人工知能(AI)とは、機械における人間の知能のシミュレーションであり、システムがデータから学習し、パターンを認識し、意思決定を行うことを可能にする。これらの決定には、結果の予測、プロセスの自動化、異常の検出などが含まれる。大規模言語モデル(LLM)は、人間のようなテキストを処理、理解、生成するために設計された特殊なAIモデルである。
大規模言語モデル(LLM)は、多様で広範なテキストデータで学習される。LLMは言語を理解し、多くのドメインにまたがる知識を適用するように設計されている。GPT-4やClaude 3.5 HaikuのようなLLMは、人間の言語を理解し、生成し、操作するように設計されている。
この記事では、LLMを搭載したセキュリティ・アシスタントを実装することによって、セキュリティ専門家が得られる利点と機能を探ります。LLMは、セキュリティ情報・イベント管理(SIEM)または拡張検知・対応(XDR)プラットフォーム内のセキュリティデータを充実させることができます。このような統合は、ログ分析、インシデントのトリアージ、カスタム・ルールの作成、全体的なセキュリティ・インサイトの向上などのタスクを処理する専門家をサポートします。
セキュリティ運用のLLM
セキュリティ・オペレーション(SecOps)は、組織のITシステム内のサイバーセキュリティ・リスクの特定、対処、低減の監督を行います。この業務では、人、プロセス、テクノロジーを組み合わせてサイバー脅威を防御します。
これらの活動は、セキュリティ・オペレーション・センター(SOC)内で管理され、専任チームがセキュリティ・アラートを分析し、インシデントの可能性を調査し、リアルタイムで脅威に対応する。セキュリティ・アナリストは、SIEMやXDRなど、さまざまなツールを使用してこれらの作業を支援する。
LLMは、テキスト生成、翻訳、要約、および質問応答タスクに使用されます。その多用途性により、サイバーセキュリティを含むさまざまな業界で重宝されており、脅威の迅速な検出、自動分析、インテリジェントな意思決定を可能にしている。
いくつかのLLMが利用可能で、それぞれチャットボットとの対話から企業の自動化、クリエイティブなコンテンツ生成まで、独自の強みを備えている。LLMの代表的な例としては、以下が挙げられる:
- OpenAI GPT
- クロード
- グーグルジェミニ
- メタラマ
- ミストラルAI
- ブルーム(ビッグサイエンス)
- ディープシーク
セキュリティ専門家のアシスタントとしてのLLMの活用
従来、セキュリティ・オペレーション・アナリストは、サイバー脅威を検知し対応するために、チームの調査、経験、集合的な知識に依存していました。しかし、脅威の状況が絶え間なく変化する中、専門家は専門知識とAIによる補強のバランスを模索しています。
ここでは、セキュリティ・アナリストの日常業務にLLMがどのように適用されているかをいくつか紹介する:
1.1. ログ解析とデータエンリッチメントChatGPTのような訓練されたLLMは、悪意のある活動のパターンやシグネチャを検出した後、他のセキュリティ・ソリューションの出力を解釈することができます。また、セキュリティ・アラートをリッチ化し、テキスト記述を分析して、アナリストがインシデントをトリアージして要約するのを支援することもできます。LLMは、大規模なログ解析や複雑なイベント相関にはまだ対応できないかもしれませんが、アナリストのワークフローをサポートする小規模なタスクには非常に効果的です。
2.脅威インテリジェンスの統合:LLMは、外部レポートの処理と要約、または脅威フィードからの戦術、技術、手順(TTP)の関連付けによって支援することができます。LLMは、フォーラムやダークウェブの雑談から得られる非構造化データを翻訳することで、要約された文脈的な洞察を提供し、脅威インテリジェンスデータをセキュリティチームにとってより消化しやすいものにすることができる。また、新たな脅威に対するアナリストの理解を深め、ルール作成戦略を提案することもできる。例えば、Claude Haikuは、創造的で簡潔な言語生成のために特別に微調整されたモデルです。そのため、ユーザー向けのアプリケーションに特に効果的である。
3.文脈に応じた修復の推奨:LLMは、セキュリティ関連のクエリを理解する能力を備えているため、セキュリティ・インシデントのコンテキストに基づいて改善策を提案することができる。これにより、セキュリティアナリストは、深い専門知識がなくても、改善ステップを理解し、行動しやすくなる。
