サイト内の現在位置

Windowsフォレンジックの効率化とAIエージェントによるサイバー脅威インテリジェンス生成～Hardening Designers Conference 2024～

NECセキュリティブログ

2024年7月22日

NECサイバーセキュリティ戦略統括部　セキュリティ技術センターの加来、勝瀬です。7/4(木)～7/6(土)に開催された「Hardening Designers Conference 2024」 new window [1]にて、「Kibanaダッシュボードを活用したWindowsフォレンジックの効率化」、「AIエージェントによるサイバー脅威インテリジェンス生成」について講演しましたので、本ブログでも紹介します。

本ブログで紹介するのは、DAY2 7/5（金）の午後に開催された「Tech Showcase」と呼ばれるセッションで発表した内容になります。それぞれ講演タイトルを「Windowsフォレンジック」と「サイバー脅威インテリジェンス生成」としておりトピックは異なりますが、いずれも普段の業務の中で感じた課題と、解決のための実践的な取り組みについてお話ししました。

Kibanaダッシュボードを活用したWindowsフォレンジックの効率化

本セッションでは、Kibana new window [3]ダッシュボードを活用してWindowsフォレンジックを効率化した際の手順や工夫を、実際のダッシュボードの画面を見せつつ紹介しました。
我々は普段、早急な実態解明/ビジネスの早期復旧を目的としてフォレンジックを実施しているため、「ファストフォレンジック」 PDF [4]と呼ばれる手法を実施しています。様々な対象にフォレンジックを実施しますが、Windows OSに対するフォレンジックの実施回数が最も多いです。しかし、Windows OSに対するフォレンジックには、図 1のような2つの難しいポイントがあります。そのため画一的かつ効率的に調査をすることが難しいという課題がありました。

これらの問題を解決するために、スクリプトを用いたアーティファクトのCSV形式への一括成形や、チェックリストの作成（調査項目の整理）を実施して調査手順の標準化を行いました。その後、一括成形したCSV形式のデータをElasticsearch new window [5]に投入して、Kibanaで調査項目ごとにダッシュボードを作成しました。作成したダッシュボードには、図 2のような調査を効率化するための工夫が施されています。

また、実際のインシデント対応を通して感じた課題を元にダッシュボードの継続的な改善も実施しています。個人的に、インシデント対応中に思いついた調査手法を風化させるのはもったいないと感じています。そのため、思いついた調査手法は都度ダッシュボードに反映させて、更なる効率化を引き続き図ってまいります。

AIエージェントによるサイバー脅威インテリジェンス生成

本セッションでは、サイバー脅威インテリジェンス生成の効率化を目指し開発中のAIエージェントを用いたアプリケーションについて説明しました。
我々の業務にサイバー脅威インテリジェンスの提供があります。サイバー脅威インテリジェンスとはサイバー脅威情報の収集・分析を意味し、この生成過程をインテリジェンスプロセスと言います。このプロセスには図3のような課題があることを知られており、我々は生成AIを利用したAIエージェントによってこの課題解決を目指しています。

AIエージェントとは、特定の業務に特化した処理を生成AI/LLMによって決定したコードまたはメカニズムを指します。図4のように、それぞれの処理において生成AIやDB・インターネットの情報、その他ツールを呼び出すことにより、生成AIに比べ特定の業務に沿った高品質なアウトプットを出力することが可能で、生成AIの課題であるハルシネーションを低減したり、リアルタイムの情報読み込み不可を解決したりする可能性があります。

我々はNEC欧州研究所と協力し、AIエージェントを用いたアプリケーションを開発しました。これは、AIエージェント化が最終目標であり、現状は、サイバー脅威インテリジェンス生成に特化した処理を事前に定義しています。なお、本アプリケーションには以下のような二つの機能があります。

Summarize：情報の収集・抽出・要約機能
Advanced Search：サイバー脅威情報の収集・要約・分析機能

Advanced Search機能は自然言語で質問を投げると、その質問に関する情報を収集・抽出・要約し、自然言語で回答する機能です。図5は、質問を「Emotetとは何ですか？」としたときのAdvanced Search機能とMicrosoft・Copilot new window [6]の回答を比較しており、回答内容に大きな差がないことから性能も同等と考えられます。一点、Advanced Search機能のアピールポイントをあげると、引用しているURL数がCopilotと比べて約2倍多いことが挙げられます。サイバー脅威インテリジェンス生成業務では、情報を網羅することが重要となるため、関連情報が多く引用されるほど効率化につながります。ただし、本アプリケーションは開発中であるため、特定の質問についてエラーを出力することも多々あり、あらゆる質問に対応しているという点ではCopilotの方が優れているといえます。

図 5：質問を「Emotetとは何ですか？」としたときのAdvanced Search機能とMicrosoft・Copilot[6]の回答比較（講演資料より）

また、社内にて本アプリケーションを活用しており、以下2つのようなユースケース例があります。

Summarize：脅威情報要約・登録業務の業務時間を約50%削減
Advanced Search：特定テーマ調査業務の脅威情報収集時間を約50%削減

今後も品質向上を継続し、業務の効率化を高めていきたいと考えています。

まとめ

今回のブログでは、Hardening Designers Conference 2024でご紹介した内容をお届けしました。Hardening Designers Conferenceでは、興味深いテーマの講演が多くありますので、ぜひ来年の参加をご検討ください。

本ブログが、皆様のお役に立てば幸いです。
最後までお読みいただき、ありがとうございました。