LLM活用で精度向上と調査時間の短縮も実現。国内トップレベルの機関からも頼られる、NECの脅威インテリジェンス生成の裏側。

近年、注目を集めている生成AI。この基盤となるLLM（Large Language Model）は、大量のテキストデータから学習を行い、人のように自然な文章生成や文章理解を行う言語モデルのことだ。NECは、このLLMとこれまで培ってきたサイバー脅威分析の知見を組み合わせることで、脅威インテリジェンスの生成を高精度かつ迅速化するシステムを開発した（2023年12月発表）。

NEC、サイバーセキュリティ分野においてLLMを組み込んだシステムを開発し社内で実践 (2023年12月15日): プレスリリース | NEC

日々公開されている攻撃者情報や攻撃手法、脆弱性等、年間1万件以上の脅威情報を網羅的に探索し、関連性を検証、信頼性の高い情報を抽出し分析した結果を社内に提供。経営層の意思決定や現場の対策検討に活かしている。

これらの脅威インテリジェンス（脅威情報を調査分析して得られた結果）は、お客さまに提供するシステムやサービスのセキュリティ強化に役立てられているという。国内トップレベルの機関からも頼られる、質の高い脅威インテリジェンスをどのように生成しているのだろうか。NEC サイバーセキュリティ戦略統括部でインテリジェンスチームを率いる角丸 貴洋、郡 義弘、郡司 啓の3名に話を聞いた。

（左から、郡、角丸、郡司）

脅威インテリジェンスにおける日本の課題

サイバー攻撃の多様化が進み、ガイドラインに沿った既定のセキュリティ対策だけでは十分とはいえなくなってきた。いまだランサムウェア攻撃の勢いは衰えず、攻撃ターゲットも業種・企業規模を問わない状況だ。昨今では、生成AIを悪用したサイバー攻撃など手口が巧妙化することも懸念されている。このような脅威の変化に追従していくためには、セキュリティの脅威情報を収集し、調査分析することで、脅威が顕在化する前に手を打つ、あるいは顕在化したあとにいち早く認知して手を打つなど、踏み込んだ対策が必要だ。

さらに、導入したセキュリティ対策を、継続的に見直すために、脅威インテリジェンスを判断材料として活用していくことで、リスク対応漏れや過剰投資の抑制につなげることができる。ところが、日本は諸外国に比べて、脅威インテリジェンスの活用が遅れていると郡はいう。

「日本でも脅威インテリジェンスをテーマにしたシンポジウムは開催されますが、インテリジェンスを活用しようという議論が中心です。海外で開催されるシンポジウムでは、脅威インテリジェンスを既に活用している前提で、具体的な課題に関する改善などについて議論されており、議論の焦点となるポイントが日本では一歩遅れているように感じます」

諸外国に比べて脅威インテリジェンスの分野では発展途上である日本においては、解析力とコンサルティングの考え方が求められる本分野の専門人材はまだまだ少ないという。

そこで、NECでは早くから人材の育成に力を入れてきた。脅威インテリジェンスの生成において、プロとして活躍していくには少なくとも約2～3年程度はかかるという。ただ情報を収集しレポーティングするだけでなく、お客様が実際に経営や現場での意思決定に使える内容へ仕上げなければならないからだ。最新情報のキャッチアップから現状の分析、最適な施策を提案できる実践力が求められる。

脅威インテリジェンス生成の能力を測るにあたって、SANSのGIACという資格が1つの指標となるが、GIACの中でも脅威インテリジェンス領域の資格であるGCTI（GIAC Cyber Threat Intelligence）を有しているのは全世界で数千人規模（参考：国家資格「情報処理安全確保支援士」登録者数は約2万人）。NECでも資格取得を推進しており、現在3名がGCTIを取得している。また、海外のカンファレンスへ積極的に参加し最新情報に触れる機会もつくってきた。

NECが質の高いインテリジェンスを生成できる理由

NECでは、「脅威インテリジェンス」を安全・安心な社会を実現するために必要なテクノロジー分野として位置づけ、早くから専任チームを立ち上げ活動している。現在は、約10名の精鋭メンバーで構成。少ない人数でも質の高いインテリジェンスを短時間で生成するために、日々情報を収集・蓄積し、調査に必要となる情報を素早く抽出できるようにしている。

