Google は今週開催された Google Next '23 イベントで、PaLM 2 基本モデルを使用して、生成 AI Duet AI を、ポスチャ管理、脅威インテリジェンスと検出、ネットワークとデータのセキュリティを含む Google Cloud のセキュリティ ソリューションに適用する方法を明らかにしました。
参照: Workspace における Google AI:ゼロトラストとデジタル主権(TechRepublic)
Google Cloud のセキュリティ担当副社長兼ゼネラルマネージャーである Sunil Potti 氏が先週のイベント前記者会見で説明したように、同社は Duet AI モデルを次の 3 つの分野で使用しています。
- GoogleのMandiant脅威インテリジェンス部門が生成した脅威インテリジェンスを分析・要約します。この機能は現在プレビュー段階ですが、今年中に一般公開される予定です。
- GoogleのChronicle Security Operationsプラットフォームでは、作業負荷を軽減し、脅威の発見と対応を迅速化します。現在プレビュー段階ですが、今年中に一般公開される予定です。
- Chronicle のもう 1 つの新機能では、Mandiant の専門家が組織の最新の最前線情報を解析し、検出されていない攻撃を積極的に探します。
「私たちは、生成AIがセキュリティに真の価値をもたらすことができる(これら)3つの分野で取り組んできました」とポッティ氏は記者会見で述べた。
ジャンプ先:
- Mandiant 脅威インテリジェンスの Duet AI
- Chronicle セキュリティ運用のための Duet AI
- クロニクル誌がマンディアントハント特集を組む
- PaLM 2でDuet AIを強化
- セキュリティへのAIの応用:火に火をもって対抗する
Mandiant 脅威インテリジェンスの Duet AI
ポッティ氏は、Googleが2022年に買収した脅威インテリジェンス部門MandiantをDuet AIで強化し、新たな脅威の検知を加速させ、コードを含む様々な脆弱性の可視性を向上させると説明した。また、Mandiantの知見を脅威アクターが用いる戦術、手法、手順へと変換し、自然言語で分かりやすい形式で脅威インテリジェンスの要約を提供する(図A)。
図A
Chronicle セキュリティ運用のための Duet AI
Duet AI を Chronicle に統合することで、セキュリティ運用のワークロードとツールの急増に明示的に対処し、暗黙的に SOC チームにおけるセキュリティ オペレーターの不足にも対処できると Potti 氏は説明しました。
「チームに十分な人材や人員がいると言うCISOに出会ったことはありません。ジェネレーティブAIは、人材を拡大する機会を数多く提供し、レベル1のオペレーションをレベル2と同等の生産性に高めることができます」と彼は述べた。
Googleは、アナリストが自然言語クエリなどを実行できるようにしています。「セキュリティ人材のレベルアップについてお話しした際に、これはまさに好例です。Googleの統一データモデルの構文に精通している必要はありません。自然言語で質問できるのです」とポッティ氏は述べています(図B)。
図B
ポッティ氏によると、マンディアントは侵害の兆候に関する膨大なデータを生成しており、それらはDuet AIを使って要約できるという。「これにより、Duet AIを使えば何千ものインテリジェンスレポートを簡単に確認し、ユーザーや状況に最も特化したデータに要約し、レポートを受け取る対象者に合わせてカスタマイズすることが可能になります。」
Potti 氏によると、Duet AI を Chronicle に組み込むことで、セキュリティ管理者はセキュリティ ケースのあらゆる側面の概要を生成できるようになるとのことで、AI 駆動型の Chronicle プラットフォームは防御のための次のステップを推奨するとのこと。
参照:Google Cloud の調査:認証情報の急増は大きなリスクをもたらす(TechRepublic)
ポッティ氏によると、GoogleはSOCチームサービスの一環として、Duet AIをセキュリティコマンドセンターに統合し、Google Cloudにおける顧客の脆弱性を可視化し、タスクを自動化しているという。例えば、資産が攻撃に対して脆弱かどうかを判断し、悪用される可能性のあるリソースの概要を生成し、脆弱性を修正する方法を提案するといったことが可能になる。
