Skip to main content

AIとコンテキスト検索は防衛サイバーセキュリティをどのように強化するか

コンテキスト検索が防衛セキュリティチームにもたらす明確さ、迅速さ、および洞察

著者

Crossley McEwen

blog-How_AI_driven_RAG_&_Natural_Language_improve.jpeg

今日の防衛環境では、情報は豊富にありますが、洞察は捉えどころのないことも多くあります。すべての接続されたシステム、エッジデバイス、デジタルタッチポイントからデータが流入する中、セキュリティチームは依然として、基本的な質問に答えるために、断片化されたインプットをつなぎ合わせ、参考となる情報を探し、サイロをナビゲートすることに多くの時間を費やしています。

防衛サイバーセキュリティにおいて、断片化されたセキュリティログの調査に費やされる1分1分は、敵対者につけこまれる1分となります。相関関係の見落としや対応の遅れは、リーダーシップの信頼を損ない、リスクを増大させ、作戦上の優位性が失われます。

今日のセキュリティ運用チームは、断片化されたシステム全体で指数関数的に増加するデータ量を監視するという任務を負っていますが、多くの場合、情報を行動に移すために必要な時間、コンテキスト、人員が不足しています。脅威はより高度化し、機械的速度で移動するため、従来の検索・分析プロセスでは不利になります。調査には時間がかかり、アラートはトリアージされません。そして、不完全なデータに基づいて意思決定が行われ、任務とチームが危険にさらされます。

手動プロセスから瞬時の洞察へ

防衛分野のセキュリティチームにとって、現状を持続することは不可能です。アラートは何千件も届き、アナリストを支援するために設計されたツールは、しばしば明確さよりも複雑さを生み出します。ネットワーク、デバイス、ドメイン、分類境界を越えてイベントを関連付けることは、依然として時間がかかり、脆弱です。

データの量だけでなく、断片化も問題です。多くの調査では、アナリストがシステム間を行き来し、複雑なクエリを作成し、ログ、アラート、テレメトリのタイムラインを手作業でつなぎ合わせる必要があります。これは非効率的であり、さらに悪いことに、重要な洞察が届くのが遅すぎて、結果に影響を与えられないこともあります。

MODとそのパートナーはこの点を理解しています。脅威が機械的速度で進化する中、その必要性はかつてないほど明確です。意思決定者は、検出から行動までの迅速なプロセスを求めています。つまり、どのようなデータを収集するかだけでなく、インテリジェンスにアクセスする方法も再考する必要があります。

ミッションの言語を理解するインテリジェンス

次世代のセキュリティ運用は、ダッシュボードを追加することではなく、コンテキストインテリジェンスに基づいています。これは、単に検索結果を返すのではなく、答えを提供するシステムです。Retrieval-Augmented Generation(RAG)や自然言語検索といった技術がこの変革を推進しています。

アナリストや非技術者にさえ複数のプラットフォームにまたがるシグナルをつなぎ合わせる作業を強いるのではなく、RAGはシステムが信頼できるリポジトリから関連データを直接取得できるようにします。リアルタイムインテリジェンスに基づいて洞察を導き出し、ハルシネーションやブラックボックスロジックは一切ありません。これにより、アラート疲れが軽減され、チームは誤検知ではなく検証済みの脅威に集中できるようになります。

侵害の開始点はどこなのか、どのシステムが影響を受けたのか、この活動が異常なのか、それとも日常的なものなのかを把握したいとお考えですか?システムはログを取得するだけでなく、チームのためにストーリーを組成します。

これらは仮定の機能ではありません。すでに運用されており、英国国防省の実際のチームを実際の環境でサポートし、より効果的にトリアージを行い、アラート疲労を軽減し、アナリストの役割を調査者から意思決定イネーブラーへと高めています

代替ではなく、イネーブラーとしてのAI

防衛分野では、AIが任務を成功に導く人間の専門知識にとって代わるのではないかという懸念が一般的です。しかし、セキュリティにおけるAIの真の力は、置き換えではなく、増幅です。

Contextual AIは、人間の判断を覆すものではなく、強化するものです。手動によるトリアージの負担を軽減し、イベント間の隠れた関係を浮き彫りにし、新たな脅威に手動プロセスよりも早くフラグを立てることができます。重要なことは、機械を人間より信頼することではなく、人間に考える時間、対応する時間、そして主体的になる時間を与えることです。

アクセス性の高いインテリジェンスのためのチャットボットと自然言語

自然言語の機能により、防衛職員は全く新しい方法でセキュリティ・データとやり取りできるようになります。平易な言葉とチャットボットを使って脅威を調査できるなら、複雑なクエリ構文を熟知する必要はありません。「過去24時間以内に外部IPから失敗した認証試行をすべて表示」といったリクエストでも、即座に適切な結果が得られます。英国国防省(MOD)はすでにチャットボットの可能性を探っており1、英国防科学技術研究所では、現場の戦術的軍事ユーザー向けに、このようなデジタルアシスタントを開発しています。これにより、兵士はデータシステムとテキストベースの会話を行い、任務の成功に必要な情報や回答を見つけることができます。

