本文の内容は、2024年8月14日にFlavio Mutti が投稿したブログ(https://sysdig.com/blog/how-we-created-the-first-conversational-ai-cloud-security-analyst/)を元に日本語に翻訳・再構成した内容となっております。
急速に進化するサイバーセキュリティの世界では、イベントを分析、要約、対応できる堅牢でインテリジェントなアシスタントが極めて重要です。そのため、大規模言語モデル (LLM) ベースのクラウド セキュリティ アナリストであるSysdig Sage TM は、クラウド検知と対応 ( CDR ) のエキスパートとして設計されました。
Sysdig Sage は、複雑なイベントを要約し、明確な説明を提供することに優れています。これは、潜在的な脅威を特定し、迅速に対応するために不可欠です。Sysdig Sage の機能と Sysdig プラットフォームを活用することで、組織はセキュリティ体制を強化し、サイバー脅威に直面したときにタイムリーに介入できるようになります。
Sysdig Sage は、特定の目標を達成するために協力して動作する特殊な自律 AI エージェントを活用します。調査ワークフローの一部として重要なタスクを実行することに優れています。
- 脅威の識別:キュレーションされたポリシー ルールに基づいて、Sysdig Sage はイベントを取得し、コンテキスト情報 (リージョン、ホスト、ネームスペース、デプロイメントなど) を収集し、特定のイベントがより広範なセキュリティ イベントの一部であるかどうかを評価します。
- 集約と要約:数百のランタイム イベントがあり、それぞれに多数のラベルが付けられている場合、Sysdig Sage は動的なコンテキストスコープに基づいてデータをすばやく分類する方法を提供します。クエリを自然言語で表現することで、Sysdig Sage を使用してイベントをフィルター処理およびスコープ設定し、イベント統計の収集プロセスを高速化できます。
- イベントと振る舞いの分析:イベントには複数の情報が含まれている場合や、より広範なセキュリティ イベントの一部である場合があります。Sysdig Sage はイベントを相関させ、原因を調査して関連するリソースを理解できるようにします。
- 洞察の生成:イベントまたは一連のイベントが与えられると、Sysdig Sage は分析プロセスでユーザーをガイドおよびサポートし、セキュリティのノウハウと特定のイベントの詳細を補間してイベント発生の理由を説明します。
- UI ガイダンスとナビゲーション: Sysdig Sage はユーザーが見ているものを認識し、チャットから直接、使い慣れた UI と双方向に対話することで、CDR 調査中のコンパニオンとして機能します。
- 対応の推奨事項: Sysdig Sage は、セキュリティ イベント、インフラストラクチャー、クラウド リソースを認識し、セキュリティの専門家が作成したセキュリティの知識を適用して、詳細でパーソナライズされた修復推奨事項を提供できます。
Sysdig Sageの設計
Sysdig Sage for CDR の設計は、LLM のパワーを活用して包括的なセキュリティインサイトを提供することに重点を置いています。Sysdig Sage は、以前に紹介しました基本機能に基づいて設計されています。
- サイバーセキュリティ イベントを明確かつ正確に要約して説明します。
- 異常や潜在的な脅威をリアルタイムで提示します。
- 特定されたリスクを軽減するための実用的な推奨事項を提供します。
- 適切に構造化された簡潔な情報を通じて迅速な意思決定を促進します。
これらの機能は、プロアクティブな防御メカニズムを維持するために極めて重要であり、セキュリティ チームが潜在的な脅威に先手を打つことを可能にします。
さらに、Sysdig Sage の機能を強化するために、マルチステップ推論とコンテキスト認識を活用するように設計しました。
Sysdig Sage は、マルチステップ推論により、大量の情報を収集して分析し、それぞれの質問に答えることができます。このようにして、ユーザーは、通常は複数のアクションを実行する必要がある反復的な要求を行うことができます。また、これにより、Sysdig Sage は、複数のデータソースを一度に調査するユーザーをサポートするマルチステップ分析を実行できます。
コンテクスト認識を活用することで、ユーザーが既に知っているSysdigの機能と、この新しい“データと対話する”方法との間でシームレスな体験を提供できます。また、継続的なコンテクスト認識により、ユーザーはいつでも見ているデータに関する質問をすることが可能になります。これにより、ランタイムイベントの探索中に分析能力が飛躍的に向上すると強く信じています。
