生成的AI(GenAI)とは
目次:
Gartnerの2025年の主要なサイバーセキュリティトレンドのレポートは、生成的AI(GenAI)の影響力が増していることを強調し、組織がセキュリティ戦略を強化し、より適応的でスケーラブルな防御モデルを実装する新たな機会を指摘しています。2024年には最小限の実用製品の開発に焦点が当てられることが予想されましたが、2025年には生成的AIのセキュリティワークフローへの本格的な統合が見られ、実質的な価値を提供します。そして2026年までには、Gartnerによると、「アクショントランスフォーマー」などの新しいアプローチの出現と、より成熟したGenAI技術の組み合わせにより、サイバーセキュリティチームが実行するタスクを大幅に強化する半自律的なプラットフォームが推進されるでしょう。
生成的AIとは何ですか?
生成的AIは、既存のデータからパターンを学習して新しいコンテンツを作成する機械学習(ML)モデルを指します。Gartnerの説明によれば、GenAIは「既存のアーティファクトから学び、スケールで新しいリアルなアーティファクトを生成します」。簡単に言うと、これらのモデルを膨大なデータセット(テキスト、コード、画像など)でトレーニングし、その後、生成的AIは類似のコンテンツをオンデマンドで生成できます。
技術的には、ほとんどの現代のGenAIツールは基盤モデル上に構築されています。これらのモデルは巨大なニューラルネットワークで、幅広いデータセットで訓練されます。これらのモデルは膨大な計算力を必要としますが、一度訓練されると、多くのタスク(検出コードの作成から脅威レポートのドラフト作成まで)に細かく調整可能です。GenAIは単に分析するだけでなく、作成するものであり、非常に急速に進化しています。数ヶ月ごとに、新しい、より能力の高いモデルが登場しています。しかし、GenAIの出力は依然として人間の監視が必要です。AIが生成した結果が不正確または偏っている可能性があるため、人間による検証が重要です。
生成的AIはどのように機能しますか?
生成的AIは機械学習の基盤に構築され、とりわけディープラーニングと呼ばれるサブフィールドに依存しています。これにはニューラルネットワークとして知られるアルゴリズムの階層構造を使用します。これらのネットワークは、人間の脳内のニューロンの動作を模倣しており、大きなデータセットから学習し自律的に結果を生成することを可能にします。
生成的AIの最も影響力のあるアーキテクチャの一つはトランスフォーマーモデルです。トランスフォーマーは、長いシーケンスのコンテキストを理解するためのメカニズムを使用しながら、データを並行して処理します。これにより、要約、翻訳、コード生成のような自然言語タスクに特に効果的になります。大規模言語モデル(LLM)は、通常トランスフォーマーアーキテクチャに基づいており、コードリポジトリ、脅威インテリジェンスレポート、システムログなどを含む膨大なデータセットで訓練されています。非監視学習と呼ばれる方法を使用して、モデルはシーケンス内の次にくる単語や要素を予測することを学びます。時が経つにつれて、文法、論理、スタイル、そして意味の内部表現を構築します。
その動作は次の通りです:
- 訓練フェーズ: モデルは大量の非構造化テキストやコードを処理します。内容を記憶するのではなく、単語、フレーズ、構文、概念の関係を学習します。
- 細かい調整: 基本モデルは、その後、サイバーセキュリティログ、脅威レポート、検出ルールなど、特定のニーズに合わせて出力を最適化するためのドメイン固有のデータを使用して調整されます。
- プロンプト: ユーザーが入力(プロンプト)を提供すると、モデルは単語ごとに、またはトークンごとに最も可能性の高い継続を予測して応答を生成します。
- コンテキスト 認識: 現代のGenAIツールは一度に大量のコンテキストを考慮できるため、複雑なクエリやマルチステップタスクを理解する能力があり、サイバーセキュリティワークフローに特に有用です。
例えば、セキュリティオペレーションの文脈では、脅威の概要やログのスニペットを入力し、GenAIが検出ルールを生成したり、脅威の要約を行ったり、次のステップを提案したりします。これは、前に見たことのある同様のデータに基づくものです。
GenAIの力は、生データや複雑なデータを迅速に実行可能な情報に変換する能力にあります。しかし、出力は確率的であり、決定論的ではないため、高い保証が必要なタスクでは人間のレビューが依然として重要です。
サイバーセキュリティにおけるGenAI
生成的AI(GenAI)は、現代のサイバーセキュリティオペレーションの重要な部分としてますますなりつつあります。人間の専門知識を置き換えるのではなく、それを強化し、分析を加速し、繰り返しの作業を自動化し、進化する脅威の一歩先を行くのに役立ちます。
セキュリティチームはすでに、脅威インテリジェンスから脆弱性管理に至るまで、さまざまなワークフローにGenAIを試験運用しています。例えば、GenAIツールはCVEアドバイザリを要約し、観察された行動パターンに基づいて検出ルールを生成することができます。アラートのトリアージにおいて、GenAIはノイズを減らし、関連するインシデントのクラスターを識別したり、ドキュメント化やトレーニングではAIがポリシーの更新を作成したり、認識キャンペーンのためにフィッシングメールをシミュレートしたりします。
これらの能力は、スタンドアロンツールとしてではなく、既存のプラットフォームに統合されたエンハンスメントとしてデータを豊かにし、意思決定を加速し、防衛を合理化するために埋め込まれつつあります。人間による監視は依然として重要ですが、GenAIは意味のある生産性の向上を提供し、セキュリティ専門家がより高い影響を及ぼす作業に集中できるようにします。
サイバーセキュリティにおける生成的AIの利点と欠点は何ですか?