AI搭載のチャットボット、たとえばElastic AI Assistant for Securityは、セキュリティに関する質問を適切なクエリに変換し、アラートのコンテキストを提供し、ベストプラクティスに基づいて次のステップを提案することで、アナリストの調査をガイドします。これにより、承認されたすべてのユーザーの効率が向上し、セキュリティに関する意思決定への参加が拡大します。現場の指揮官や非技術スタッフは、高度な専門知識を持つ仲介者を必要とせずに、必要に応じてセキュリティシステムを直接調査できます。これまでセキュリティデータを専門チーム内に隔離していた技術的な障壁が低くなります。Tier 1 SOCアナリストは、ほとんどトレーニングを受けることなく、より迅速に作業できます。

大規模言語モデル(LLM)によってコンテキストの理解が促進され、調査が加速され、応答時間が短縮されるため、意思決定を分散できます。セキュリティインテリジェンスは、必要な場所にどこにでも持ち込むことができます。

取締役会での承認にとどまらず、実戦で鍛えられたセキュリティインテリジェンス

Elasticのセキュリティ機能は、NATOのLocked Shields演習で厳格なテストを受けました。これは、世界最大級の実戦式サイバーセキュリティシミュレーションの一つです。演習期間中、ブルーチーム(防衛サイバーセキュリティユニット)は、OSイベントログ、PowerShellログ、ファイアウォール/IPS/IDSデータ、脅威インテリジェンスフィード、エンドポイント検出および対応機能など、複数のデータソースを統合した包括的なセキュリティアーキテクチャをデプロイしました。この環境は、実際の防衛オペレーションを反映しており、Elastic Common Schema(ECS)は、異なるデータソースを正規化して、検出ワークフローを合理化します。セキュリティチームは、複雑な分析タスクを簡素化する事前設定されたダッシュボードを通じて、デジタル資産全体を統一的に可視化しました。

保護機能には、マルウェアとランサムウェアの防止、悪意のある行動分析、メモリ脅威の保護、および資格情報の強化が含まれていました。すべての検出ルールがMITRE ATT&CKフレームワーク2にマップされており、チームは敵の戦術と手法を理解しながら、防御範囲を測定できます。この演習では、防衛上の回復力もテストされました。レッドチーム(高度に継続的な能力を持つ巧妙な脅威アクターをシミュレートするチーム)は、セキュリティツールを無効化しようと積極的に試みました。エージェントの改ざん防止機能などにより、直接攻撃を受けても監視の制御を維持できました。これは、攻防の激しい環境において重要な機能です。

検出から意思決定まで:より速く、よりスマートに、同じ場所で

結局のところ、現代の防衛には最新のインテリジェンスが必要です。可視性の向上だけでなく、成果の向上も求められます。データを増やすのではなく、適切な答えを適切なタイミングで得ることが求められます。

AI駆動の検索は、単なる技術的なアップグレードではなく、体制の転換です。アナリストがツールの操作に費やす時間を減らし、戦略的な意思決定に多くの時間を費やせる世界を実現します。意思決定者は、目の前の洞察がタイムリーで関連性があり、信頼できるものであることを認識し、自信を持って行動できます。

防衛部門は、今やセキュリティ境界内でセキュリティインテリジェンス機能にアクセスできます。AIのパワーとデータ主権のどちらかを選ぶ必要はもうありません。コンテキスト認識型言語モデルをセキュリティ境界内に組み込むことで、チームは膨大なデータ量を、お客様の言語で話す意思決定の優位性に変換します。

さらに詳細をご覧いただけます。コンテキスト検索、AI駆動の脅威発見、そして主権データ管理が、防衛分野のセキュリティリーダーの意思決定をどのように変革しているのかを見てみましょう。ウェビナーシリーズ「ミッション・アドバンテージ:防衛リーダーとの戦略的対話」にぜひご参加ください。

防衛部門に関するサイバーセキュリティシリーズの他の投稿もご覧ください。

トピックについてさらに詳しく知りたい方はこちら:

出典:1. UK Defence Journal, “Ministry of Defence using AI to improve productivity,” 2024.2. TechTarget, “What is the Mitre ATT&CK Framework?,” 2024.

本記事に記述されているあらゆる機能ないし性能のリリースおよびタイミングは、Elasticの単独裁量に委ねられます。現時点で提供されていないあらゆる機能ないし性能は、すみやかに提供されない可能性、または一切の提供が行われない可能性があります。

このブログ記事では、それぞれのオーナーが所有・運用するサードパーティの生成AIツールを使用したり、参照している可能性があります。Elasticはこれらのサードパーティのツールについていかなる権限も持たず、これらのコンテンツ、運用、使用、またはこれらのツールの使用により生じた損失や損害について、一切の責任も義務も負いません。個人情報または秘密/機密情報についてAIツールを使用する場合は、十分に注意してください。提供したあらゆるデータはAIの訓練やその他の目的に使用される可能性があります。提供した情報の安全や機密性が確保される保証はありません。生成AIツールを使用する前に、プライバシー取り扱い方針や利用条件を十分に理解しておく必要があります。

Elastic、Elasticsearch、および関連するマークは、米国およびその他の国におけるElasticsearch N.V.の商標、ロゴ、または登録商標です。他のすべての会社名および製品名は、各所有者の商標、ロゴ、登録商標です。

Elastic Cloudの無料トライアルに登録

お好みのクラウドプロバイダーを選び、多彩な機能を組み込んでデプロイできます。Elasticsearchを開発するElasticが、クラウド向けのElasticクラスターで高度な機能とサービスを提供します。

無料トライアルを始める