自社サービスのバックエンドで生まれるログは、サービス改善の基になる貴重なデータだ。高度なセキュリティ運用においても、膨大なログデータを十分に活用することは容易ではない。この課題解決に挑んだのが不正ログイン対策サービスを展開している Capy だ。自社サービスのインフラ運用を任せている grasys と協力して、LLM（大規模言語モデル）を活用したログデータ分析基盤を構築した。

不正ログイン対策で独自路線を行く Capy

　Capy は、ログインリクエストの送信元が人間なのか bot なのか判別する CAPTCHA の技術に強みを持つ。同社の「Capyパズル CAPTCHA」（以下、Capy CAPTCHA）は、変形した文字を入力する従来型の CAPTCHA ではなくジグソーパズル形式を採用した独自の手法で、国内外の数十社が導入している。

　Capy が保有するログデータは、日々の不正ログイン攻撃を含む大量のトラフィックに関する情報を反映しており、攻撃傾向の分析において価値の高いデータ群である。この膨大なデータの真価を引き出し、サービスの価値を引き上げるために始まったのが、grasys と共同で実施したログデータ分析基盤の構築プロジェクトだ。

大量のログデータをどう活用するか

　Capy と grasys の関係は、Capy CAPTCHA のサービス基盤を「Google Cloud」に移行するプロジェクトから始まった。当時、事業拡大に伴うアクセス数の増加に直面して、サーバの安定性を向上させることが喫緊の課題だった。サービスの入り口を担うシステムであり、停止すると顧客のサービス全体に影響を与えてしまう。Google Cloud 環境の構築、運用について豊富な経験を持つ grasys はそのノウハウを駆使してインフラの移行をサポートし、その運用においても伴走を続けている。

　その過程で浮上した課題が「ログデータの活用」だった。代表的な不正ログイン手口の一つであるリスト型攻撃（クレデンシャルスタッフィング）は、流出した ID とパスワードを悪用して正規のログイン手順を踏むため、WAF のシグネチャ検知だけでは防ぎにくい。このような攻撃の兆候を検出するにはログデータの分析が有効だと Capy の松本悦宜氏（技術顧問）は語る。

　「従来、蓄積されたログデータはお客さまへの回答の裏付けとして利用していました。そこから一歩踏み出し、攻撃の予兆検知や地域特性の特定といった、より高度で能動的な活用の必要性を感じていました」

　ログデータを利用する仕組みにも課題があった。攻撃に使われた IP アドレスをブラックリストに登録しても、IP アドレスの割り当て地域や所有者が頻繁に変わるためブラックリストの効果が薄れてしまう。最新の割り当て状況を把握して、ログデータと突き合わせられる仕組みが必要だった。

　IPインテリジェンスサービスの「Shodan」を使ってIPアドレスの所有者や開放ポート、使用製品などの情報を確認できるようになったものの、Shodan のデータは専門性が高く、読み解く工程が属人化してしまうという新たな課題が生まれた。

ログデータ × AI でレポートを作成　「期待以上の効果」

　Capy の課題に対して、grasys は Google Cloud の AI プラットフォーム「Vertex AI」を使ったデータ分析基盤の構築を提案。Capy のログデータは Google Cloud のデータウェアハウス「BigQuery」に集約されている。このログデータと Shodan のデータを Google の LLM「Gemini」で分析してレポーティングするシステムを構築した。

　grasys が要件定義から設計、実装、運用までを一貫して担い、Capy と密に連携しながらプロジェクトを推進した。その中でも細心の注意を払った工程が、Gemini に入力するデータの最適化だ。大量のログデータをそのまま渡すのではなく、分析の目的に応じて必要なフィールドのみを抽出してコンテキスト長を削減することで回答精度の向上とコストの削減を図った。

　分析の精度を向上させ、高度なセキュリティリスクの兆候を把握するために、Gemini のファインチューニングも実施した。ログデータや IP アドレスの情報の背景を読み解き、アクセス元の正体や攻撃の兆候・手口を推測するセキュリティ専門家の思考プロセスを再現したという。

　「当社のログデータは、AI 活用を前提にしたものではありません。これを LLM 向けに最適化する作業は難易度が高かったはずです。また、当社だけで Gemini をファインチューニングするのは難しかったでしょう」

　構築した AI システムが出力するレポートは、IP アドレスのアクセス元地域やデータセンター、開いているポート、SSL 証明書などの情報が含まれる。同システムを使えば、アクセスリクエストの送信者が人間なのか bot なのかを判定できる。VPN 端末やプリントサーバ、ネットワークカメラなどを経由したアクセスも可視化できる。その意義について松本氏は次のように説明する。

