Tech Blog #62 - ChatGPT + Microsoft + Security GPT-4をフル活用したMicrosoft Security Copilotとは

Microsoftのビジネスモデル

今回のメインテーマはChatGPTおよびGPT-4をフル活用したMicrosoftの新しいセキュリティ製品『Microsoft Security Copilot』について取り上げます。ですがその前にMicrosoftのビジネスがかなり順調で、特にセキュリティに関してものすごく好調ということをご紹介します。

2022年のマイクロソフトの年間売上は198.27Bドル (約25.8兆円)で、2021年から17.96%増加という結果でした。売上の内訳を見てみますと、もっとも高いのがMicrosoft Azureを中心としたサーバーおよびクラウド関連で67.32Bドル(約8.75兆円)、続いてMicrosoft 365関連が44.86Bドル(約5.83兆円)、そしてWindows関連が24.76Bドル(約3.22兆円)と続きます。1

さらに、Microsoftはサイバーセキュリティの収益だけで20Bドル(約2.6兆円)もあります。2020年と比較と比べて約2倍(100%増)、2021年からは34%増と急成長しています(下図左側 7 )。2

そして、こうした潤沢な資金を活かしてセキュリティソリューションへの積極的な投資や買収を行い、さらなる強化を図っているのです。(下図右側：Source CB Insights) 3

Microsoftにはクラウド(Azureなど)からエンドポイント(Microsoft 365、Windowsなど)にいたるまで、さまざまな製品があり、セキュリティ関連だけでも多数提供しています。ざっと上げるだけでも以下のような製品をリリース。そしてこうしたセキュリティ製品群が今回ご紹介するSecurity Copilotと連携することで、AIを利用したセキュリティインシデント対応の自動化が実現できるようになりました。

クラウド

• Microsoft Purview: Azure上にあるデータやオンプレミスにあるデータをスキャンし、メタデータをもとにしたデータのカタログを作成し、機密性のあるデータを自動的に分類 4

• Microsoft Defender for Cloud: 2021年にAzure Security Centerから名称変更、マルチクラウド・ハイブリッククラウドを含めたクラウド環境全体を保護

• Azure Active Directory: クラウドとオンプレミスのアプリケーションに対するID管理、認証、アクセス管理を提供

• Azure DDoS Protection: Azure上の仮想ネットワーク内で実行されている環境をDDoS攻撃から保護

• Azure Firewall: Azureで実行されているワークロードに対するアクセス制御を提供

• Azure Web Application Firewall: SQL インジェクションなどの一般的な Web ハッキング手法や、クロスサイトスクリプティングなどのセキュリティ脆弱性から Webアプリを防御するためのサービス

エンドポイント

• Microsoft Azure Sentinel: SIEM と SOAR 両方の機能を備えたログ収集・解析ソリューション

• Microsoft Entra: (1) Azure AD, (2) Permissions Management, (3) Verified ID の 3 つをまとめてバンドル化したもので、Azure ADのアドオンのようなかたちで利用する

• Microsoft Defender for Endpoint: Windows 10に標準で搭載され、OS の挙動に関するシグナルを収集・処理し、セキュリティイベントやエンドポイントの不審な挙動を記録

• Microsoft Defender for Office 365: Exchange Online用のメールフィルタリング

• Microsoft Defender for Identity: オンプレミスの Active Directory やドメインコントローラーのトラフィックを収集・分析し、侵害されたID、悪意のあるアクションの識別、検出、調査を実施

• Microsoft Priva: Microsoft 365 のアドオンとして動作し、クラウド上のファイルに含まれる個人情報を検出 5

• Microsoft Intune:モバイルデバイス管理 (MDM) およびモバイルアプリケーション管理 (MAM) ソリューションで、モバイルデバイス(PC,スマホ,タブレットなど)のセキュリティとデータ保護を強化

• Windows Defender Firewall: Windows OSのファイアウォール

• Microsoft Information Protection: データの分類、ラベル付け、保護、および監視を行うためのソリューションで、企業内外で共有されるデータの保護を強化

このようにMicrosoftはクラウドからエンドポイントまで幅広い製品ポートフォリオを有し、ビジネスとして非常に強い立ち位置にいるといえます。そして、さらに、ここにOpenAIのGPT-4を利用したCopilotを投入してきました。