GenAIは今日、データの要約やアラートのトリアージといった「下働き」から、検出ルールやトレーニングコンテンツの提案といった創造的なタスクまで、サイバーセキュリティのタスクを補完するために使用されています。すべてのユースケースでは、人間の専門家がループの中にいますが、AIは繰り返しの分析や文書化を処理し、チームが少ないリソースでより多くのことを行えるよう支援します。ここでは、GenAIが防御者をサポートするいくつかの例を示します:
- 脅威インテリジェンス&インシデント対応: GenAIは複雑な脅威データを消化して要約できます。例えば、長大な脅威レポートやCVEアドバイザリを要約し、最も重要な情報、妥協の指標、攻撃者のTTPを強調することができます。膨大なデータから根本原因や重要な詳細を自動的に抽出することで、GenAIは調査を加速し、アナリストが脅威を先取りするのを助けます。
- 検出エンジニアリング: セキュリティエンジニアはGenAIを使って検出ルールやクエリの作成を支援しています。例えば、悪意のある活動の例とそれがどのように検出されたかをAIモデルに提供することで、モデルは新しい検出ロジックをドラフトすることができます。あるいは、GenAIは検出ロジックの要約、CTIの強化、SIEM、EDR、データレイクの様々な言語間での検出コードの翻訳を支援します。これらすべての機能は現在、SOC Primeの Uncoder AI.
- 偽陽性の削減: GenAIは二次分析層として作用し、偽陽性を最小限に抑えるのを助けます。アラートを関連するコードと一緒に評価し、自然言語での理由付けを提供し、チームが迅速に無害なイベントと疑わしいイベントを区別するのを助けます。 産業予測によると、2027年までに、GenAIはアプリケーションセキュリティテストおよび脅威検出における偽陽性率を30%削減すると期待されています。これは、伝統的な分析技術の出力を洗練しコンテキスト化する能力のおかげです。
- 脆弱性管理: GenAIは脆弱性の優先順位付けや修正を支援することができます 脆弱性。AIモデルはコードや設定をスキャンしてセキュリティの弱点を見つけ、リスキーなパターンを指摘します。その後、それらの欠陥を潜在的な影響によってランク付けし、修正ステップを提案できます。GenAIツールはスマートなコードレビュアーのように機能し、開発とセキュリティチームが最も重要な脆弱性を優先的に対処するのを助けます。
- 分析&要約: 構造化データを超えて、GenAIは非構造化または半構造化情報を要約できます。アラートメッセージ、Slackチャット、システムログを取り上げて、平易な言語の要約に変えることができます。たとえば、数千のログエントリが急上昇した場合、GenAIモデルは異常なトレンドを段落で説明することができます。これにより、アナリストはすべての詳細を理解する必要がなくなり、AIが生成した迅速な洞察を得ることができます。
- トレーニング&ポリシー: 一部のチームはGenAIを使用して現実的なトレーニングシナリオを生成しています。例えば、フィッシングメールの例をスタッフに合わせて作成したり、新しいセキュリティポリシーの説明を個別に書いたりできます。GenAIは既存のポリシーを分析してギャップを見つけ、ベストプラクティスに基づいた改訂ポリシーをドラフトすることもあります。これにより、意識とドキュメンテーションの維持が効率化されますが、すべての出力は人間によって検証されます。
生成的AIはサイバーセキュリティオペレーションを強化するための大きな機会を提供しますが、同時に新たな課題ももたらします。敵対者も同じAI駆動のツールを採用して、攻撃の速度、規模、および洗練度を高めています。実際のところ、Gartnerは、攻撃者がGenAIからの生産性とスキルの向上を期待している多くの業界と同様の利益を得ると予想しています。GenAIツールは、攻撃者が低コストで攻撃の数量と質を向上させることを可能にし、その技術を活用して、スキャン&エクスプロイト活動のような領域でより多くのワークフローを自動化するでしょう。攻撃側は、攻撃戦略にコンプライアンスや法規制の実装を必要としません。 この遅延は複雑な脅威に対して時間、場合によっては日単位に延びることがあり、攻撃者にとって大きなアドバンテージをもたらします。
