

ITサービスプロバイダーAgeroのCIO兼CISO、Bob Sullivan氏はGoogleのAIアシスタントGeminiを使って実験しています。彼のチームは脅威モデルを作成するための独自エージェントを構築しました。

このエージェントを使い、IT部門は導入予定の新技術や関連するセキュリティツール、その他の重要事項を特定します。Sullivan氏によれば、このAIツールは脅威モデルを約95％の完成度で作成できます。その結果、アーキテクトやエンジニアは約12時間、従来の作業の少なくとも75％を節約できました。ただし、ツールには厳格なガイドラインが必要だとも認めています。

セキュリティ指標の翻訳

CISOの役割には、技術的なセキュリティ課題をビジネス言語で分かりやすく伝えることが含まれます。AIは、データソース、リスク傾向、コントロールのギャップ、脅威モデルなどを抽出し、CEO、CFO、取締役向けのレポートやビジネスに関連するストーリーに変換するのに役立ちます。他にも、技術的なSOCイベントのマネジメントサマリーや、会議の主要な議論ポイントの要約など、全記録を見直さずに済む例もあります。

メンタルヘルス専門企業HeadspaceのCISO、Jameeka Aaron氏は、四半期レポートにGoogleのNotebook LMを使用しています。彼女は組織内のさまざまな分野からのデータフィード、関連するメディア報道、その他の情報をレポートに追加し、最終的にポッドキャスト形式のレポートを作成します。「100枚のスライドが6分間のストーリーテリングになりました」と彼女は語ります。

Aaron氏によれば、社内からのフィードバックも好評でした。脆弱性管理や他部門との連携の必要性などを分かりやすく説明するのに役立ったとのことです。こうして技術的な業務とビジネス要件を結びつけ、従業員にセキュリティ対策が日々の業務とどのように関係しているかを伝えることができました。

金融大手Standard Charteredのグローバルサイバーセキュリティオペレーション責任者Lavy Stokhamer氏は、膨大な外部情報から自社に関連するものを抽出するためにAIを活用しています。AIは、サイバーセキュリティニュースやメディアからのシグナルを検証済みで実行可能な情報に変換し、遅延なく適切な意思決定を行うのに役立っています。

「経営層は常に新たな脆弱性や他社のセキュリティ侵害、新しい攻撃手法のニュースにさらされており、すぐに『自社にも影響があるのか？』という疑問が浮かびます」と彼はまとめます。

彼のチームは、これらの外部シグナルをキャッチし、社内の脅威状況やテレメトリと自動的に照合するツールを開発しました。その結果、明確なリスク評価と必要に応じた対策の推奨が得られます。これにより、戦略的な認識から戦術的な実行まで一連の流れが完結します。

AIによる脅威ハンティング

生成AIが複雑な情報をシンプルな言葉に翻訳できる能力は、脅威の検出を容易にする可能性もあります。

ソフトウェアベンダーFlexeraのCIO兼CISO、Conal Gallagher氏は、AIを活用してチームが潜在的な脅威をより効率的に特定できる方法を模索しています。AIはインシデント調査の迅速化だけでなく、特にアラートが多発する状況でアナリストの疲労軽減にも役立つかもしれません。

Gallagher氏はMicrosoft Copilot Studioを使い、GPT-4oモデルを搭載したエージェントを構築しました。このAIエージェントはMCPサーバーを利用してセキュリティデータにアクセスし、アナリストの簡単な言語指示を複雑な検出クエリに変換します。

AIは言語をクエリに変換し、基盤となるシステムと連携して関連データを取得し、迅速に結果を返します。Gallagher氏によれば、これは一部の分野では特に有効です。「これまでのところ、新たな脅威の迅速な分類、インシデント中のピンポイント検索、時間的制約のあるアドホック調査で最も役立ちました」とIT責任者は述べます。一方、ツール固有の深い知識や高度な相関分析が必要な特殊な検索には、AIはあまり役立ちませんでした。

しかしGallagher氏は、さらなるテストと機能強化により、AIの活用範囲が広がると確信しています。彼は次のような可能性を見ています。

• 脅威インテリジェンスのライブフィードを活用した継続的な脅威ハンティングの自動化、
• Microsoftのセキュリティツール以外の複数プラットフォームとの統合、
• 脅威検出と自動化された対応策の連携。

