Trust Base は金融DXを牽引するマルチクラウド環境を守るため、Security Copilot を活用した “次世代 SOC” に挑戦

3 大クラウドサービス (AWS・Azure・Google Cloud) を活用して自社開発した生成AIアプリやデータ分析基盤等を守るために、SOC 構築プロジェクトを始動。サイバーセキュリティ人材の確保・育成が困難な中、SOC のカバー範囲を広げ、省力化を最大限に高める方法を検討していました。

SOC 業務の省力化や、サイバーセキュリティ人材を効率的に戦力化する方法として生成 AI の可能性に期待し、Microsoft Security Copilot (旧称 Microsoft Copilot for Security) のEAP (早期検証プログラム) に参加。ペネトレーションテストやインシデント調査自動化など、さまざまな検証を重ねた結果、次世代SOCの中核として期待できると判断。正式な採用に至っています。

Microsoft Defender for XDR や Microsoft Sentinel、Microsoft Defender Threat Intelligenceと連携することで、有事の際にも Security Copilot が即時に情報を要約するほか、脅威アクターなどの情報にも日本語による問い合わせに応えて迅速に情報を提供。少数精鋭による SOC 業務をサポートしています。

金融 × DX。マルチクラウド環境での実証実験・開発を積極的に推進

Trust Base は、三井住友トラスト・グループ全体のデジタル戦略を推進するため、デジタル戦略子会社として 2021 年に設立。社内のデジタルワークプレイスおよびセキュリティの要として、 Microsoft 365 E5 を活用してきました。

そして、さまざまなサービスの実証実験や開発を行う環境を Microsoft Azure を含む 3大クラウドサービス上に構築しています。DXプラットフォームセンターセンター長の中川哲氏は、次のように説明します。

「当社設立の際、デジタルワークプレイスとそのセキュリティ対策に関しては Microsoft 365 を活用するのが一番早く、確実な手段でした。さらに、Azure OpenAI Service の提供が開始されると、三井住友信託銀行の各部門と連携しながら、オペレーションの変革を目指したさまざまな実証実験にチャレンジしています。また、AWS はITサービスを内製開発するにあたって欠かせません。これに Google Cloud も加えて、金融DXを牽引するマルチクラウド環境を整備しています」

マルチクラウドを守る SOC 業務を、少数精鋭で支える方法を模索

3大クラウドサービスを活用している Trust Base には、大きな課題が 1 つありました。それは、拡大したアタックサーフェスをいかに適切かつ効率的に管理し、サイバーレジリエンスを強化するかという課題です。

金融庁が公表した「金融分野におけるサイバーセキュリティに関するガイドライン（2024年10月4日）」において、金融機関等に対して SOC (Security Operation Center) 等のサイバー攻撃に対する監視体制や CSIRT (Computer Security Incident Response Team) などの危機管理体制の整備が求められています。SOC 業務に関しては外部のリソース活用が認められていますが、3 大クラウドのすべてをカバーする SOC サービスを提供するベンダーは存在しません。

そこで Trust Base でSOC 業務の経験が豊富な紀野國靖士氏をリーダーとした “次世代 SOC 構築プロジェクト” を始動しました。これに伴い、SOCアナリストの拡充が必須となりますが、インシデント分析の経験豊富な人材の獲得は容易ではありません。

そのため、経験の浅い人材でも効率的に戦力化できる方法として生成 AI の活用に着目。Security Copilot の EAP に、いち早く参加していました。

セキュリティ人材の中でも特に「クラウド上で発生したサイバーインシデントに対応できる人材」の確保が困難となっています。Security Copilot が、そうした人材の育成を支援してくれると期待しています。たとえば、3 大クラウドサービスにそれぞれ精通したエンジニアが、Security Copilot を活用することでインシデント対応できるようになるのが理想です。

