SentinelOneがAIを活用したサイバーセキュリティでAWSと協力
いつもご覧いただきありがとうございます。
この記事は、2024年10月18日のSDxCentralの以下の記事を意訳したものになります。意訳後に記事に関する考察を述べています。
SentinelOne expands collaboration with AWS for AI-powered cybersecurity
SentinelOne、AIを活用したサイバーセキュリティでAWSとの協力を拡大
SentinelOneがAI活用したサイバーセキュリティでAWSとの協力を拡大
高度なサイバーセキュリティソリューションを求める企業にとって、SentinelOneが最近Amazon Web Services(AWS)との戦略的協力を拡大したことは重要な意味を持ちます。このパートナーシップは、クラウドおよびエンドポイントセキュリティのための生成AI機能と、AI-SIEMソリューションを「Purple AI」の導入を通じて強化することを目的としています。
この協力を通じて、Amazon Bedrockの技術で強化されたSentinelOneのサイバーセキュリティアナリスト「Purple AI」は、顧客にAI駆動のセキュリティ対策を提供します。戦略的協力契約(SCA:Strategic Collaboration Agreement)の延長により、AWSマーケットプレイスを通じて提供されるSentinelOneのAI駆動シンギュラリティー(技術的特異点)プラットフォームへの投資が増加します。この取り組みにより、企業は統合されたプラットフォームを通じて包括的な保護にアクセスできるようになります。
「SentinelOneは、今日のマシンスピードの攻撃や、明日の新たな脅威から顧客を守るためにAI駆動のセキュリティに注力しています」と、SentinelOneのAIおよび機械学習エンジニアリング担当副社長であるGREgor Stewart氏は述べています。「AWSのAIインフラストラクチャとAmazon Bedrockを活用して、自社のモデルを訓練、調整、提供することで、AWSの顧客に今日の最先端の生成AIセキュリティアナリストおよび将来のPurple AIの革新を、すべてAWS内で提供できるようになります」
Purple AIは、セキュリティチームが脅威をより迅速に特定し、調査を効率化することを支援します。自然言語による質問から構造化されたクエリを提供し、アナリストに推奨手順を案内します。オープンサイバーセキュリティスキーマフレームワーク(OCSF)に対応しているため、SentinelOneおよびサードパーティのセキュリティデータの管理が改善されます。
SentinelOneのイノベーションへの取り組みには、Amazon Bedrockを通じて大規模言語モデル(LLM)を選択し、特定のユースケースに合わせたセキュリティソリューションをカスタマイズできるオプションが含まれています。Amazon Bedrockは、さまざまな主要AI企業の高性能なファウンデーションモデルを提供し、生成AIアプリケーションを安全に構築する機能を強化します。
EBlockのインフラストラクチャおよびIT担当副社長であるGuilherme Blanco氏は、「AWSとSentinelOneの協力は、私たちのビジネスに最適なセキュリティソリューションをこれまで以上に迅速に特定、試行、購入、導入することを可能にする、まさにゲームチェンジャーです」と述べています。
顧客をさらに支援するために、SentinelOneはAWSの共同販売プログラムに参加し、シンギュラリティープラットフォームをAWSマーケットプレイスを通じて提供します。この戦略は、組織の調達プロセスを簡素化することを目的としています。
AWSのテクノロジーパートナーシップ担当マネージングディレクターであるChris Grusz氏は、「SentinelOneとの協力を深め、生成AI駆動のセキュリティソリューションに対する需要の増加に対応するために協力することで、私たちはお客様がレジリエンスを構築し、今日および未来のサイバーセキュリティ脅威に対してより良い防御を提供できる能力を強化します」と述べています。
このコンテンツは、公式プレスリリースや組織のウェブサイト、SDxCentralに掲載された信頼できるコンテンツなどの権威ある情報源を使用して、人工知能(AI)モデルの一部によって生成されました。
情報、見解、意見は、コンテンツを提供する組織にのみ属し、SDxCentralの見解を反映するものでも支持されるものでもありません。SDxCentralは正確性を追求していますが、AI生成コンテンツには誤りが含まれる可能性があります。不正確な点を発見した場合は、サポートポータルを通じてご報告ください。迅速に修正いたします。
以上が、SDxCentral の記事の意訳になります。
この記事に関する考察
最後の段落に記載されているように、SDxCentralの記事もAIモデルで自動生成されるようになりました。
自動生成されているため、SDxCentral社の見解でもなく、記事の支持もしていないとのことです(間違いがあった場合は、サポートに連絡してくれとのこと)
