【Copilotのセキュリティ対策】Microsoft Copilot for Securityとは?使い方の解説からデプロイ方法まで解説
DXソリューション営業本部の高山です。
今回は2024年4月1日にGA(一般公開)されたMicrosoft Copilot for Securityの検証内容についてご紹介したいと思います。
Microsoft Copilot for Securityとは
Microsoft Copilot for Securityの機能は以下Microsoft Docsで説明されています。
https://learn.microsoft.com/ja-jp/security-copilot/microsoft-security-copilot
機能についてCopilot(Microsoft Bing)に要約してもらった結果は以下の通りです。(青背景部分)
Copilot for Securityは、自然言語と支援的な副操縦士の経験を提供します。統合を念頭に置いて設計され、Microsoftセキュリティポートフォリオの製品とシームレスに統合します。具体的には、Microsoft Defender XDR、Microsoft Sentinel、Microsoft Intune、ServiceNowなどのサードパーティサービスと統合されます。
このソリューションでは、OpenAIアーキテクチャの機能を活用し、組織固有の情報、権限のあるソース、グローバルな脅威インテリジェンスなどのセキュリティ固有のプラグインを使用してユーザープロンプトへの応答を生成します。プラグインをデータポイントソースとして活用することで、セキュリティプロフェッショナルは脅威を広く可視化し、より多くのコンテキストを得て、ソリューションの機能を拡張できます。
Copilot for Securityの主なユースケースは以下の通りです:
-
インシデントの概要:
- ジェネレーティブAIを活用して複雑なセキュリティアラートを簡潔で実用的な要約に迅速に変換し、応答時間を短縮します。
- インシデントのコンテキストを獲得し、組織全体のコミュニケーションを向上させます。
-
影響分析:
- AI主導の分析を使用してセキュリティインシデントの潜在的な影響を評価し、対応作業に効果的に優先順位を付けます。
-
スクリプトのリバースエンジニアリング:
- マルウェアの手動リバースエンジニアリングを不要にし、アナリストが攻撃者によって実行されるアクションを理解できるようにします。
- 複雑なコマンドラインスクリプトを分析し、明確な説明を使用して自然言語に変換します。
-
ガイド付き応答:
- インシデント対応に関する実用的なステップバイステップガイダンスを提供します。
- 推奨されるアクションへの関連するディープリンクにより、迅速な対応が可能になります。
Copilot for Securityは、Microsoft Defender XDR、Microsoft SentinelなどのMicrosoftセキュリティソリューションとシームレスに統合され、直感的な埋め込みエクスペリエンスを通じてアクセスできます。
サードパーティとして記載されている各サービスの機能は以下表の通りです。
※ 2024年4月9日時点
https://learn.microsoft.com/ja-jp/security-copilot/experiences-security-copilot
| Microsoft Defender XDR | - インシデントを要約する - スクリプトとコードを分析する - ハンティング用の KQL クエリを生成する - ガイド付き応答を使用する - インシデント レポートを作成する - デバイス情報を要約する - ファイルの分析 |
| Microsoft Entra | - リスクの高いユーザーを調査する |
| Microsoft Intune | - ポリシーと設定の管理 - Intuneで Microsoft Copilot を使用してデバイスのトラブルシューティングを行う |
| Microsoft Purview | - Microsoft Purview データ損失防止 アラートを調査する - Microsoft Copilot for Securityを使用してコミュニケーション コンプライアンス メッセージを要約する - インサイダー リスク管理活動を調査する - Microsoft Copilot for Securityを使用して電子情報開示メッセージを要約する |
| Microsoft Defender 脅威インテリジェンス | - 脅威インテリジェンスにCopilot for Securityを使用する |
つまり、Microsoftが提供するSaaSサービスと連携しクエリの作成や調査のサポートをしてくれるとのことです。
うーん、まだ具体的なイメージが付かないため、Copilot(Microsoft Bing)に「人間が実施するタスク」と「Microsoft Copilot for Security」が実施するタスクについて聞いてみました。
結果は以下の通りです。(青背景部分)
-
Microsoft Copilot for Securityが自発的に実施する内容:
-
自然言語のCopilotエクスペリエンス:
- Copilot for Securityは、自然言語での質問に対して迅速な回答を提供します。セキュリティとITタスクについての質問をすると、具体的なアクションにつながる回答を数秒で受け取ることができます。
-
セキュリティオペレーション:
- インシデントの解決:
- Copilot for Securityは、異常なアクティビティを検出し、適切な対応を提案します。たとえば、不正アクセスの試行やマルウェアの検出などです。
- デバイス管理:
- デバイス情報の入手
- ID管理
- アクセスポリシーの表示
- データの保護:
- ユーザーリスクの検出
- 脆弱性の管理と調査の促進