4.フィッシング検知:LLMは、従来のキーワード・ベースのフィルターとは異なり、人間と同じように電子メールの文章を読んで理解することができる。LLMは口調、文法、文脈を分析し、フィッシングメールを特定する上で重要な要素となります。メールセキュリティ・ソリューションと統合することで、巧妙なビジネスメール詐欺(BEC)やスピアフィッシング攻撃をリアルタイムで防ぐことができます。
LLMによって生成されたすべてのレスポンスは、時に不正確である可能性があるため、レビューする必要があることに注意することが重要である。一定の制約はあるものの、LLM は手作業を減らし、セキュリティ・アナリストに貴重な支援を提供することで、セキュリティ運用に価値をもたらします。
Wazuh を使用したサイバーセキュリティ・アシスタントとしての LLM の統合
Wazuhはオープンソースのセキュリティ・プラットフォームであり、システム・アクティビティを監視することによって、組織がセキュリティ脅威を検知し、対応するのを支援する。Wazuhは様々なLLMと統合することができ、セキュリティ専門家のためのサイバーセキュリティ・アシスタントを構築する上で、セキュリティ運用を支援することができる。
以下のユースケースは、そのような統合が実際にどのように実装されるかを示している。
脅威検知とアラートの強化
LLMは、マルウェアを識別・分類するためのオープンソースツールであるYARAなど、他の脅威検知ソリューションによって生成されたアラートを充実させることができる。
この概念実証では、WazuhアクティブレスポンスモジュールはChatGPTを使用してYARAスキャン結果をリッチ化し、検出された脅威に関する追加情報を提供します。これを実現するために、Wazuh ファイル完全性監視は、エンドポイント上の特定のディレクトリに追加や変更がないか継続的に監視します。
悪意のあるファイルが監視対象フォルダの1つにダウンロードされると、FIMモジュールがその変更を検出し、WazuhActive responseモジュールをトリガーします。このモジュールは次にYARAスキャンを実行し、潜在的な脅威についてファイルを分析します。
YARAが悪意のあるファイルを特定すると、ChatGPTは検出された脅威の詳細でアラートを充実させ、セキュリティチームがインシデントをよりよく理解し対応できるようにします。特定された悪意のあるファイルは、Wazuh Active Responseによって削除されます。
下の画像では、ChatGPTがYARAによって検出された悪意のあるファイルについて、より詳細なコンテキストを提供しています。
ブログポストNmap and ChatGPT security auditing with Wazuhは、セキュリティアラートを充実させることで組織のセキュリティ体制を向上させる別のユースケースを示しています。
このブログポストでは、ChatGPTは、Nmap(Network mapper)からのスキャンレポートにより多くの洞察を提供するために使用されています。
セキュリティ運用バーチャルアシスタント
この使用例では、Claude Haiku LLMがWazuhと統合され、Wazuhダッシュボード内でチャットインターフェースを提供しています。これにより、ユーザーはセキュリティ関連の質問をモデルに問い合わせることができ、コンテキストに基づいた洞察を提供し、脅威調査中の意思決定プロセスを加速させます。
これらの統合は、自然言語処理(NLP)を活用してインテリジェンス支援を提供します。
下の画像は、Wazuhダッシュボードと統合されたClaude Haiku LLMによって生成された応答です。これは、”難読化のための MITRE ID は何ですか?”というクエリに対する応答を示しています。
結論
LLM をセキュリティ運用プロセスとソリューションに統合することで、アナリストの作業負担を軽減し、脅威調査中の意思決定を迅速化することによって、セキュリティチームが提供する価値を高めることができる。
また、プロアクティブな防御メカニズムを強化することで、組織のセキュリティ態勢と運用効率を向上させることができる。
Wazuhがスポンサーとなり、執筆しました。
Comments