中川哲氏, DXプラットフォームセンターセンター長, Trust Base 株式会社

Microsoft 365 E5 ＋ Security Copilot のメリット

Security Copilot EAP に参加した Trust Base では、ペネトレーションテストなどを重ねて、その性能を厳しく評価。その結果、さまざまなメリットを確信したと言います。

その筆頭に挙げられるのが、脅威検出から対応までを自動化する Microsoft Sentinel や、マルチクラウド全体の脅威を可視化する Microsoft Defender for XDR、IDとアクセスを管理する Microsoft Entra ID、デバイスを管理する Microsoft Intune 等のセキュリティ製品との親和性の高さです。

おかげで、インシデントの初期対応が迅速に行えるようになったと、DXプラットフォームセンターシニアマネージャー石田紘朗氏は言います。

「たとえば、Sentinel からアラートが上がってきた場合など、複雑なクエリを書く必要もなく、管理画面上にトリアージされた情報からインシデントの詳細をたどり、日本語文による問い合わせで必要なログを抽出することができます。そのほか、Entra ID などとも密に連携しているため、1 つの画面を見ているだけで大方の状況を把握することが可能です。これだけでも製品版を契約する価値がありました」

Security Copilot によるサイバーセキュリティ人材育成への影響

Security Copilot の活用として、Trust Base がさらに期待しているのが「サイバーセキュリティ人材育成」の支援です。

たとえば、マイクロソフトが公開している「カスタムプロンプトブック」を活用することで、熟練の SOC 担当者が作成した「問い合わせのテンプレート」をチームで共有し、得られる回答のバラつきをなくしていくことも可能だと、石田氏は言います。

さらに紀野國氏は「脅威ナレッジの学習に関しては、経験の多寡にかかわらず、すべての SOC 担当者にとって大いに役立つと思います。日本語文で問い合わせるだけで、膨大な情報の中から脅威アクターの情報などを把握できる、助かります。経験の浅い担当者でも、脅威に関する情報を多角的に調べることが可能です。そして、その経過で得た情報を持って上司にエスカレーションすることで、業務的にも、人材育成的にも、より効率的なプロセスを確立できるのではないでしょうか」と話します。

「また、こうした利便性を応用して『インシデント発生時に、現在の脅威トレンドと照らして情報を要約する』といった、より高度な問い合わせが可能になれば、次世代 SOC の運用も大幅に効率的になるのではないでしょうか」(紀野國氏)

セキュリティ運用のトランスフォーメーションのきっかけに

最後に、中川氏は「セキュリティ運用のトランスフォーメーションに期待している」と話します。

「SOC 業務に際して、外部のリソースを活用するとしても 3大クラウドサービスのすべてをサポートしてくれる SOC ベンダーは存在しません。一方で、自社の SOC 担当者に対して、それぞれのクラウドサービスについてマスターし、対応しろと言うのも現実的ではありません。そのため、DX のスピード感を落とすことなく、SOC 担当者の日常的な労力を少しでも減らして行くセキュリティ運用のトランスフォーメーションが実現できないかと考えています。そして、Security Copilot は、十分にその進化のきっかけになれると考えています。そのために、マイクロソフトの開発投資と開発スピードに大いに期待しています」

SOC 業務の経験者として、Security Copilot を活用すれば「インシデントへの初期対応において、かなりの時間を短縮できる」と実感しています。担当者の熟練度によらず、ログ抽出から初期段階の分析まで、自然言語で Security Copilot に問い合わせることで作業を進めることができることが、その理由です。

紀野國靖士氏, DXプラットフォームセンターシニアマネージャー, Trust Base 株式会社

Security Copilot に攻撃トレンドなどの情報を問い合わせることで、脅威インテリジェンスのための「壁打ち」として日常的に活用できる点を、特に気に入っています。また、未知のインシデントに直面した時も Security Copilot に問い合わせることで、解決に向けたヒントをスピーディーに得ることができるため、とても助かります。

石田紘朗氏, DXプラットフォームセンターシニアマネージャー, Trust Base 株式会社