本記事はRecoのTal ShapiraとTamir Friedmanによる共同執筆です。
Reco は、ソフトウェア・アズ・ア・サービス(SaaS)アプリケーションのセキュリティを強化し、妥協することなくビジネスを加速することを支援します。Amazon Bedrock上のAnthropic Claude を使用することで、SOCチームが素早く解釈するのに苦労する「機械可読なセキュリティアラート」という課題にRecoは取り組みます。この実装により、生のアラートを直感的で人に読みやすいインサイトへと変換し、AIパワードのアナリティクスでセキュリティ運用を最適化します。これにより、脅威検知の強化、アラート処理の効率化、そしてより迅速な対応時間とリスク低減の改善に必要な文脈情報の提供が可能になります。
本ブログ記事では、Reco がセキュリティアラートを変革し、インシデント対応時間を大幅に改善するために、Amazon Bedrock をどのように実装したのかを紹介します。
Recoはこのソリューションに Amazon Bedrock を選定しました。理由は、生成AI機能をデプロイする際の包括的な利点があるためです。Amazon Bedrock では、主要なAIプロバイダーの複数の基盤モデルにアクセスできるため、特定のユースケースに最適なモデルを選ぶ柔軟性が得られます。また、データ暗号化、仮想プライベートクラウド(VPC)統合、業界標準とのコンプライアンス整合など、組み込みのセキュリティ機能が提供されており、AIワークフロー全体を通じて機微データが保護され続けることに役立ちます。さらに、従量課金モデルにより、事前のインフラコストが不要になり、需要に応じて自動的にスケールするため、変動するワークロードにもコスト効率よく対応できます。加えて、開発者は Amazon Bedrock のAPIベースのアーキテクチャを使ってAI機能を自社のアプリケーションに統合できるため、アプリケーションのアーキテクチャやデータフローを管理しながら、高度なAIパワードのソリューションを構築できます。
課題:セキュリティアラートを実行可能にすること
最新のセキュリティアラートは、しばしば非常に技術的であり、セキュリティエンジニアが、生のイベントデータを手作業で分析し、複数のセキュリティアラートにまたがって指標を突き合わせ、潜在的な影響と適切な対応を判断し、実行可能なインサイトを導き出し、非技術系のステークホルダーへ調査結果を伝える必要があります。このプロセスは時間がかかり、重要な脅威を見落とすリスクを高めます。ここには2つの課題があります:
- アラートの理解 – 構造化されたアラートデータを、セキュリティチームが素早く把握できる意味のあるインサイトへ変換する方法
- 調査と復旧(リメディエーション) – アラートの文脈に基づいて、調査クエリやリメディエーションアクションを提案するプロセスを自動化する方法
解決策:Reco Alert Story Generator
RecoのAlert Story Generatorは、これらの課題に対処するRecoソリューションの中核コンポーネントであり、4つの主要機能によって実現します:
- アラートの変換 – 複雑なJSON形式のアラートデータを、セキュリティチームが素早く理解できる、明確で実行可能なナラティブへ変換します
- リスクの相関分析 – 複数のデータポイントを分析して重要なセキュリティリスクを特定し、潜在的な影響を評価し、対応アクションを優先順位付けします
- チーム間コミュニケーション – セキュリティ部門とビジネス部門のステークホルダー間でシームレスに共有できる、自己説明的なアラート要約を生成します
- 自動化された調査 – 分析担当者が疑わしい活動をさらに深掘りするための、すぐに実行できる調査クエリを作成します(クエリを手作業で組み立てる必要がありません)
技術的な実装
Alert Story Generatorは、次の要素を組み合わせる高度なプロンプトエンジニアリング手法を用います:
- 少数例学習(few-shot learning)を促進するために、注意深く選定した例を使用します。ゼロショットからfew-shotへの移行により、言語モデルによって生成される構造化出力の一貫性が大幅に向上しました。
- アラートメタデータと過去のパターンを使う文脈プロンプティング(contextual prompting)の実装です。このアプローチでは、各アラートに対して特定の行データを注入しつつ、アラートの出所と種類に応じて動的に選択したfew-shot例を提示します。