　「ここ数年は VPN 端末の脆弱（ぜいじゃく）性を悪用した攻撃が多く、大規模なランサムウェア被害につながるケースもあります。Shodan のデータを使ったレポートは、各アクセス元の IP アドレスから使用されている VPN の一覧を確認できるため、攻撃の起点となるポイントを素早く把握できます」

　新たなシステムの導入によって、1 カ月当たり数時間かかっていたログデータの分析をほぼ自動化できた。これによって、顧客からの問い合わせに先回りして、分かりやすくまとめられたレポートで攻撃の傾向や新たなリスクを把握できる体制が整ったという。

　「セキュリティの高度な専門知識がなくても概要を理解できるレポートが出力されるので、次のアクションを決めるための議論が活発になりました。膨大な量の情報から必要なものと不要なものを見極める作業を AI で効率化したことは私たちのサービスにとっても大きな前進です。セキュリティチーム内だけでなく、お客さまや営業担当者とのコミュニケーションも円滑になりました。この取り組みは当初に期待していた以上に成果を挙げています」

2 週間でプロトタイプを開発　伴走と技術力がもたらした成果

　プロジェクトを通して松本氏が「印象的だった」と振り返るのが、grasys の開発スピードだ。松本氏は、セキュリティ分野の専門性が高い業務に生成 AI を適用するのは時間がかかると考えていた。その予想に反して、grasys は依頼からわずか2週間でプロトタイプを完成させた。松本氏は「一般的には数カ月を要する領域において、2週間でプロトタイプを実現したスピードは驚異的でした」と語る。

　このように迅速に対応できたのは、grasys がデータ基盤構築に関する実績とノウハウを積み重ねてきたからだ。Capy から「AI を使ってログデータを活用できないか」という相談があった際、grasys はその意図を即座にくみ取り、Google Cloud に構築したサービス基盤を生かして短期間で具体化してみせた。顧客のビジネスに伴走する同社の姿勢と技術力が組み合わさり、短期間での成果創出につながった。

　松本氏が見据える次のステップが、分析情報を顧客にレポーティングする新サービスの実現だ。

　「ある企業がサイバー攻撃を受けた際に、似た構成のシステムを使っているお客さまに『同様の攻撃が来る可能性がある』と警告できるシステムを構想しています。リスクがあるお客さまのサービスで使われている CAPTCHA の難易度を一時的に上げるといったアクションを提案できれば、サービスの価値を高められます」

LLM によるログデータ分析で広がる可能性　マーケティングやUX改善に

　grasys は、Capy が実現させたログデータ分析の手法は業種を問わず応用できると捉えている。人流データをマーケティングに活用する場合は、位置情報や滞在時間、移動経路といったログを分析することで人の動きや関心度合いの傾向を可視化し、広告などの施策の効果を向上させられるはずだ。

　ゲームやエンターテインメント領域におけるユーザーコミュニティーの管理にも応用できる。ユーザーのチャットや行動ログを分析すれば、悪質な発言や不自然な挙動を示す bot を早期に検知できる。運営側が問題のあるユーザーに迅速に対応することで、健全なコミュニティーを維持しやすくなる。

　EC サイトや Web サービスにおける UX（ユーザー体験）の改善にも有効だ。ユーザーの行動ログや検索クエリを分析すれば、目的の商品や情報にたどり着けていないユーザーの傾向を把握できる。その意図を推測し、適切な商品をレコメンドすれば購買率や満足度の向上につなげられる。

　このように、ログデータを単に集計するだけでなく、LLM がユーザーの意図や事象の背景を読み解いて意思決定に生かす仕組みは、セキュリティ分野だけでなくさまざまな分野で競争力を高める基盤となり得る。

データ活用を成功に導くために

　Capy と同様に膨大な量のデータを抱えながらも活用に悩む企業に対し、grasys は「『どのような問題を解決したいのか』『どの KPI を向上させたいのか』という目的の明確化が第一歩になる」とアドバイスしている。目的が定まれば必要なデータが分かり、次に取るべきアクションが見えてくる。データの保管場所の整理、利用内容の精査、暗黙知のデータ化など、業務を変革する手段はさまざまだ。

　ビジネスにおけるデータの重要性はますます高まるだろう。蓄積したデータを眠らせるのではなく意思決定に生かす取り組みが、これからの時代の競争優位を支える。

転載元：大規模ログを意思決定に生かすAI活用　セキュリティベンダーが挑んだ分析基盤構築