さらに、LLMを活用した独自システムを開発し自動化を進め、より高精度なインテリジェンスを短時間で生成できるような取り組みも行っているという。例えば、攻撃者のこれまでの活動履歴や攻撃手法の変遷、被害があった業種や被害額等、深く調査したいテーマについて入力していくと、自動的に分析結果が出力されるため、従来人手で実施していた調査・分析時間を削減できる。社内での検証では、重要な情報の抽出や整理・要約にかかる作業時間を約50％削減できたという。

生成した脅威インテリジェンスは、どのように活用されているのだろうか。

NECは、情報セキュリティの確保を経営上の重要課題と位置付け、経済産業省と独立行政法人情報処理推進機構（IPA）が発行した「サイバーセキュリティ経営ガイドライン」や国際標準などに基づき、サイバー攻撃への対応を強化している。NECグループに対するサイバー攻撃状況や各社・各部門のリスク状況を全社員向けにダッシュボードで可視化することで、迅速な経営判断と現場の自律的なアクションにつなげている。

インテリジェンスチームでも　CISOを中心とした、全社セキュリティリスク管理の責任者が集まるマネジメント会議向けに、3ヶ月予報として定期的な脅威の見通しや脆弱性概況（注目トレンド3選）を報告している。さらに、生成AIのセキュリティリスクなど注目されている脅威や今後顕在化すると予測される脅威についても分析し説明している。

他にも、経済安全保障観点でのサイバー脅威分析レポートを経営層に提供し、ビジネスリスク低減にも役立てているのだ。

NECグループのサイバーセキュリティインテリジェンス生成と活用

これらの知見を活かして、NECのお客さま向けにも脅威インテリジェンスレポートとして提供しているという。また、産学連携の取り組みとして、国立高等専門学校機構の教員と意見交換をする際の資料にも役立てている。社外の方々に最新で正確なセキュリティ情報を提供することは、目の前のお客さまだけでなく日本全体のセキュリティアウェアネス向上につながると信じている。

国内トップレベルの機関からも脅威インテリジェンスレポート提供の依頼を受けることがある。これはNECが提供する脅威インテリジェンスに高い信頼を寄せている証ともいえるだろう。インテリジェンスのクオリティを担保するために、NECでは徹底していることがあると郡は話す。

「お客さまに脅威インテリジェンスレポートを渡すときには、必ず複数人でチェックすることを意識しています。一人だけで進めるとバイアスがかかってしまい、偏った意見のレポートに仕上がってしまうからです。レポートを活用するお客さまにとって、より意味のあるレポートとなるよう、様々なバックグラウンドのあるチームメンバーが協力し、多角的な視点で質の高いレポートを仕上げていくことは徹底しています」

NECサイバーセキュリティ戦略統括部　サイバーインテリジェンスグループ　

主任　郡 義弘（NECセキュリティ兼務）

およそ10名の少人数部隊であるが、質の高い役に立つ脅威インテリジェンスレポートを届けたいという強い意志が感じられた。

社内のセキュリティアウェアネスを向上させるコラム

NECサイバーセキュリティ戦略統括部では、セキュリティ関連の注目すべき記事を取り上げ、NECグループ社員向けにコラムとして発信している。営業、企画、経営、総務など、セキュリティ部門に限らず全社員がそれぞれの立場でセキュリティを意識してもらうための取り組みである。コラムを始めたきっかけについて、郡司に聞いてみた。

「もともと事業部門のセキュリティ責任者と隔週で開催しているサイバーセキュリティ事業戦略会議で、統括部長の淵上が、最新の話題の中から注目すべきセキュリティインシデントを取り上げて“セキュリティ・ホット・トピックス”として解説していました。ここで紹介される話はどれも興味深くためになる内容ばかりで、会議参加者だけでなく、現場の社員の方にも気づきが得られる内容だと思いました。そこで、淵上が話した内容をそのまま公開するのではなく会議での話をベースに、インテリジェンスチームとしての視点を加えて、セキュリティの専門スキルが無い方にもわかりやすく解説するコラムを作ることにしました」

もうすぐ300号を達しようとしている社内向けコラムは、開始当初から数百のアクセスがあり、注目度の高い記事では現在1000〜2000ほどのアクセスがある。時には、コラムを読んだ社員が別の社員にも記事をシェアするなど、間接的に社内で記事が届くこともある。