- Amazon Bedrockのプロンプトキャッシュ により推論レイテンシを75%削減するのに役立ちます
このAIパワードのアプローチにより、これまで手作業で時間のかかるプロセスだったものを、自動化されたワークフローへと変換できます。これにより、セキュリティチームが必要とする深さと正確性を維持しながら、即時のインサイトを提供できるようになります。
パイプラインアーキテクチャ
これらの技術コンポーネントがどのように連携して動作するのかを理解するために、次の図に示すように、Recoのアラート変換システムを支えるエンドツーエンドの処理パイプラインを見てみましょう:
ワークフローは、次の主要ステップに従い、生のアラートから実行可能なインサイトへとデータをオーケストレーションします:
- ユーザーがUI上で調査したいアラートを選択します。
- アラートはJSON形式でデータベースから取得されます。
- アラートJSON、few-shotプロンプト、ゴールデン例を組み合わせて、疑わしいパターンや異常を特定し、実行可能で優先順位付けされた対応推奨を提示するためのプロンプトを生成します。
- 文脈化された プロンプトが Amazon Bedrock 上の Anthropic Claude Sonnet に送信されます。
- システムが応答をクライアントへ返し、表示(レンダリング)します。
次の画像に示すワークフローは、Amazon Elastic Kubernetes Service(Amazon EKS)(完全マネージドのKubernetesサービス)でデプロイされたマイクロサービスと、Amazon RDS for PostgreSQL(プロンプトのための関連する文脈データを保持するリレーショナルデータベースサービス)を使って、AWSクラウド上で動作します。ユーザーのチャットへのアクセスはAWS WAF によって保護されており、一般的な侵害手法からバックエンドを守るのに役立ちます。また、Amazon CloudFront により低レイテンシかつ高い転送速度でコンテンツを配信します。
例:アウトカム
以下の画像は、モックデータで生成された Reco Alert Story Generator の例です。
結論
Amazon Bedrock 上の Anthropic Claudeを使用することで、Reco は、生のセキュリティアラートを実行可能なインテリジェンスへと変換する最先端のアラート要約ツールを構築しました。この革新により、セキュリティチームはこれまで以上に効果的に対応し、シームレスに連携し、より迅速にリスクを低減できるようになります。
Amazon Bedrock の統合は、Reco の顧客がセキュリティインシデントを管理し対応する方法を大幅に改善するのに役立ちました。主なメリットは次のとおりです:
- 調査時間が 54% 改善 – AI を活用したシステムが調査の手順を提案し、アナリストが潜在的な脅威についてより深い洞察を見出すのに役立つクエリを自動的に生成します。
- インシデント対応時間が 63% 改善 – セキュリティチームは、明確で AI によって生成された是正(リメディエーション)の推奨事項を使って、セキュリティアラートにより効率的に対応できます。脅威の低減にかかる時間を大幅に短縮するのに役立ちます。Reco の顧客によると、一次対応(ティア 1)のアナリストは、先進的な専門知識を持つスペシャリストへのエスカレーションが不要になることで、これまでより幅広い種類のセキュリティインシデントを自律的に対応できるようになったとのことです。
- 部門横断の連携が強化 – AI によって生成されたナラティブは、技術的なアラートを、セキュリティチームが非技術系の関係者と共有できるビジネスに関連するインテリジェンスへと変換します。この改善されたコミュニケーションは意思決定を加速させ、セキュリティ対応をビジネス上の優先事項に確実に連動させます。
AI がどのようにセキュリティアラートを変革し、インシデント対応を強化し、セキュリティ運用に Amazon Bedrock を導入できるのかをさらに詳しく知るには、以下の重要なリソースをご覧ください:
- Reco のWebサイトを訪問して、彼らがどのようにセキュリティ運用を変革しているかを確認する
- Amazon Bedrock のドキュメントを調べる
- AWS Well-Architected Generative AI Lens を確認して、より安全でスケーラブルな生成AIアプリケーションを構築する
