本文の内容は、2023年7月25日にLORIS DEGIOANNI が投稿したブログ(https://sysdig.com/blog/genai-cloud-security/)を元に日本語に翻訳・再構成した内容となっております。
サイバーセキュリティがAI革命の影響を受ける瀬戸際にあることは間違いありません。例えば、クラウド・セキュリティ業界は複雑さと慢性的な人材不足という問題を抱えているため、AIによって根本的な影響を受ける可能性を秘めています。しかし、サイバーセキュリティにおけるAIベースの未来は、まだ一歩ずつ発明によって作り上げられている段階のため、この革命の正確な本質は依然として不明瞭です。
本日、Sysdigはこの未来を形作る上で大きな飛躍を遂げました。クラウド・セキュリティに特化したAIセキュリティ・アシスタント、Sysdig Sageを発表できることを嬉しく思います。このブログ記事では、Sysdig Sageとは何か、Sysdig Sageで何ができるのかを例を挙げて説明します!さらに重要なのは、Sysdig Sageの特徴について説明することです。また、サイバーセキュリティにおけるAIの現在と将来の役割について、Sysdigの見解を概説します。
これまで、サイバーセキュリティに大規模言語モデル(LLM)を活用しようとする業界の試みは、主に2つのカテゴリーに分類されてきました:
- コンテキスト・エンリッチメント: AIはユーザーのワークフローをサポートする比較的単純なタスクを実行します。例えば、コンプライアンス違反のイベントをChatGPTに送り、ChatGPTが改善プロセスで使用するAWSコマンドを提案することができます。このステートレスなアプローチは便利ですが、かなり基本的です。
- クエリーの作成: これは、セキュリティ情報・イベント管理(SIEM)バックエンドや拡張検知・対応(XDR)ツールのような、セキュリティ・イベントやログのリポジトリに自然言語インタフェースを提供することを意味します。LLM は、クエリーの作成や小規模なデータセットの解釈に優れており、初心者と上級者の両方に価値あるサポートを提供します。最新のLLMはまた、複数の質問にわたってコンテキストを保持することができ、効果的な「チャットボット」機能を提供します。
Sysdig Sage は、より野心的で包括的なアプローチに基づいており、クラウドセキュリティの深い専門知識と、Sysdig Secure クラウドネイティブアプリケーション保護プラットフォーム(CNAPP)を巧みに支援する能力を備えた、サイバーセキュリティの専門家と可能な限り見分けがつかないように開発されています。この強力な組み合わせにより、お客様のセキュリティポスチャーをより明確に把握し、コンプライアンス要件をより迅速に満たし、クラウド攻撃をより自信を持って阻止することができます。
Sysdig Sage の開発において、私たちはこれらの特性に注目しています:
高度なマルチステップ推論: クラウドセキュリティのような複雑な分野では、質問に一筋縄で答えが見つかることはほとんどありません。多くの場合、解決策を見つける前に調査し、反復する必要があります。Sysdig Sageは、答えを出す前に複数の調査ステップを行うように設計されています。
マルチドメインの統合: クラウドセキュリティは、脆弱性、コンプライアンス違反、ランタイムイベント、継続的インテグレーション/継続的デリバリ(CI/CD)セキュリティなど、それぞれが独自のフォーマットとセマンティクスを持つ多数のデータソースから構成されます。真のアシスタントは、これらのドメインを理解し相関させ、略語やサブカテゴリの集まりではなく、より大きなパズルの一部として扱う必要があります。
判断を下す: Sysdig Sage は、リスク評価、優先順位付け、意思決定を支援するのに十分な賢さを備えています。攻撃の範囲を理解し、干し草の山から針を仕分けるように、相関関係を特定するのに役立ちます。
プロアクティブなガイド: Sysdig Sage はあなたがしていることを理解し、適切なタイミングで有益なインサイトを提供します。また、問題解決に向けて導いてくれます。
行動を起こす: Sysdig Sageは、ヘルプが必要なときにUIを案内したり、ノイズの多いランタイム・ルールを修正したり、Slackにサマリーを送信したりすることができます。
Sysdig Sageの最も印象的な点のひとつは、Cloud Native Computing Foundationのランタイムセキュリティのオープンソース標準であるFalcoによって強化されていることです。Falcoのコミュニティの集合的な知識は、アウトオブボックスでSysdig Sageに統合されます。これは、ほとんどのLLMが一般に利用可能なデータに基づいて訓練されており、もちろんFalcoに関するすべての知りうる情報(そしてすべての議論!)を網羅しているからです。その結果、Sysdig Sage はランタイムの脅威を検出し、トリアージし、対応する上で非常に効果的です。
アーキテクチャーにおいて、Sysdig Sage は私たちが「LLM コントローラー」と呼ぶものによって駆動します。このコンポーネントは、最先端の生成AIアーキテクチャーに基づいています。そして、Sysdig 独自の非公開の情報ソースも活用して、ユーザーとAIとの対話を仲介します。コントローラーは、専門家によるガイダンスを提供し、回答の正確性を検証し(したがってAIの「ハルシネーション*」を軽減します)、LLMに代わって製品内のアクションを実行することができます。これは、MLモデルの範囲と有効性を高めるだけでなく、階層的なプロンプトを使用してLLMを特定の領域に「誘導」します。コントローラーはまた、ユーザーの機密データを保護し(例えば、LLMが受信するメッセージを匿名化することが可能)、プライバシー問題を軽減します。
*ハルシネーション: もっともらしいウソ(=事実とは異なる内容や、文脈と無関係な内容)の出力が生成されること: こちらを参照
Sysdig Sageへの投資は、生成AIがセキュリティ業界にとってこれまでで最も重要な革命であるという確固たる信念に基づくものです。Sysdig はこの革命をリードすることに専念し、クラウドセキュリティのための最初の、そしてより重要な最高のAIを提供することを目指しています。Sysdig Sageの開発にはたゆまぬ努力を続けており、クラウドセキュリティへの取り組み方を一変させると確信しています。
詳細にご興味のある方に向けてSysdig Sageは現在、今年後半の早期アクセス利用希望のお客様を募集しています。詳しくはこちらからご登録ください。