Japan

サイト内の現在位置

効率化の先へ──生成AIがひらく価値創出の可能性

社会的な人手不足はサイバーセキュリティの分野にも及んでいる。限られた人員で、いかに品質の高いセキュリティ運用を実現するか――。高度化と効率化の両立は、喫緊の課題である。NECは日本独自の環境を考慮した生成AI「cotomi」を活用し、内部監査業務の報告書作成時間を70%削減するなど、成果を上げつつある。しかし、高度化や効率化はあくまで出発点に過ぎない。本稿では、NEC Corporate Executive CISOの淵上真一氏が語る、「AIによって得たリソースを、どう再配分し、新たな価値を生み出すか」という“次の挑戦”に迫る。

■深刻なセキュリティ人材の不足

悪質化する脅威にいかに対応するか。従業員のセキュリティスキルや意識を高めるにはどうすればよいか。ROI(投資対効果)をどのように見極めるか。サイバーセキュリティにはさまざまな課題がある。

運用の効率化も課題の1つである。いち早く攻撃の兆しを見つけ、被害を未然に防ぐ。限られた人員で、それを実行するためにセキュリティ運用をできるだけ効率化したいと考えている企業やセキュリティ担当者は多い。もちろん運用品質は犠牲にできない。効率化は高度化との両立が前提だ。

NECもセキュリティ運用の高度化と効率化の両立に取り組んでいる。NECグループのCISO(Chief Information Security Officer)を務める淵上 真一は、次のように話す。

「CISOのミッションとしては、大きく3つあります。1つ目はサイバー攻撃からNECグループ自身を守ること。NECの持つ端末はグループ全体で約30万台。サーバは社内向けだけでも1万台以上を管理しています。これらを確実に保護しなければなりません。2つ目はセキュア開発の実践です。NECはシステムインテグレータですから、提供する製品やシステム、サービスには適切なセキュリティを実装しなければなりません。そして3つ目は、万が一お客様などにインシデントが発生してしまった場合の支援です。これらのミッションを遂行するために、NECはセキュリティ専門組織を立ち上げて体制を整え、セキュリティ人材の育成にも積極的に取り組んでいます。しかし、それでも人手が足りない。セキュリティ運用の高度化と効率化の両立は、常に重要なテーマです」。

■攻撃者に悪用される生成AI

セキュリティ運用の高度化と効率化の両立にはさまざまな方法が考えられるが、NECが積極的に活用しているのが生成AIである。AIという言葉が登場したのは1950年代中盤。その後、ブームが何度かあった。ブームのとらえ方は人によって異なるが、生成AIも含めた現在のAIブームは3回目とも4回目とも表現される。

近年のAIの進化とセキュリティとの関係、とりわけサイバー攻撃に与えている影響を整理してみる。

NEC
Corporate Executive CISO
兼 NECセキュリティ株式会社 取締役
淵上 真一

ビジネスや生活など、私たちの身の回りでは、まず深層学習(Deep Learning)による予測や分類などの活用が進んだ。医療における画像診断、小売業の顧客セグメンテーション、マーケティングのレコメンドなどが主な例だ。「サイバー攻撃への悪用も見られました。しかし、目的ごとに予測モデルやアプリケーションを個別に作り込む必要があったことから、従来の悪用は限定的だったと考えられます」と淵上は話す。

だが生成AIが普及すると、この状況が大きく変わった。

大規模言語モデル(LLM)による流ちょうな会話、テキスト、音声、画像、センシングデータなど、複数の情報を同時に処理できるマルチモーダル化といった生成AIの特長をビジネスや社会の価値につなげるべく、多くの企業や人が活用に取り組んでいるのと同様に、サイバー攻撃をする側も生成AIの可能性に目を向けている。例えば、生成AIを使えば言葉遣いが自然で違和感のないフィッシングメールを自動生成することが可能だ。また、生成AIはプログラミングのソースコードの生成も可能なため、プログラミングスキルが未熟な攻撃者でも高度な攻撃を仕掛けられるようになるといわれている。

「生成AIはプロンプトを共有すれば、誰でも同じ結果を得られます。また、攻撃の手順書やマニュアルも容易に生成できます。このような特徴を活かして、攻撃者は攻撃の効率化を図ったり、体制を拡大したりして、工数をかけずに多くの攻撃を仕掛け、成果を拡大しようとしています」と淵上は言う。

■守る側も生成AIを活用すべき

しかし、生成AIを活用できるのは攻撃者だけではない。私たち“守る側”も生成AIを使ってセキュリティ対策の高度化と効率化を図ることができる。

では何ができるのか。一部の先進的な企業の例を紹介しよう。まず高度化の例としては、金融における不正な取引の自動検出。産業制御システムにおける不規則な挙動の検知。より多くの情報を収集して分析することで脅威インテリジェンスの質を高めるなど、生成AIを活用することで高度化が行える。

効率化についても、生成AIは多くのことを実現できる。例えば、社内の問い合わせ対応やヘルプデスクの対応。トレーニングのためのフィッシングメールを生成。さらにはプログラム開発や、コンテンツ作成、カスタマーサポート、ソフトウェア開発、教育・研修、デザイン、データ分析など、幅広いセキュリティ業務で既に生成AIによる効率化の事例が生まれている。

■内部監査報告書の作成時間を70%削減

先に述べたとおり、NECもセキュリティ対策に日本独自の環境を考慮したNEC開発の生成AI「cotomi」をはじめとして、AIを積極的に活用している。

「例えばグループ会社に対するセキュリティ監査業務では、内部監査報告書のベースを生成AIで自動生成することで作成時間を70%削減(NEC独自調査)。担当者ごとのスキルの違いによりばらつきがあった、内部監査報告書の作成品質の向上に成功しました」と淵上は紹介する。