郡司は、同統括部の人材育成を行うタレントマネジメントグループに所属して、社員向けにCISSPの資格取得をサポートしていた経歴がある。5日間連続のCISSPオフィシャルセミナーの窓口をしながら、自身でも800ページ以上もあるテキストで勉強し資格を取得。CISSPの実践的なセキュリティの考え方を身に着け、現在のインテリジェンスチームとして活躍している。人材育成とインテリジェンスの視点を持ち合わせた郡司が、社内のセキュリティアウェアネス向上のために、記事づくりで意識していることを教えてくれた。

「意識していることは2つあります。1つは、各記事を前提知識なく読めるようにしています。それまで読んでいなかった方も読み始めることができて、どんな立場の社員もセキュリティを身近に感じながら読めるように工夫しています。

もう1つは、数年後に読んでもためになるような内容になるようにしています。記事のテーマとしては最新のニュースを扱うことが多いですが、いつ読んでも、学びや気づきがあるようにし、さらに必要であればこの記事をきっかけに何らかのアクションを起こせるきっかけになるものを作りたいと思っています」

NECサイバーセキュリティ戦略統括部　サイバーインテリジェンスグループ

主任　郡司 啓（NECセキュリティ兼務）

この活動が、NECグループのセキュリティ文化の醸成の一助となるよう、工夫を凝らしながら郡司は定期的に発信し続けている。

コラムを読んだ社員からは、「セキュリティにあまり詳しくないので、日々の情報インプットとして利用しています」「読みやすく、業務およびスキルアップに役立てています」「所属部門のセキュリティ意識を高めるために紹介しています」などの前向きな声が届いている。継続して読んでいるうちに、気がつけば知識が身についていた。そんな好循環を生み出し、社内のセキュリティアウェアネス向上につなげている。

さらに、郡司は人材育成の経験を活かして、社内のセキュリティ専門人材育成のための研修受講者へ、自らレクチャしながら本コラムを執筆してもらう取り組みを行っている。また、企業の枠を超えてセキュリティ対策推進責任者の方同志で対話を行うコミュニティ「NEC Future Creation Community」でも、社内向けコラムの内容をお客様向けにアレンジして公開するなど、継続してきた社内向けコラムの取り組みを様々な形で社内外へと広げている。

新しいことに挑戦し、価値あるインテリジェンスを提供し続けたい

近年話題になっているLLMを社内システムに組み込み、脅威インテリジェンス生成に役立てるなど、リスクを慎重に検討しつつも影響の有無を迅速に調査し新しい技術を積極的に取り入れる姿勢は、NECの会社としての方針が関わっていると角丸は話す。

「NECは技術の会社であり、研究所もあります。常に新しいものを取り入れ、新しいことに挑戦することで、これまでさまざまな技術やサービスを生み出してきました。だからこそ、失敗してもいいからどんなことも拒否せずに試してみるという姿勢が、会社全体に浸透していると思います」

実際に新しい技術を取り入れ実現した「LLMを活用した脅威インテリジェンス生成システム」の開発にも携わった、チームリーダーの角丸に、今後のインテリジェンスチームに期待することを聞いてみた。

「脅威インテリジェンスレポートの最も重要な部分は、"読み手がレポートを活用し、アクションに移せること"。この部分は、まだ自動化できない部分であり、様々なバックグラウンドと知見を持ったスペシャリストが集まっているインテリジェンスチームだからこそ、実現できる部分だと考えています。当社の新しいものを取り入れ挑戦できる環境と専門性を掛け合わせて、これからもより価値あるものを提供し続けられるように頑張りたいですね」

NECサイバーセキュリティ戦略統括部　サイバーインテリジェンスグループ

グループ長　 角丸 貴洋（NECセキュリティ兼務）

日々、多様なインシデントが発生し、どんなセキュリティ対策を講じるべきか悩んでいる企業も多いのではないだろうか。より現状にあった対策を練るうえで、NECが提供する脅威インテリジェンスは大いに役立つはずだ。

果敢なチャレンジを繰り返した先に、私たちの生活がより良くなる技術やサービスを生み出してくれることを、これからも期待したい。

＜インテリジェンスチームの取り組み＞

LLM活用で精度向上と調査時間の短縮も実現。国内トップレベルの機関からも頼られる、NECの脅威インテリジェンス生成の裏側。【関連記事】