ただし、AIは進化する脅威状況への適応力や、自動対応の精度・信頼性をさらに高める必要があります。「また、AIの判断が信頼でき、実行可能であることを保証するための堅牢なテスト・検証フレームワークも開発しなければなりません」と彼は述べています。

ソフトウェア企業Criblのサイバーセキュリティチームは、エージェントベースのAIを使って報告されたフィッシングメールを調査し、それを基に自律的な脅威ハンティングを開発しています。「従業員がメールを疑わしいとマークすると、システムはヘッダー、内容、PDFやQRコードなどの添付ファイルを詳細に分析します」とCISOのMyke Lyons氏は説明します。

AIがフィッシング攻撃を確認した場合、AIは自動的にメールボックス全体から類似のメールを検索します。「このプロセスは人間のアナリストの手順を模倣していますが、はるかに高速です」とLyons氏は述べます。AIはフィッシング事案に関しては、ほぼTier-1アナリスト並みの働きをしており、人間のアナリストはより複雑な作業に集中できるようになります。

おすすめ記事：サイバー犯罪のコパイロットとしてのAI

社内およびサプライヤーリスク評価

コンサルティング会社Centric Consultingのセキュリティサービスディレクター、Brandyn Fisher氏は、リスクの優先順位付けにAIを活用しています。彼はリスク評価の2つの一般的なパラメータ（確率と影響）を超えた分析を目指しています。「私はさらに深く掘り下げ、全体的なリスクを減らすだけでなく、できるだけ多くの個別リスクポイントを排除できるプロジェクトを探したかったのです」と彼は説明します。

彼はリスクレジスターをAIに入力し、ビジネスリスクを最も大きく減らし、かつリスト上の多くのポイントをカバーする5つのプロジェクトを尋ねました。「その結果、最終的に特定されたリスクの約20％に何らかの形で関係する5つのイニシアチブが得られ、プロジェクト計画や資金申請のための堅実な基盤ができました」と彼は述べます。

別のケースでは、Fisher氏はサイバーセキュリティプログラムのパフォーマンス測定にAIを使いました。フレームワークを入力し、各カテゴリのコントロールに基づく指標を求めたところ、サイバープログラムの包括的な指標セットが得られました。

さらに彼は、経営層や取締役会に響く指標、つまり技術的な詳細に深入りせずストーリーを伝えられる指標についてAIに助言を求めました。結果は彼の選択を裏付け、さらに考慮すべき追加指標も特定されました。例えば、

• 設定逸脱の修正にかかる時間、
• 新しいアセットのログをSIEMシステムに組み込むまでの時間、
• セキュリティ付帯契約を締結しているサービスプロバイダーの割合、
• 訓練や実際のインシデント後にインシデント対応計画を更新するまでの時間、などです。

「私は今でも毎日詳細なKPIを監視していますが、今ではこの洗練された指標セットを使って、全体像を必要とする人々に私たちの現状や進捗を伝えられるようになりました」とFisher氏はまとめます。

サプライヤーのリスク管理という手間のかかる業務でもAIは支援できます。CriblのLyons氏は、プロセス改善のためにAIを活用しています。

Criblは毎年、数千の質問がある多くのアンケートに対応しなければなりません。そのためCISOのチームはAIに自社のナレッジベースへのアクセス権を与え、回答を自動化しました。Lyons氏によれば、回答の正確性はかなり高いとのことです。彼らは回答が正確かつ最新であることを確認するためのフィードバックループも設けています。

Lyons氏は、このボットによってチームが1～2人分拡張されたと確信しています。これにより、スタッフはより質の高いドキュメント作成やナレッジマネジメントに集中できるようになりました。

おすすめ記事：AIエージェントの脆弱性

SOCにおけるTier-1調査

Lyons氏とそのチームは、SOCのTier-1調査におけるAIの可能性も探っています。そこではAI-SOCツールと社内開発機能の組み合わせを試しています。

通常、アナリストチームはIPアドレスやハッシュ値などの高度な技術情報を「人間の技術言語」に翻訳する必要があります。AIは、ログイン試行、VPN利用、位置情報、IPアドレス、ユーザーエージェントなどのイベントの相関を支援し、これらの情報をシンプルで自然な言葉で提示します。（jd）