彼によると、これらのイノベーションは、ターミナルアクセスコントローラ(TAC)のアクセス制御システムシミュレーションの新機能を拡張するもので、ユーザーのエンタープライズGoogle Cloud環境全体を監視し、脆弱性や脅威のある資産、あるいは侵害された資産を特定できる。また、組織の特権データの潜在的な漏洩や、脅威アクターによる権限昇格の可能性も探知できる。
「Duet AIとセキュリティコマンドセンターを通じて、これらの攻撃経路を要約し、セキュリティチームがそれらの経路を迅速に理解し、問題の一部を修正するための推奨手順を理解できるように支援しています。これらは、セキュリティチームが日々直面している労力を軽減するのに役立つ改善点です」と彼は述べています。
クロニクル誌がマンディアントハント特集を組む
GoogleはGoogle Next '23において、Chronicle向けの「Mandiant Hunt」を発表しました。この新機能は、Mandiantの担当者がChronicle環境上で脅威ハンティングを行い、セキュリティ運用チームが見逃している可能性のある脅威を発見します。
Google によると、Mandiant の専門家は、侵害の兆候を探す従来の自動ハンティングと並行して、堅牢で適応性の高い収集および分析戦略を使用して仮説を構築します。
参照:Mandiantはマルウェアの増殖を予測、しかし検出対策は成果を上げている(TechRepublic)
「これは、世界最高のインシデント対応調査員を擁し、お客様のセキュリティチームを強化する手段だと考えてください」とポッティ氏は述べています。「Chronicle は多様なソースからデータを取り込むため、エンドポイントデータだけでなく、ネットワークデータやアイデンティティデータも活用してクエリを実行できます。」
PaLM 2でDuet AIを強化
ポッティ氏によると、GoogleはDuet AIをセキュリティ機能向けに調整するために、Vertex AI PaLM 2を使用した。Googleは、PaLM 2はコードと数学、分類と質問への回答、翻訳と多言語能力、自然言語生成など、第1世代PaLMの高度な推論機能を大幅に改善していると付け加えた。
ポッティ氏によると、GoogleはPaLM 2をMandiant脅威インテリジェンス部門のセキュリティデータでトレーニングし、「Sec-PaLM 2」と呼ばれる生成AIモデルを作成した。このモデルはセキュリティ関連の業務支援に最適化されている。同氏は、プラグインアーキテクチャによりGoogle Cloudの顧客が容易にカスタマイズできることを指摘した。「これはイノベーションを推進し、顧客やパートナーがVertex AIガーデン内のモデルとして利用できるようにしています」と同氏は述べた。
セキュリティへのAIの応用:火に火をもって対抗する
Googleの動きは、生成AIやその他の機械学習ツールの応用をめぐって、脅威アクターと防御側の間で急速に激化する軍拡競争を反映しています。攻撃者はこれらの新しい技術を利用して、マルウェアを作成し、ブランドを偽装し、様々なソーシャルエンジニアリングのエクスプロイトを実行しています。
チェック・ポイント・ソフトウェアは約10年にわたりAIを活用しており、70のエンジンのうち約40にAIと機械学習が採用されています。チェック・ポイント・ソフトウェアのグローバル最高情報セキュリティ責任者であるピート・ニコレッティ氏は、AIは現時点で必須であると述べています。
「今日では、AIに対抗できるAIがなければ、統計上の数字に過ぎません」と彼は述べた。「攻撃者のハードルは下がっています」。ハッカーはAIを2つの方法で利用していると指摘した。1つ目はコード生成だ。「彼らはChatGPTシステムのガードレールを突破し、本格的なゼロデイランサムウェアではなく、コードスニペットを作成させています」と彼は述べた。2つ目はスパムの自動作成だ。つまり、ハッキングされたコンテンツから新たなソーシャルエンジニアリングのエクスプロイトを作成するのだ。「AIのスクリプト機能とコンテンツ作成を組み合わせれば、数分で作成し、数秒で配信することが可能です」。
