Copilot for Securityとは
Copilot for Securityとは、Microsoft Defender XDRなどマイクロソフト社のセキュリティ関連製品に組み込まれ、セキュリティ運用サポートを行う生成AIサービスである。
様々なセキュリティ関連製品と連携して情報を取得することで、インシデント対応、脅威インテリジェンス収集などのセキュリティ運用において、実際の状況に即したサポートを行える。また、ナレッジ共有の機能も充実しているため、対応品質の向上や均一化に役立てることも期待できる。本記事では、Copilot for Securityの基本的な使い方と、活用に欠かせない機能を確認していく。
入門編的なEmbeddedと応用編的なStandalone
Copilot for Securityのユーザーインターフェースには、マイクロソフト社のセキュリティ製品(Microsoft Defender XDRやIntuneなど)の管理画面に組み込まれた「Embedded」と、Copilot for Security独自のポータルの「Standalone」がある。ここでは各ユーザーインターフェースの違いを見ていく。
Embeddedは、マイクロソフト社のセキュリティ製品のユーザーインターフェースに、Copilot for Securityを組み込んだ提供形態である。
Defender製品全般を管理するMicrosoft Defender XDRのインシデント対応画面や、端末などを管理するIntuneの端末情報の画面などに組み込まれる。例えば、Microsoft Defender XDRでインシデントを調査しようとする際、サイドバーにCopilot for Securityが表示され、インシデントの概要や対応方法の提案、関連情報などが提供される。これにより、インシデントの初動から迅速に対応できるようになる。
Embeddedでは、あらかじめ定義された内容が自動表示されるため、生成AIのプロンプトに触れる必要はない。そのため、応答の品質は安定しているが、独自の細かな調査はできない。既にMicrosoft Defender XDR(Microsoft Defender for Endpointなど)を使ってセキュリティ運用を行っている組織が、初めてCopilot for Securityを使う際は、ここから使い始めてみると比較的取っ付きやすいだろう。
Standaloneは、Copilot for Security専用のポータルから利用する提供形態である。
ChatGPTのような対話形式で自由にプロンプトを記述し、インシデントの関連情報や設定の状態を調査できる。インシデントの概要作成やスクリプトのリバースエンジニアリングなど、マイクロソフト社が作成したプロンプトもあり、目的によっては一からプロンプトを作成せずに情報を得られる。
Embeddedとは異なり、自由にプロンプトを記述できるため、応答の品質(事実と異なる応答を返すハルシネーションの発生など)はプロンプトの質に左右される。高品質な応答を得るには、プロンプトエンジニアリングのスキルが求められる。効果的なプロンプトのコツは、具体的で明確、かつ簡潔に記述することである。Standaloneは、権限管理や利用状況レポートの表示など管理機能が提供される。Copilot for Securityに慣れてきて、応用した使い方をしたい場合はこちらを使用する方が適しているだろう。
より高度な活用方法
Copilot for Securityをより高度に活用する上で欠かせない機能を紹介していく。ただし、現状ではほとんどの機能はStandaloneが前提となる。
プラグインとは、Copilot for Securityが様々なソリューションから情報を取得するためのモジュールである。Copilot for Securityはプロンプトに応じて適切なプラグインを選択し、情報を取得する。この情報をプロンプトと一緒に言語モデルへ渡し、言語モデルが応答を生成する。ユーザーは「/」を使って使用するプラグインを指定することもできますが、現時点では1つのプロンプトで1つのプラグインしか利用できない。
プラグインで連携できるのは、マイクロソフト社の製品だけでなく、「Splunk」、「ServiceNow」、「Netskope」といったサードパーティ製品のプラグインも用意されており、連携できるサービスの数は徐々に増えている。また、カスタムプラグイン機能で、組織にあわせた独自の連携も作成できる。
注意点として、連携先のソリューションから情報を取得するには、実行者が連携先ソリューションにアクセスするための適切な権限を有している必要がある。例えば、Microsoft Defender XDRへのアクセス権が無い人がCopilot for Securityを使用して、「Microsoft Defender XDRのインシデントID xxxxの内容を要約して」のようなプロンプトを入力しても、インシデント内容の要約は生成されない。
プロンプトブックは、調査などを行う複数のプロンプトをまとめたものである。実行すると、プロンプトブックに含まれる複数のプロンプトが順番に実行される。プロンプトブックにはパラメータがあり、インシデント調査であれば対象のインシデント番号などを入力して実行する。
セッションとは、一連のプロンプトと応答が含まれた対話の記録である。Copilot for Securityはプロンプトを言語モデルへ渡す際に、圧縮したセッションの内容も含めて渡し、対話の文脈を考慮した応答を生成する。
ただし、EmbeddedやLogic AppsからCopilot for Securityを使用する場合は、基本的にすべて新規セッションとなる。Logic Appsを使用した自動化プロセスでCopilot for Securityを組み込む際は、必要に応じてセッションを維持するように構成する必要がある。
セッションは組織内に共有でき、上長やチームメンバーに調査結果や過程を共有する際に便利だ。共有された側はセッション内容を編集できないが、セッション内のプロンプトと応答をすべて閲覧でき、共有後に更新された内容も反映される。