2024年5月22日

近年注目を集めているChat GPTなどの大規模言語モデル（LLM）。NECでは今回、このLLMを活用したセキュリティリスク診断技術を開発しました。この技術は、セキュリティの専門家でなくても、効率的かつ手軽にセキュリティを運用できる技術だといいます。その詳細について、研究者に話を聞きました。

LLMとの対話からシステムのリスク診断～対策立案までを実現

― LLMを活用したセキュリティリスク診断技術とは、どのような技術なのでしょうか？

植田：対象となるシステムのリスクを自動で分析し、LLMによってユーザにわかりやすく説明することができる技術です。セキュリティの専門家でなくても、LLMとの対話を通じてシステムの潜在的なリスクを把握し、効果的な対応策まで知ることが可能になります。

もともとNECでは、システムに対する攻撃ルート・侵入ルートを自動で分析してリスクを診断するという独自技術を保有していました。これは既に「サイバー攻撃ルート診断サービス」として事業化しています。化学プラントなどの重要インフラを扱うお客様を中心にご利用いただいてきたのですが、これまで本サービスの提供にあたっては本技術を扱えるセキュリティの専門家の存在が不可欠でした。

一方で、近年ではサプライチェーン全体のセキュリティが懸念されるようになっています。法令や規制も厳しくなっており、例えば重要インフラのサプライチェーンに連なる企業では、今年からセキュリティのリスク管理や設備導入時の審査などが要件化されるようになりました。つまり、これまでセキュリティに人員を充てることが難しかった中小企業のお客様も、対策強化に追われることになっているのです。

今回の技術は、このようなニーズに対応したものになります。LLMを活用することでNECの独自技術であるサイバー攻撃ルート診断サービスの裾野を広げ、セキュリティの専門知識がなくても、より手軽にご利用いただけるようなものになっています。もちろん、セキュリティの専門家がいるような大企業でも活用いただくことが可能です。セキュリティ業務には高い負荷がかかりますから、その稼働を軽減するツールとしても活用することを考えています。

― セキュリティにLLMを活用するアプローチは世界でも数多くみられると思いますが、NECの独自性は何でしょうか？

植田：リスクを事前に診断できるという点です。先ほどお話したように、システムに対する侵入経路を自動で分析できるというのは、他社にはない独自技術です。対して、他の多くのアプローチはセキュリティインシデントが発生した後の対応をターゲットにしています。大量のログ情報をLLMで解析して、問題の内容をユーザに提示するようなシステムですね。わかりやすく言えば、私たちNECが提示する今回の技術は「健康診断」で、他の多くの技術は「緊急手術」に注目しているようなものであると言えるかもしれません。

ただ応えるだけでなく、わかりやすく答えるLLMへ

― LLMを活用するにあたっては、何か工夫はあったのでしょうか？

水島：一般的なLLMは、何か質問をしたら、根拠はよくわからないけれども、とにかく答えを返してくれるというものであるかと思います。その答えが正しいかどうかには、常に一定の疑念が残るものです。しかし、今回はセキュリティ業務に組み込むものになりますから、ただ答えを出すだけではなく、高い信頼性と納得できる根拠の提示が必要となりました。

信頼性についてはサイバー攻撃ルート診断サービスをベースにすることで担保できましたが、問題となったのはその診断の内容をいかにLLMに解説させるかという点でした。本来、このサービスは専門家がお客様にヒアリングをしたうえで分析を行い、その結果をお客様にもわかるようなレポートにまとめていくという工程をたどります。専門家がネットワーク図やさまざまな情報を読み解いて言語化していくのです。今回の技術では、LLMがこうした高度な解説を出力できるように、何度もトライ＆エラーをしながらチューニングを重ねていきました。その結果、専門家に匹敵するほどの精度のレポートが出力できるようになっています。

また、より効率的な診断ができるようになっている点も大事なポイントです。今回の技術によってレポートを出力するまでの時間は、専門家が工数をかけて分析から報告まで行う場合の時間と比べると約60%も短縮することが可能になっています。

岸本：新しい脆弱性の検出やユーザによる構成変更などによって、リスクは日々変わっていきますから、セキュリティの診断はなるべく期間を空けず定期的に細かく見てあげることが重要です。そのためにも、報告にかかるまでの時間を短くして手軽にするということには大きな意味があります。

また、報告においてはセキュリティの診断結果を細かく網羅するのではなく、注意すべき点を見定めてわかりやすく示すことが重要になります。これは、専門家が普段からレポーティングの際に行っていることでもあります。単純にリスク値の比較や詳細なネットワークのトポロジーを羅列するのではなく、情報を適度に抽象化したり取捨選択したりすることで、はじめてユーザが理解しやすいレポートになり得るのです。

こうしたノウハウや暗黙知は、実際にお客様と対面してサービスを提供した経験のある水島と議論しながらアルゴリズムに落とし込んでいきました。どこから攻撃が発生してどこに到達するであるとか、このあたりに危ないものがあるというポイントが一目でわかるような形で図示するなど、効果的な可視化の方法を検討して実装しています。これにより、セキュリティに詳しくないユーザでも専門家に匹敵するレベルのレポートが出力できるようになりました。


植田：加えて、化学、金融、医療など各業界において注意すべき点は変わってきます。各管轄の省庁から出されているセキュリティガイドラインによって注力すべき点や重視するポイントは異なりますので、それぞれにあわせた分析やレポーティングというのも考えているところです。

NECのノウハウやセキュリティ技術をLLMに統合する

― 今後、本技術はどのように展開していくのでしょうか？

植田：現在は実証を兼ねて社内での利用を開始したところですので、今後は状況を見ながら機能を拡張しつつ2024年中に完成させることをめざして研究を進めています。


水島：機能の拡張という話でいうと、サイバー攻撃ルート診断サービス自体にもまだまだ拡張の余地があると思っています。というのも、現段階で本サービスが対象としているのは、分析から報告までの自動化です。分析の前段階で行う情報収集などは、まだ専門家が工数を割いて対応しなければなりません。これに対し、LLMを活用することで情報収集まで自動化するようなことが実現できれば、さらなる効率化につなげていくことができます。専門家は分析時の条件設定などの作業に専念することができるようになるので、お客様は社内リソースを有効に活用することができるようになるでしょう。もしかしたら、その条件設定でさえ、LLMがサポートするような仕組みもつくることができるかもしれないと考えています。


岸本：そうですね。同時に、セキュリティにおいてはリスクを把握してどんなに対策を実施したとしても、100点満点の安全の実現は難しいという問題が残ってしまいます。そういった意味でも、お客様の安心を確保するためには、コンプライアンスの徹底が重要だと考えています。業界ごとに異なる法令やガイドラインをきちんと遵守できているかどうかという点は、一つの有効な基準になります。これらをリスト化して、うまくチェックできるようなシステムであったり、なぜその基準が必要なのかしっかりとわかりやすく説明したりできるような機能というのもLLMの中に組み込んでいこうと考えているところです。


植田：現在はサイバー攻撃ルート診断サービスをLLMと連携させていますが、NECには他にもさまざまな独自技術を保有しています。例えばシステム設計の不備を検査するツールもその一つです。こうしたものもLLMにうまく統合させながら、わかりやすくお客様に説明できるようなシステムをつくるというのも視野に入れています。将来的には、NECのノウハウや技術が詰まったセキュリティの専門家のように、お客様に寄り添ってアドバイスできるようなLLMを実現していけたらと思っています。

NECの最先端技術一覧へ戻る