AIによる情報セキュリティ監視のワークフロー変革

Transcript

1. 〜AIによる情報セキュリティ監視 のワークフロー変革〜 セキュリティ室　執行役員　亀山 直生 セキュリティ室　セキュリティ技術グループ　軽部 正太 ©MIXI

2. アジェンダ • 情報セキュリティの全体感（2分） • 開発環境の監視におけるAI活用（8分） • 社内ITの監視におけるAI活用（10分） ©MIXI

3. 自己紹介 ©MIXI

4. 情報セキュリティの全体感 ©MIXI

5. アタックサーフェスごとの戦略（本日は赤枠部分を一部紹介します） ©MIXI

6. 開発環境の監視におけるAI活用 ©MIXI

7. IaaS監視ワークフローの変更（Before） ©MIXI

8. IaaS監視ワークフローの変更（After） ©MIXI

9. Wizについて Wiz Cloud Japan株式会社に個別にご許可頂いた範囲で当社運用をご紹介します ※写真撮影およびSNSやWebサイト投稿は禁止 撮影禁止 当日限定のパートのため扉絵以外を削除

10. ©MIXI 社内ITの監視におけるAI活用 軽部 正太

11. ©MIXI 2 自己紹介 • 軽部 正太 • セキュリティ室 セキュリティ技術グループ •

    IaaS監視、脆弱性診断、SOC、サービス開発、etc…

12. ©MIXI 3 アジェンダ 1 監視運用の課題 2 監視調査の効率化 3 監視対応の効率化 4

    まとめ

13. ©MIXI 監視運用の課題

14. ©MIXI 5 SOC(Security Operation Center) セキュリティ監視とインシデント対応を担う運用 • セキュリティアラートを 24/365 で継続的に監視する

    • 発生した事象を評価し、影響と優先度を見極めて必要な対応につなぐ • はた環(社内IT)とセキュリティ室、外部パートナーと連携しながら運用 • 社員端末や社内IT提供のSaaS、IdPなどが対象 • 初動対応の速さと判断品質の両立が重要となる

15. ©MIXI 6 SOCの課題 初動対応の速さと質が、その後の対応全体に影響する • 24/365 の監視と対応を止めずに回し続ける必要がある • 多数のアラートから、対応要否や緊急度を見極める必要がある •

    初動で状況をつかめないと、封じ込めや関係者連携の着手が遅れやすい • 端末、アカウント、ログなど複数の情報を突き合わせて判断する必要がある • 関係者への連携やエスカレーションも並行して進める必要がある AI を活用した内製の仕組みで、これらの課題の解決を図った

16. ©MIXI 7 AI SOC製品と内製 SOC業務を AI で支援する製品も出てきている AI SOC製品 内製

    • アラートの自律調査やトリアージ、一次 対応の自動化を行う • 既製機能により導入後の立ち上がりは速 い • 一方で、製品選定や導入調整、チューニ ングに時間がかかる • 自社の運用フローや連携先に合わせて設 計しやすい • 改善サイクルを短く回しやすい • 一方で、運用の負荷が高い 製品の利用も検討したが、選定からチューニング・定着まで含めると一定の期間を要するため、まずは 取っ掛かりとして内製を選択した。将来的には、製品に任せる部分と内製する部分を組み合わせながら、 コストと柔軟性のバランスを取りたい。

17. ©MIXI 8 設計方針 判断と実行は人が担い、AI × Bot が調査・整理・連携を支援する アラート AI ×

    Bot 人の判断 実行・連携 • 副作用のある操作は、AI ドリブンで実行せず、必要な権限も最小限に 　◦ 誤判断や意図しない実行リスクを避けるため 　◦ 現時点では慎重に設計しているが、信頼性が確認できるものは自律度を上げていくの も検討 　◦ AI Agentの結果を元に自動化とかは積極的に • 対応要否の最終判断と実行は人が担う • 日々の運用が Slack 中心のため Slack Bot として実装 • 情報収集、要約、侵害可能性と影響範囲の整理を支援 • このあと機能をいくつかピックアップしてご紹介します

18. ©MIXI 監視調査の効率化

19. ©MIXI 10 初動対応の効率化 アラートを受けてから速やかに初動の把握とアクションに入れるように 収集 整理 通知 初動判断 • アラート関連情報、アラートタイムライン、関連デバイスのプロセスや通信などの周辺

    情報を先に取得 　◦ 初動判断に必要なコンテキストをまとめて渡すことで、段階的な追加ツール呼び出し をなくし、初回応答の速さと安定性を高める • 初回通知では、短時間で返せる範囲を優先してまとめる • 概要・時系列・利用者確認用の質問一覧を早い段階で整理 • 人間が返ってきた情報をもとに初動アクションを一次判断 • 重い深掘りは裏で分析をしておく

20. ©MIXI 10 初動対応の効率化 スレッドの中にもアラートのタイムラインや詳細なアラートの概要などがあり、初動の対応判断を行える

21. ©MIXI 10 初動対応の効率化 チャンネル作成と同時に必要なヒアリング項目を自動で質問

22. ©MIXI 11 侵害有無の調査と深掘り分析 初回通知と並行して、侵害有無の調査と深掘りを進めている • 深掘り調査はバックグラウンドで継続し、Agent が自律的に追加調査を進める • 関連アラートや関連ログを起点に、脅威情報や過去の類似対応、MITRE ATT&CK