このような成果を受け、NECはセキュリティ業務におけるAIの適用範囲を拡大するための検証に取り組んでいる。ユースケースは攻撃側(Red Team)の視点と、防御側(Blue Team)の視点に大別できるが、それらの中から代表的なものをいくつか紹介する。

【攻撃側の視点での活用(Red Team)】

  • (1)
    ペネトレーションテストの自動化
    NECは、グループ内にセキュリティ上の脆弱性が潜んでいないかを確認するために、グループ企業のシステムに侵入を試みるペネトレーションテストを実施している。これまでは基本的に手作業で行っていたのだが、その一部をAIで自動化できないかと考えている。実現すればペネトレーションテストにかかるコストを抑え、テストの頻度を高めることもできる。
  • (2)
    攻撃調査の自動化
    攻撃者の動向把握にもAIを活用したいと考えている。具体的には、ディープウェブやダークウェブなど、一般的な検索エンジンからはたどり着くことができない情報の調査の自動化である。運用を効率化するだけでなく、調査結果を活用して脅威インテリジェンスの高度化を図ることができる。
  • (3)
    セキュリティ訓練・演習への活用
    従業員の訓練に利用する不正メールをAIで自動生成する。AIが生成した攻撃シナリオに沿って、模擬攻撃を実行する。セキュリティ訓練・演習にもAIは役立つと考えている。訓練・演習の準備にかかる工数や時間を削減できることはもちろん、人とAIが協力して多様なパターンの不正メールや攻撃シナリオを用意することで、訓練・演習がワンパターンになってしまうことを防ぎ、従業員の対応力の向上につながると期待している。

【守備側の視点での活用(Blue Team)】

  • (1)
    クエリなどの自動生成
    新しい脅威が登場すると、その脅威を防御するためにセキュリティ対策の設定を変更したりする必要がある。NECは、その作業にAIを役立てたいと考えている。
    具体的には、脅威をシステムやネットワーク内で見つけるためのハンティングクエリ、ログなどから攻撃の予兆を探す検知/検索クエリ、脆弱性のリスクを検証するためのゼロデイPoCコードなどをAIで自動生成。セキュリティ運用の効率化を図ることを計画している。
  • (2)
    検知レベルの高度化
    NECは、ネットワークトラフィックを監視し、異常なふるまいや攻撃の兆候を検知するためのNDR(Network Detection and Response)を独自に構築している。このNDRとAIを連携させることで、脅威の検知レベルを高められないか検証を行っている。
  • (3)
    セキュア開発への活用
    NECのセキュリティのミッションの1つにシステムインテグレータとしてのセキュア開発の実践があることを冒頭で述べた。そのセキュア開発の実践においてもAI活用の検証を行っている。ソースコードのチェック、セキュアなソースコードの生成をAIで行うことで、開発工程で脆弱性をつくり込んでしまうリスクを抑止するのである。
  • (4)
    セキュリティ対策の立案
    リスクシナリオを立て、そのリスクを分析し、対応策を立てる。セキュリティ対策の立案においてもAIは有効活用できる。「セキュリティ訓練・演習への活用」の項目の際にも述べたが、AIによってリスクシナリオを作成するなどして、人とAIが協力して多様なリスクを想定すれば、対策の質を効率的に高められる。

このようにAIは、セキュリティ運用の効率化や対策の高度化に非常に有効となる。

■AI活用の本質への挑戦

このようにNECは、AIをセキュリティ業務に活用し、高度化と効率化の両立を図っている。しかし、淵上は、現状を「通過点」と言う。

もともとNECがAIを通じて実現しようとしているのは、単なる業務の効率化ではない。AIの活用によって得た時間や人的資源を、ビジネスインパクトの創出、リスクマネジメントの強化、プロアクティブな防御体制の実装、そして、AI活用そのものの高度化と定着へと再配分し、ビジネスプロセスの最適化を図ることこそがAI活用の本質だととらえている。

「AIの活用で満足してはいけないと自分に言い聞かせています。AIによって業務の高度化と効率化を実現し、人材や時間などのリソースが生まれたとき、次に問われるのは、そのリソースをどう使うかです。セキュリティにおける“守り”の強化だけでなく、ビジネス全体の変革にどう貢献するか。個別の業務の高度化と効率化を超えて、ビジネスプロセス全体の最適化につなげていきたいと考えています」と淵上は強調する。

例えば、先に紹介したようにNECは内部監査報告書の作成時間を70%削減した。それによって生まれたリソースは、さらなるAI活用の仕組みづくりや、プロアクティブなリスクマネジメントの強化へと再配分しているという。また、従業員の教育訓練をより戦略的に設計しなおしたり、サプライチェーン全体のセキュリティガバナンスを再構築したりするなど、これまでなかなか手が回らなかった取り組みにも着手する構えだ。「工数を削減し、さらに深いリスクマネジメントを行う。セキュリティ訓練の内容を刷新し、組織全体のレジリエンスを向上させる。このような積み重ねが、結果的に事業そのものの競争力向上につながるはずです」と淵上は続ける。

AIの活用は、単なる効率化の手段ではなく、企業としての意思決定力や回復力、さらには競争力を高めるための“起点”。NECの取り組みからは、その強い意志を感じる。cotomiという生成AIを擁するNECが、生成AIをセキュリティにどう活用し、その先にある価値創出と組織変革をいかに実現するのか──。今後の展開に期待して欲しい。