このような記事がどんどん"テキスト生成AI"で自動生成されるようになると、何がなんだか分からなくなってきますね。
そもそもテキスト生成AIは、それらしいウソ、ハルシネーションの問題がありますが、そのインプットとなる記事自体も、生成AIが作成したものであり、ハルシネーションを含んだものから生成されたものである可能性があります。つまり間違った情報から生成されているので、その記事自体は正しいことになります。
特に、Open-AIのChatGPT等は、情報ソースが開示されていないので、もとの情報が正しいのかどうかを各自で直接確認することはできません。
ChatGPTのプロンプトフィールドの下には「ChatGPT の回答は必ずしも正しいとは限りません。重要な情報は確認するようにしてください。」の注意書きが記載されています。
ChatGPTと違い情報ソースを提示しているAI検索のPerplexity(パープレキシティ)は、ニューヨーク・タイムズ(The New York Times)が自社コンテンツへのアクセスと利用を停止することを求めた「停止通告書」を送付しています。コンテンツを利用するならお金を払えということですね。
話を元に戻して「Purple AI」についてですが、Purple AIはSentinelOneが開発したサイバーセキュリティ分野に特化したテキスト生成AIです。ChatGPTのようなチャットボット形式で提供されており、 SOC チームの脅威ハンティング、調査分析、インシデント対応における効率化を目的としています。
SOCチームが、調べたい内容を自然言語で入力することで、クエリ文が生成されて実行されます。不正行為の調査や、その対処方法の提案などの回答を得ることができます。
今回、AWSとの戦略的協力契約(SCA:Strategic Collaboration Agreement)により、Purple AIがAmazon Bedrockと連携して提供されるとのことです。
Amazon Bedrockは、AWSのマネージドAIサービスです。Purple AIが、Amazon Bedrockと連携して提供されることの最も大きいメリットは、顧客が自社のニーズに合った最適な基盤モデル(LLM)を選択できるようになることになるかと思います。
通常製品に組み込まれてしまっているAIは、基盤モデル(LLM)が不明な場合が多く、モデルを変更することができません。
Purple AIを利用したことがないので、回答内容がどの程度なのか分かりかねますが、SOCチームがわざわざAIの基盤モデル(LLM)を変更まで行うかどうかについては、甚だ疑問です。
SOCチームが、いちいち基盤モデル(LLM)を変更し、複数の回答を得て、その上で判断をするのであれば、効率が良くなるどころか逆に悪くなっているのではないかと思います。
そもそもSOCチームの多くは、クラウド(Amazon Bedrock)についても、AIの基盤モデル(LLM)についても詳しくない場合が殆どのため。
SEIMからXDRへ進む中、SentinelOneは、データレイク(≒SIEM)として、「Singularity Data Lake」を提供し、XDRとしては「Singularity Platform」を提供しており、Singularity Platform上で、Purple AIが稼働しています。
上記の記事における「エンドポイントセキュリティ(EPP/EDR)から、XDRへ進化」になりますが、イメージ図の下部に記載してある通り「INGEST DATA FROM ANY SOURCE(あらゆるソースからデータを取り込む)」で、IDaaS(Idps)や、SASE(Firewall,IPS,CASB等)とのログ連携については、サイバーセキュリティデータの標準化を目的としたオープンソースプロジェクトである Open Cybersecurity Schema Framework (OCSF)をベースにしています。
OCSF自体は、AWS、Splunk、IBMなどのIT企業が中心となって、2022年に立ち上げたプロジェクトです。基本スキーマをベースにして、各ベンダー・組織が独自の拡張を行うことができます(JSON形式)
つまり、それぞれのベンダーがOCSFに対応すると、それぞれのログがOCSFスキーマに変換して出力できるということになります。
AWSのAmazon Security LakeがOCSFを採用した最初サービスと言われていますが、AWS以外に、Splunk、CrowdStrike、Palo Alto Networks、IBM Security、Trend Micro、Zscaler、CloudflareなどもOCSF対応を表明しています。SentinelOneもそうなのだと思います。
つまり、OCSFベースであれば、ログ取り込み自体は、それほど敷居は高くないのですが、取り込んだログを関連付けし、すべてのログを統合的・相関的に分析できるかどうかが、XDRをSentinelOneベースにするかどうかの判断になると思います。
とはいえ、そもそも EPP/EDRはでたらめなばかりで、EDR自体がどうなの?と思っていますので、SentinelOneベースのXDRもどうなの?と思っています。
以上となります。