日本電気株式会社(NEC)は5月19日、脅威インテリジェンスの生成にChatGPTをはじめとするLLM(大規模言語モデル)が活用できるのかについて同社セキュリティブログで解説している。NEC サイバーセキュリティ戦略統括部 セキュリティ技術センターの川北将氏が執筆している。
脅威インテリジェンスは、脅威が組織に害を及ぼすことを防ぐため、また、そのような脅威の影響を軽減する情報に基づく行動を促すために、脅威に関する情報を収集し分析することを言い、プロセスだけでなく、成果物としての情報も指す。
一般的なインテリジェンスには、攻撃に関する具体的な情報を指す Tactical Intelligence(戦術インテリジェンス)、特定の攻撃の意図や性質を指す Operational Intelligence(運用インテリジェンス)、組織を取り巻く脅威について様々な角度から分析した Strategic Intelligence(戦略インテリジェンス)の3種類があり、利用する人の立場や目的がそれぞれ異なっている。
脅威インテリジェンス生成の多くのシーンでは既に、AIが活用されており、ルールや機械学習によってネットワーク機器やエンドポイントのログから攻撃元のIPアドレスやマルウェアの特徴を抽出してセキュリティ対策に活用する、戦術インテリジェンスのプロセスを回すことは一般的となっている。
運用インテリジェンスでも、機械学習で生データやレポートから攻撃事象をMITRE ATT&CKへマップすることで攻撃手法の全体像を明らかにし、リスク評価や脅威ハンティング、インシデントレスポンスに活用している。
しかし、主な利用者が機械や専門家でない経営層である戦略インテリジェンスは、セキュリティアナリストが必要なファクトを集め、「想像力を働かせながら(アブダクション(仮説形成))」分析して仮説を生み出すことで経営層の期待に応えていたが、従来のAIが苦手とするもので、他のインテリジェンスに比べると自動化が困難となっていた。
同ブログでは、脅威アクターの調査、サイバー攻撃事例の調査、技術者向けレポートの作成、経営者向けレポートの作成、ややディープな情報収集について、最新のLLMを活用した対話型サービスで脅威インテリジェンスの成果物が作成できるのか、成果物の材料となる情報の収集と要約を回答として得るために、できるだけ簡素な質問を投げかけて、その結果をまとめている。