Microsoft Security Copilotとは

OpenAIが開発したChatGPTはわずか2ヶ月で1億ユーザーを突破し、獲得ユーザー数が史上もっとも早かったことで有名です。6

Microsoft Security CopilotはこのChatGPTで利用されているGPT-4モデルをベースにしています。さらに、Microsoftが独自に構築したサイバーセキュリティに特化したモデルによる強化がほどこされています 。これは先ほど述べた豊富なセキュリティ群をもとになんと1日あたり65兆件のシグナルに基づいた脅威インテリジェンスを独自に組み合わせているのです。

なお、GPT-4をバックグラウンドで利用しているということで、GPT-4を経由して機密情報が流れてしまうことが危惧されますが、MicrosoftはSecurity Copilotについて以下のように強調しています。

• Your data is always your data, yours to own, yours to control, yours to use as you see fit. (あなたのデータは常にあなたのデータであり、あなたが所有し、あなたがコントロールし、あなたが望むように使用することができる)

• Your data isn’t used to train foundational models that others can use. It stays within your organization. (あなたのデータは、他の人が使える基礎的なモデルのトレーニングに使われることはありません。それはあなたの組織内にとどまる)

Security Copilotのユーザーインターフェース

Security CopilotのUI(ユーザーインターフェース)は、ChatGPTのようにプロンプト(Botに対する質問や提案)を通じて行います。上記のデモ画面ではLog4jの脆弱性を見つけだし、Log4jがどのようなものかをSecurity Copilotが提示しています。ここからさらにユーザーは組織内のどのデバイスが影響を受けるのかといった内容をSecurity Copilotに問い合わせることができます。

現状のGPTと同様、Security Copilotも常に正しい答えを返してくるわけではありません。実際に上図のように存在しないWindows 9を含む回答を返してきました。そのため、Microsoftはプロンプトに修正を加えることで改善していく機能を実装し、さらに、複数のユーザーを追加して共同作業できるように改善を加えています。こうすることでまるで社内共通のノートブックのようにナレッジを追加していくことができるようになっています。

ランサムウェアを見つけ出すデモ

上記の図は、ユーザー (Devon Torresさん) がOneNoteに含まれていたマルウェアを通じてランサムウェアに感染したことが Security Copilotによって文章と図によってまとめられています。つまり、Security Copilotがログファイルやアラートを解釈し、何が起こったかを要約してくれています。

さらに、Security CopilotにはPrompt Book (プロンプトブック)という機能があり、インシデント対応の自動処理をコレクションしておくことが可能です。プロンプトブックは自社のナレッジデータベースのようなものになります。例えば、誰かがSecurity Copilotを利用してマルウェアの解析に成功した場合、それをプロンプトブックにコレクションしておくことで、今度は別の人がSecurity Copilotに依頼すると自動的にマルウェア解析に成功します。こうしたコレクションが増えてくることでセキュリティインシデント対応は間違いなく効率化すると思います。

たとえ該当するセキュリティスキルを持ち合わせていない担当者でもSecurity Copilotによってマルウェア解析を成功させることが可能になりますし、同じ作業は共通のナレッジ(プロンプトブック)として共通化できるようになります。

インシデントレポートの自動作成

上記の図(左側)はSecurity Copilotでインシデント調査が進んできた様子を表しています。登場人物が増えてきて、関係性が複雑になってきていることが分かります。このままでもレポートできそうではありますが、Security Copilotのプロンプトでスライド1枚にまとめてと依頼すると分かりやすい形でまとめてくれます(図 右側)。さらにここからダウンロードまでできてしまう親切設計です。おそらくこの他にもさまざまなレポート形式を依頼することができそうなので、実際に触れるようになったら試してみたいと思いました。

まとめ

全体的にMicrosoftとSecurity Copilotの宣伝のような記事になってしまいましたが、回し者ではありません (笑)。デモを見た時に、「これはすごい製品が出てきたぞ」と思い、その興奮のままに書いてしまいました。

Security Copilotの紹介デモはMicrosoft Secureからご覧になれます。ご興味ありましたらこちらからぜひ！

参考リンク

1 https://fourweekmba.com/microsoft-revenues/

2 https://www.cnbc.com/2023/03/28/microsoft-launches-security-copilot-in-private-preview.html

3 https://www.cbinsights.com/research/report/famga-big-tech-cybersecurity/

4 https://blog.jbs.co.jp/entry/2022/09/30/171513

5 https://japan.zdnet.com/article/35193148/

6 https://businessday.ng/technology/article/chatgpt-is-fastest-app-to-hit-100m-users-in-history/