新たなAI規制の出現も複雑さを増し、法的リスクや戦術的制限を導入していますが、これらはまだ完全には理解されていません。Gartnerは2025年までに、生成的AIがそれを保護するために必要なサイバーセキュリティリソースを15%増加させると予想しており、アプリケーションとデータセキュリティへの支出が増加するとしています。生成的AIのメカニズムやデータソースの透明性の欠如が、生成的サイバーセキュリティAIアプリケーションの出力を基にしたアクションの自動化に対してセキュリティリーダーをためらわせています。その結果、強制的な承認ワークフローと詳細なドキュメンテーションが必要となり、組織がこれらのシステムに十分な信頼を得て、徐々に自動化レベルを向上させるまで必要になるでしょう。
SOC PrimeのAI SOCエコシステム
検出をコード化したり、AI駆動の検出エンジニアリングや自動脅威ハンティングをリードし、SOC Primeは強力なベンダーに依存しないAI SOCエコシステムの中で最先端のセキュリティソリューションを統合しています。AIと集団的専門知識に駆動されるSOC Prime技術は、我々のパートナーの革新と共に、比類のないサイバー防御能力を提供します。
SOC PrimeのAI SOCエコシステム はコミュニティ主導の専門知識を核心に持ち、主に日常的なタスクを拡張し、セキュリティチームのためのコ・パイロットとして作用することを目的とした現在のAI採用の主要なトレンドを反映しています。これは、脅威に基づく防御アプローチのゲームチェンジャーであり、継続的な改善に向けた文化を奨励し、ブルーチーム、レッドチーム、パープルチームの連携によって継続的に防御能力を試験し改善することで効果を高めるものです。5年戦略サイクルに基づいて構築されており、多様なツールや手法に渡って透明性を確保するためにオープンスタンダードを活用し、脅威が進化するにつれて組織が防御を統合し調整することを可能にします。軍事グレードの戦術や技術を反映した脅威インテリジェンスを活用することで、脅威に基づく防御アプローチはサイバーセキュリティチームに予測、検出、対応能力を与えます。
AI配置が人間の専門知識を高めることで単一目的の分析を上回るとするGartnerの予測に同調し、SOC PrimeのAIエコシステムはコミュニティ駆動の知識とともに最先端の機械学習を組み合わせることで、サイバーセキュリティチームの能力を増幅するように設計されています。このエコシステムの中心には SOC Primeプラットフォームがあり、3つの主要製品を提供します。 Threat Detection Marketplaceは世界最大の検出コード化ライブラリとして機能し、厳選された検出コンテンツと実用的な脅威インテリジェンスを提供します。 Uncoder は、脅威に基づく検出エンジニアリングのためのプライベートIDEとAIコ・パイロットを提供します。そして Attack Detectiveは、高度な脅威検出と自動脅威ハンティングのためのエンタープライズ対応のSaaSです。
これらの革新を支えるために、SOC PrimeはLlamaのような市場をリードする大規模言語モデル(LLM)をプライベートホストで多様に活用しています。また、AI/MLモデル専用のスイートを維持しています:
- SOC Prime Retrieval-Augmented Generation(RAG)LLMモデル。 500,000以上のルールとクエリを11,000の高品質なメタデータラベルにマッピングしたSOC Primeのユニークなコレクションを持つRAGデータベースによって強化され、このLLMモデルは生のCTIデータからコンテキストに富んだ検出ルール生成を可能にします。
- SOC Prime MITRE ATT&CK® タグ付けMLモデル。 2018年の最初のEU ATT&CKコミュニティワークショップで、SigmaルールへのATT&CKタグ付けを導入したSOC Primeの革新に基づき、SigmaとRootaの検出コードに対する自動ATT&CK(サブ)手法タグ付けが可能なMLモデルをSOC Primeがキュレートしています。既知ウリッド、EDR、データレイクのネイティブクエリ、Sigmaルール、および高品質の翻訳を含む世界最大のデータセットで50,000以上のルールとクエリに訓練されています。