Sysdig Sage アシスタントは内部的に次の手順で動作します。
- 会話を収集します。会話と最新の質問は両方とも、最初の質問理解のために Sysdig Sage に送信されます。質問は、ユーザーが UI で見ている内容のコンテキスト、または実行時イベントについてすでに実施されている調査のいずれかを参照している可能性があります。
- 質問を理解し、安全策を適用します。Sysdig Sage は、質問にすぐに回答できるかどうか、またはさらに理由やデータが必要かどうかを判断します。質問に答えられない場合、質問は拒否され、Sysdig Sage はリクエストを満たすことができない理由を説明します (例: 質問が Sysdig Sage の機能の範囲外であるなど)。
- 情報を収集します。質問が複雑な場合、Sysdig Sage は質問をいくつかの実行可能なステップに分解できます。たとえば、過去 24 時間のイベントを要約するように求められた場合、Sysdig Sage は時間間隔を正しく設定し、ユーザーが UI で明示的に要求または設定したスコープを理解し、Sysdig バックエンドから必要なデータを収集できます。
- 回答を生成します。データが収集され、Sysdig Sage が情報が存在すると判断すると、最終的な回答が生成されます。その後、回答はユーザーにストリーミングされます。
私たちは、LLM(大規模言語モデル)の訓練や微調整に顧客データを使用することは一切ありませんので、お客様のデータは常にプライベートで保護されています。さらに、私たちはお客様のデータのプライバシーを最も高いレベルで保証し、入力プロンプトを用いた訓練を行わないLLMのみを利用しています
代わりに、最高の品質、パフォーマンス、およびプライバシーを保証するために、動的プロンプト戦略に依存しています。これらのプロンプトは、セキュリティの専門家やエンジニアによって作成され、LLMがセキュリティイベントについて推論し、最も隠された知識やパターンをも引き出せるようになっています。
Sysdig Sage のテスト
Sysdig Sageのテストは、その開発における重要な局面でした。私たちは実際の環境にデプロイし、シミュレートされたサイバー攻撃や実際のサイバー攻撃にさらしました。この厳格なテストプロセスにより、検知と対応の能力を洗練させ、さまざまなシナリオにおいて信頼性と効果を確保しました。また、主要なステークホルダーと協力し、彼らの知見と専門知識を取り入れることで、関連するユーザーフローを効率化し、迅速化しました。この協力により、アシスタントがエンドユーザーの実用的なニーズに応え、CDR(サイバー攻撃の検知・対応)に役立つツールとなることを確実にしました。
私たちは、Sysdig Sageの特性に合わせたカスタム評価フレームワークを開発しました。これにより、コンテクスト認識やマルチステップ推論を含む最も複雑なユースケースに対する性能を測定し、現実的なリアルタイムシナリオで評価することができました。評価の主な流れは以下の通りです。
- 堅牢で多様な会話データセットを構築し、グラウンドトゥルース(正解データ)を設定。
- リアルな環境の変動性を考慮しつつ、リアルタイムの会話を実行するために、シミュレーションされたが現実的なSysdigデータサンドボックス環境を提供
- 適切な評価と報告を可能にするために、評価フレームワークに集められた包括的なツールと評価戦略のセットを構築
- 人間をプロセスに組み込み続けることで、MLエンジニアやデータサイエンティストが生成されたレポートを分析し、Sysdig Sageの能力を反復的に向上させる
この評価プロセスにより、Sysdig Sage の機能を徐々に改善し、回帰のリスクを軽減し、システムの品質を継続的に評価できるようになりました。
まとめ
Sysdig Sageは、サイバーセキュリティ技術における重要な進歩を示しています。高度な検知および対応機能の統合、厳密なテスト、そしてステークホルダーとの協力を通じて、組織のセキュリティを強化し、積極的な脅威管理を促進するツールを開発しました。イベントを迅速かつ正確に要約、説明、そして対応する能力により、Sysdig Sageはあらゆるサイバーセキュリティチームにとって不可欠な資産となります。単なるアシスタントにとどまらず、クラウドセキュリティアナリストのスキルをチームに提供します。サイバー脅威が進化し続ける中で、Sysdig Sageもまた進化し、新たなリスクに対するインテリジェンスとサポートを提供し続けます。