    なども参照しな がら、挙動の意味や推奨対応、検知の真偽を整理する • 利用者や管理者の正規業務として説明できる挙動かも確認し、侵害と正規利用を切り分ける • 判断材料が足りない場合は、要追加調査であることを明示し、懸念点や追加で確認すべき事項を返 す • 調査の過程や判定根拠もあわせて返し、人間が AI の判断根拠を見直せるようにしている • 以前は、モデルのコンテキストサイズや性能の制約を踏まえ、観点ごとに Agent を分けて分析し ていたが、コンテキストウィンドウ拡大やモデル性能の向上を受けて、現在はより集約した構成に なっている • 現状では3~5分ほどで返せるようになっている • 追加の質問や誤検知時のルール作成なども依頼可能

23. ©MIXI 12 ブロック済みアラートも含めた網羅的な調査 Blocked / Prevented やスコアは重要な手掛かりだが、それだけで影響の有無を確定しない • ブロックされた時点で、既に横展開やデータ送信が完了しているケースもある •

    そのため、ブロック前後の挙動、侵入経路、残留リスク、既に出ている影響まで追加で確認する • 低スコアやブロック済みアラートも、AI による自動調査を含めて網羅的にカバーしている • 追加調査や解析の結果、実侵害で影響があると判断したものは、関係者をオンコール呼び出しまで つなげられる仕組みも用意

24. ©MIXI 13 過去事例と運用知識の参照 過去チケットと運用ナレッジは、用途を分けて判断の補助に使っている 過去チケット 運用ナレッジ • 類似案件や過去の判断を参照 • RAG

    の取得処理でベクトル類似度検索 とキーワード検索を組み合わせたハイブ リッド検索を用い、関連度に基づいて候 補を取得する • 類似ケースを見つけ、判断の初速を上げ る • 人が読んで使う対応手順や判断基準 • Agent も必要に応じて参照 • 対応方針の整理と品質の安定化に使う

25. ©MIXI 監視対応の効率化

26. ©MIXI 17 解析基盤 既存のアラート対応基盤とは分けて、解析系は AWS 上に分離して構築している Bot / 人 S3

    解析コンポーネント Slack 共有 • 既存のアラートやログだけでは拾いにくい、不審ファイルの実体や実行後の詳細な挙動、端末に 残る証跡を確認する環境を用意 • Bot でカバーできる検体やデバイスの証跡は自動で S3 に連携し、Bot でカバーできないものも 手動で取得した成果物や端末から収集した証跡として、各解析系に渡して分析 • 検体によっては、仮想環境やサンドボックスだけでは十分な観測結果が得られないこともあるた め、別の手段も組み合わせて調査を進める必要になる場合もある • 一方で AWS は、IaCで管理や各 OS の準備が容易だったり、分離した解析基盤をイベント駆動で 自動化しつつ、周辺のマネージドサービスも組み合わせて再構築や拡張を進めやすい • 手動で作業を行うための環境も別途用意

27. ©MIXI 18 サンドボックスでの自動解析 ファイルや調査対象を S3 に渡すと、イベント駆動で解析から通知まで自動で進むようにしている 検体・証跡投入 S3 静的 /

    動的解析 / AI Agent 分析 通知 • 検体だけでなく、通信先、デバイスの証跡、追加収集した成果物も解析対象にできる • S3 を起点に、解析コンポーネントを自動で起動し、静的解析や動的解析を流す • 加えて、Agent 主体で解析ツールを接続して自動で分析を行う • 解析結果は 要点を整理して Slack に通知される

28. ©MIXI 21 レポーティングの自動化 チャンネル作成から対応完了まで、記録とチケット更新を同じ流れの中で進められるようにしている チャンネル作成 チケット起票 調査結果を反映 完了時に更新・クローズ • インシデントチャンネル作成時に、自動でチケット起票し、アラートとのひも付け更新、初回調

    査結果の反映まで進める • チャンネルをアーカイブすると、対応内容を自動でチケットに反映し、チケットも自動でクロー ズされる • チケット更新を人手に寄せないことで、記録の粒度をそろえつつ、対応後にまとめ直す作業や書 き忘れをなくす • 対応不要で閉じるケースも、スレッド上の操作から起票、自動コメント、クローズまで進めら れ、対応不要時のナレッジとして活用できる仕組みも用意している

29. ©MIXI 22 終了時のサマリー 対応終了時には、対応内容を報告や振り返り、次回参照にも使える形にまとめ直す Slack やり取り サマリー生成 チケット反映 • チャンネルクローズ時に、Slack

    チャンネルのやり取りから、対応サマリー、タイムライン、実 施アクションを生成し、チケット側にも自動でコメントして、振り返りや後追い確認に使える • クローズ時にVector DB も自動で更新し、次のアラート調査からもすぐ参照できるように • AI の分析結果と人の最終判断のずれも フィードバックとして分析し、改善候補をナレッジへ反 映できる仕組みも用意しており、判断ずれを減らしていけるようにしている • アラート対応中にこの機能は実行可能で、現状の対応状況やタイムライン、TODOなどを整理で きるため迅速に関係者への情報共有が迅速に可能 Vector DB 更新

30. ©MIXI まとめ(SOC)

31. ©MIXI 23 まとめ(SOC) 一連の流れを接続 初動対応から調査、解 析、レポーティングまで を一気通貫でつないだ AI × Bot

    が支援 Botは調査・整理・連携 を担い、人は対応要否と 実行判断に集中しやすい 形を目指した 今後の改善余地 人が担うオペレーション を減らし、本来見るべき 判断により集中できる形 へ進めたい まだ人が担う調査やオペレーションは残っている。自動化をさらに進めつつ、人が本来見るべき判断に集 中できる運用へ改善していく。

32. ©MIXI