- SOC Prime言語検出MLモデル。 SOC PrimeはこのMLモデルをキュレートし、ウリッド、EDR、データレイク形式の44種類の異なるSIEMクエリ言語識別を自動化します。SOC Primeの500,000以上のルールとクエリのデータセット、ネイティブルール、Sigmaルール、そして高品質の翻訳に基づいて訓練されています。
Uncoderの例を用いて、どのようにしてGenAIが日常のサイバーセキュリティオペレーションを強化できるかを見てみましょう。Uncoderは最近大幅なアップデートを受け、脅威に基づいた検出エンジニアリングのためのAI駆動機能のバリエーションを100%無料で提供しています。
Uncoderは、検出エンジニアおよびSOCアナリストのためのプライベートノンエージェンティックAIです。Uncoder AIの最新アップデートは2025年5月にリリースされ、最も人気のある技術に渡って検出ルールを作成、翻訳、最適化する方法を強化するための堅実な機能セットを導入し、進展するサイバーセキュリティの風景でセキュリティチームが先んじるためのゲームチェンジャーとなっています。
Uncoder AI は、500,000以上の検出ルールとクエリに11,000以上のコンテキストラベルを付けて強化した世界最大のデータセットで訓練されたSOC Primeの独自の機械学習モデルと、市場をリードする公開LLMとの選択された統合により駆動されています。 AI駆動機能の大多数は、検出エンジニアリングと脅威インテリジェンス処理にカスタマイズされたLlama 3.3を使用しており、このモデルはSOC PrimeのSOC 2 Type IIに準拠するプライベートクラウド内で完全に動作し、データの完全な管理、厳格なプライバシー、IP保護を確保しています。追加のLLMのサポートが予定されており、ユーザーにより多くの柔軟性を提供しつつ、プライバシーファーストのアプローチを維持します。
次の Uncoder AIに支えられたAI駆動能力 は現在無料で利用可能です:
-
- 脅威レポートからのルール/クエリ生成。 提供された脅威レポートを分析し、記載された動作を検出するためのルール/クエリを生成します。
- カスタムプロンプトによるルール/クエリ生成。 提供されたカスタムプロンプトを分析し、ユーザーの指示に基づいてルール/クエリを生成します。
- 意思決定木の要約。クエリ/ルールを分析し、すべての埋め込み、分岐、および他の複雑な論理をステップバイステップで説明します。
- 短縮および完全なルール/クエリの要約。 ルール/クエリを分析し、検出ロジックと関連するすべての細かいポイントの詳細でわかりやすい説明を提供します。
- クエリ最適化。 クエリを分析し、その最適化を確認するか、パフォーマンス向上を提案します。
- ルール構文および構造の検証。 ルール/クエリの構文と構造を分析し、エラーをマークし、改良点を提案するか、すべてが正しいと確認します。
- 攻撃フロー生成(ベータ版)。 提供された脅威レポートや他の悪意のある活動の説明を分析し、攻撃フローの形式で視覚化します。
- MITRE ATT&CKタグの予測。 SOC PrimeのプライベートホストエードMLモデルを使用し、SigmaルールをATT&CK技法や副技術にマッピングします。
- AI支援のクロスプラットフォーム翻訳。 プラットフォームネイティブ言語間で翻訳します。基本的なクエリロジックはネイティブに翻訳されますが、高度な機能の翻訳 はサードパーティAIのOpenAIのGPT-4oミニモデルによって生成されます。
- Rootaへの変換。 プラットフォーム固有のルールまたはクエリをRootaルールに変換し、SOC Primeの独自アルゴリズムとAIを使用してメタデータで強化します。
- 脅威レポートからのルール/クエリ生成。 提供された脅威レポートを分析し、記載された動作を検出するためのルール/クエリを生成します。
SOC Primeプラットフォームへの登録 AI駆動機能を探索し、GenAIがSOCオペレーションの効率を向上させるゲームチェンジャーとしてどのように作用するかを体験するために。
