生成AIをサイバー防衛に使う どのような効果があるのか

CrowdStrikeは生成AI「Charlotte AI」を発表した。サイバー防衛に役立つという。どのように役立つのだろうか。

[Matt Kapko，Cybersecurity Dive]

　CrowdStrikeは生成AI（人工知能）と大規模言語モデル（LLM）を使って、データセットと脅威インテリジェンスから有用な情報を引き出すことを計画している。

Charlotte AIは何に役立つのか

　同社は、2023年5月30日にエンドポイント検知および対応プラットフォームに生成AIツール「Charlotte AI」を追加し（注1）、生成AIとLLMを活用した防御のためのさらなる機能を開発する予定だ。

　Charlotte AIは組織内で生じたサイバーインシデントを素早く発見し、セキュリティ侵害を迅速に特定し、効果的に対処する際に役立つという。

　CIO（最高情報責任者）やCISO（最高情報セキュリティ責任者）のレベルでは、「自社のシステムに『Microsoft Outlook』に関する脆弱（ぜいじゃく）性はあるのか？」「当社のビジネスクリティカルな資産が直面する最大のリスクは何か？」「当社は『Log4j』の脆弱性から守られているか？　どこにリスクがあるか？」といった質問をCharlotte AIに投げ掛けることができる。

　脅威ハンティング担当者であれば、「どの脅威アクターが当社を標的にしているのか？」「敵対者によって悪用されている重要な脆弱性は何か？」「発見したセキュリティ侵害インジケーター（IoC）について、エンドポイント資産を調査できるか？」「影響を受けたエンドポイントに対して推奨される最善の修復措置は何か？」といった質問ができる。

LLMから防衛力を引き出すには

　CrowdStrikeのジョージ・カーツ氏（社長兼CEO兼共同創業者）は2023年5月31日の決算発表の際に次のように述べた。

　「生成AIは世界を変革しており、セキュリティも例外ではない。LLMは学習対象となるデータと同じくらい優れており、人間が注釈を付けたコンテンツは最高の学習データとなる。LLMは時間の経過とともにコモディティ化すると予想されるが、LLMを訓練するためのデータは別だろう」

　カーツ氏はCrowdStrikeの10年にわたるAIに関する経験を強調し、同社はLLMをクラウドプラットフォームと同様に捉えており、目的に応じて異なるモデルを活用すると述べた。

　「LLMを自社のデータセットの中で入れ替えることで最良の結果をもたらすことができる。自社独自のものを作るかもしれない。それ以上に重要なのは必要なトレーニングを受けるための適切なデータセットを手に入れたことだと思う」（カーツ氏）

　2023年5月29日の週にAmazon Web Servicesとパートナーシップを締結したように（注2）、Crowd Strikeは生成AIアプリケーション開発に当たり複数のAIに関する取り組みを進めている。

　CrowdStrikeは脅威グラフと注釈付き脅威データを組み合わせている。カーツ氏がサイバー防衛に関する生成AIの活用において持続的な競争優位性をうたう根拠がこれだ。

　生成AIが急速に成長し、普及することによって、サイバーセキュリティが民主化されるとカーツ氏は述べた。これはサイバー攻撃者優位の現状を変え、防御者の力を強める可能性があるという意味だ。

　「私たちがこれらのアルゴリズムを訓練できるようになってから10年たったが、ほとんどの人が知っている通り、実際には人間との相互作用がそれらのLLMの潜在力を引き出している」（カーツ氏）

　CrowdStrikeは2023年4月30日に終了した2024年度第1四半期の会計において（注3）、約6億9300万ドルの売上高に対して、約50万ドルの純利益を計上した。これは、同社が2019年に上場して以来、初の四半期利益だ。

出典：CrowdStrike adds threat data to generative AI push（Cybersecurity Dive）

注1：CrowdStrike Introduces Charlotte AI to Deliver Generative AI-Powered Cybersecurity（CrowdStrike）

注2：CrowdStrike to Accelerate Development of AI in Cybersecurity with AWS（CrowdStrike）

注3：Supplemental Disclosures Q1 FY24（CROWDSTRIKE HOLDINGS, INC.）