- インシデントの解決:
-
統合:
- Copilot for Securityは、Microsoft Sentinel、Microsoft Defender XDR、Microsoft Intune、Microsoft Defender脅威インテリジェンス、Microsoft Entra、Microsoft Purview、Microsoft Defender外部攻撃面管理など、統合された製品と連携しています。
-
-
人間が行うべきタスク:
- インシデント対応:
- 重大なセキュリティインシデントに対して適切な対応を行います。
- 脅威ハンティング:
- 新たな脅威を探し出し、セキュリティ対策を強化します。
- インテリジェンス収集:
- セキュリティ情報を収集し、組織のリスクを評価します。
- ポスチャ管理:
- セキュリティポリシーの遵守を確認し、セキュリティのベストプラクティスを実施します。
- インシデント対応:
Microsoft Copilot for Securityは、AIのスピードと規模で保護し、セキュリティ運用を効率化します 。
自動でAIがセキュリティリスクに対して対応するのでは無く、発生したインシデントに対して人間(運用担当者)がCopilotのプロンプトに質問を入力することで対応方法やアドバイスの回答を受信し、その内容に基づいて対応するという流れの様です。
Microsoft Copilot for Securityのデプロイ
では実際にMicrosoft Copilot for Securityを試していきたいと思います。
Microsoft Copilot for Securityをデプロイするために以下URLにアクセスします。
https://securitycopilot.microsoft.com/tour/admin
赤枠部分の必要な情報を入力します。 
以上でデプロイ作業は完了です。
Azureリソースを確認するとCopilot for Securityのリソースが作成されています。
Microsoft Copilot for SecurityとMicrosoft Intuneの連携
デプロイが完了したので、早速利用します。
Intuneの説明については以下ブログをご覧下さい。
【初心者必見】Microsoft Intune とは?できること、メリットについて解説
https://intune.microsoft.com/#homeにアクセスしIntuneにログインするとCopilotが表示されます。
ポリシー設定値の要約
実際の動作を確認するためにIntuneのMDMポリシーの作成画面で確認します。
動作イメージは以下動画の通りです。
ポリシー作成画面に画像内①の「Copilotアイコン」が表示されクリックするとポリシーに関する要約が表示されました。
Intuneのポリシーは更新されるため、新しいポリシーや既存のポリシーが統合される場合、Microsoft Docsを確認する必要があるため、このサポートはとても有用であると感じました。
作成したポリシーの要約
次に作成したポリシーについて内容を要約します。
動作イメージは以下動画の通りです。
ポリシー作成画面に画像内①の「Copilotアイコン」が表示されクリックすると作成したポリシー内容の要約が表示されました。
回答が英語であることが気になりますが、本ポリシーがMinimum OS version(最小バージョン)が10.0.19046に設定されていること、ComplianceTestUsersグループに割り当てられていることが分かりました。
上記内容はポリシーのパラメータを見れば分かることですがIntuneに対する知識の無い方が、作成済みのポリシー内容を理解するうえで有用であると思います。
デバイス状態の要約
最後にデバイスの状態について要約します。
要約する内容は2024年4月時点では既定のプロンプトが用意されています。
- デバイスの要約
- エラーコードを要約する
- このデバイスを別のデバイスと比較する
- このデバイスのアプリを表示する
- このデバイスに割り当てられているポリシーを表示する
- グループ メンバーシップを表示する
- このデバイスのプライマリ ユーザーを表示する
用意されているプロンプトではデバイスのプロパティを見れば分かる内容が多い様に見受けられます。
その中で別デバイスとの比較について動作を確認してみます。
動作イメージは以下動画の通りです。
デバイス詳細画面に画像内①の「Copilotアイコン」が表示されクリックするとデバイス状態の要約が表示されました。
要約し比較した結果、デバイス:HGCL02とデバイス:DESKTOP-8RFVFBEにて、割り当てられているコンプライアンスポリシーの差分として「OSVersion」というポリシーがデバイス:HGCL02にのみ割り当てられていることが分かりました。
この機能があれば、一方のデバイスで意図しない動作をするケースが発生した場合に正常なデバイスと状態の比較が可能となり解決のヒントが得られると思います。
まとめ
いかがでしたでしょうか、本機能を使用することでMicrosoft Intune等のMicrosoftが提供するSaaSソリューションを運用するうえで調査するコストが削減できると思います。ゼロトラスト・セキュリティ 導入支援(Microsoft Intune【デバイス管理】)
次回はMicrosoftが提供する SaaS ベースのセキュリティ ツールであるMicrosoft Defender XDRとイベント管理(SIEM ※シーム・Security Information and Event Management)のMicrosoft Sentinelとの連携について記載したいと思います。
※このブログで参照されている、Microsoft、Windows、Microsoft Azure、その他のマイクロソフト製品およびサービスは、米国およびその他の国におけるマイクロソフトの商標または登録商標です。
