「目的」と「手法」の2つのプロンプト
——脆弱性分析サービスは、脆弱性情報を生成AIで解析し、確認項目をリスト化するというものですが、実証では載せるべき情報がリストから漏れるケースが発生したそうですね。
粕谷
はい。社会インフラに関わるIoT製品などの脆弱性対処において、チェックリストに漏れが生じることは許されません。私たちはプロンプトエンジニアリング*¹を追究することで、漏れの抑止に取り組みました。
当初のプロンプトは、「製品に影響するか否かを判断するための条件を抽出してください」というような生成の「目的」を指定するものでしたが、試行錯誤を重ねるものの、漏れをなくすことはできませんでした。
そこで試したのが、もうひとつ別の切り口のプロンプトを作り、2つの回答を集約する、というやり方です。具体的には、「脆弱性情報から重要なキーワードを抽出し、翻訳したうえで、脆弱性の成立条件をリスト化してください」というような「手法」を指定したプロンプトを設計しました。そして、この「目的」と「手法」の2つのプロンプトの回答を集約することで、必要な情報を漏れなくリストアップできることが確かめられました。脆弱性分析サービスでは集約した情報から重複や不要なものを、これも生成AIを利用して取り除き、お客さまにリストの形で提供しています。
*1 プロンプトエンジニアリングとは、生成AIが目的に合ったアウトプットを出力するような命令文を作成・開発する技術のこと。
2つの切り口のプロンプトからそれぞれ回答を出力、集約することで漏れの発生を抑止。
進化を続ける脆弱性分析サービス
——脆弱性分析サービスは、進化に向けてまだ研究を継続中だそうですね。
大谷
今回のサービスにより、PSIRT業務できわめて時間がかかる工程のひとつを自動化することができました。しかし、まだ人手による処理が残っている部分がたくさんあり、これらを減らしていかなければなりません。
毎年発見されるCVE*²は2万件を超え、しかも脆弱性の発覚後、わずか数日で悪用されるケースもあり、PSIRT業務には迅速さが求められます。また、人手による処理はバラつきが起こりやすく、確実性が損なわれる心配があります。こうした背景から、自動化の推進は喫緊の課題となっています。
*2 CVE(Common Vulnerabilities and Exposures)とは、MITRE社が管理する世界中のソフトウェア・ハードウェアの脆弱性に一意のIDを割り振る仕組み。
粕谷
具体的にいま取り組んでいるのは、チェックリストにあげられた確認項目それぞれについて、生成AIが製品のSBOM*³やソースコードとの突合を行い、例えば「該当する関数が存在します」あるいは「脆弱性の影響は受けません」といった該非判定までを自動化する研究です。
IT分野の、例えばソフトウェア製品などの該非判定の自動化は、SBOMが業界で標準化されており依存関係も明確なため、比較的容易だと言えるでしょう。一方、OT(Operational Technology)分野の製品は、複数ベンダーのコンポーネントが統合されてできています。したがってSBOMが多階層化しており、しかも複数のライブラリが階層をまたがって依存関係にあることも多く、すべてのリスクを人手で追跡するのは時間も手間もかかります。突合の自動化は難しい課題ですが、一日も早くサービスのエンハンスを実現したいと考えています。
*3 SBOM(Software Bill of Materials)とは、製品に含まれるソフトウェアを構成するコンポーネントや互いの依存関係、ライセンスデータなどをリスト化したもの。
大谷
脆弱性分析サービスの進化に合わせて、PSIRT運用プラットフォームも拡張を進めています。現在、SBOMの管理には対応済みですが、今後はソースコードを含めたより広範な情報の一元管理に加え、生成AIによる該非判定後の対処業務の効率化などを実現し、PSIRT業務全体の自動化を推進し、確実で迅速な脆弱性対処を支援したいと考えています。
OT×IT×プロダクトの知見を集約
——どのようなきっかけから、脆弱性分析サービスは生まれたのですか。
粕谷
きっかけは、2年ほど前の日立の製造部門でのヒアリングでした。そこでは、「脆弱性情報の影響調査に手間も時間もかかり、人手による改善も困難」という声が聞かれました。
製品への脆弱性情報の影響を判断するためには、その製品に関する深い知識に加えて、セキュリティの高度な知見を持っている必要があります。しかし、そのような人財は少数で、結果として脆弱性情報を受け取った設計開発担当者は、数少ないセキュリティに詳しい人間に説明を求めに走り、同時にセキュリティに詳しい人間はさまざまな設計開発担当者から問い合わせを受けることになり、多忙をきわめているということでした。この状況を打開するために、製造部門におけるセキュリティの知見を補うツールとして脆弱性分析サービスの開発がスタートしました。
大谷
OT分野におけるセキュリティ人財の不足は深刻化しています。その原因は、OT製品はもともと閉域で運用されており、かつてはセキュリティの重要度がIT分野ほど高くなく人財育成に遅れをとっていること。またOTの特殊な知識とセキュリティの広範にわたる知識を同時に身に付けることは容易ではないこと、など構造的なものであり、早急な解決は難しいでしょう。
今回の脆弱性分析サービスは、そうしたOT分野のお客さまのセキュリティのお悩みに、日立が生成AIをはじめとする高度なデータ活用で応える第一弾と位置付けています。
日立には、長年にわたる社会インフラや製造現場の運用で培ったOTの知見、さまざまなデータから価値を創出しDXをリードしてきた先進のITの知見、そして実際に自社プロダクトについて日々PSIRT業務を遂行している豊富な経験があります。これからもお客さまのPSIRT業務に何が求められているか、しっかりと伴走して課題を共有し、お客さまの目線で脆弱性分析サービス、そしてPSIRT運用プラットフォームなど、日立PSIRTソリューションを強化し、お客さまの安心・安全な経営環境の確保および企業価値向上に貢献していきたいと考えています。
粕谷 桃伽(かすや ももか)
株式会社 日立製作所 研究開発グループ Digital Innovation R&D
システムイノベーションセンタ セキュリティ&トラスト研究部
入社後、製品セキュリティの研究に従事。主に、自動車に搭載されるECU(Electronic Control Unit)への不正侵入を検知するセキュリティ機能の研究に取り組む。その後、PSIRTの研究に移行し、脆弱性の分析と再発防止策の確立などに取り組んでいる。
大谷 直輝(おおたに なおき)
株式会社 日立製作所 マネージド&プラットフォームサービス事業部
エンジニアリングサービス&セキュリティ本部 プロダクトセキュリティソリューション部
入社以来、産業分野を中心に製品セキュリティ関連の業務に従事。お客さまにとって有効なPSIRT構築のためのコンサルティングから、PSIRT運用プラットフォームの円滑な導入、運用までを一貫して支援。現在もお客さまのPSIRT運用に伴走し、製品セキュリティ管理における課題の抽出と解決策のサービスへの反映に取り組んでいる
PDF形式のファイルをご覧になるには、Adobe Systems Incorporated (アドビシステムズ社)のAdobe Acrobat Readerが必要です。
