月末のセキュリティレポート提出前日、スキャンツールの出力が500件を超えていて途方に暮れた経験はないでしょうか。ツールは24時間動き続けているのに、結果を読んで優先度をつけて報告書にまとめるのは人間の仕事——それが長年のセキュリティ担当の現実でした。
Microsoftが推進するProject Glasswingは、その一部を変え始めています。AIエージェントが脆弱性の初期スクリーニングから修正提案の下書きまでを連続して処理できることを実証したプロジェクトです。
AIエージェントが実際にこなせる作業
Glasswingが自動化できると示したのは、主に「既知パターンとの照合」です。CVEデータベースと実際のシステム設定を突き合わせ、「このサーバーのOpenSSLは古い、特定のCVEに該当する可能性がある」といった情報を、数百件単位で並列に積み上げます。
人間なら疲れて見逃しがちな深夜のスキャン結果も、週末の処理も、同じ精度で処理されます。Microsoft 365 Copilotでも同様のことができます。スキャンツールが出力したCSVをSharePointに置き、「重大度別に集計して経営報告用の要約を作って」と指示するだけで、数時間かかっていた資料作りが30分以内に縮まります。
定例作業のレポート化、過去インシデントとの類似パターン検索、対応手順書のドラフト作成——こういった「量が多くて疲れる繰り返し作業」はAIエージェントに渡してしまって構いません。
人間が手放してはいけない判断
ただし、「この脆弱性を今修正するか、リスクを受け入れて後回しにするか」という判断はAIには任せられません。
月末の決算処理が走っているサーバーには今週手を入れられない、顧客データを扱うシステムは最優先で対応する——そういったビジネス文脈の判断は、システムの外側にある情報を必要とします。AIはスキャン結果だけを見ていて、社内の業務スケジュールや取引先との関係まで把握していません。
誤検知の見極めも同様です。スキャンが「脆弱性あり」と判定しても、実際の環境構成では問題にならないケースが多くあります。その判断にはシステム固有の知識が必要で、エージェントが自動でアーカイブしていい話ではありません。
今日から始める3ステップ
一気に自動化しようとすると判断ミスのリスクが高まります。まずはCopilotへのレポート作成委任から始めてください。
手順はシンプルです。スキャンツールの出力CSVをExcelかSharePointに保存し、Microsoft 365 Copilotに「重大度CriticalとHighのみ抽出して、影響システムと対応期限の目安を含む表を作って」と指示する。出てきた結果を自分でレビューして、優先度を確定させる。この流れを1〜2ヶ月繰り返すと、AIが何を見ていて何を見落とすかの感覚がつかめます。
AIエージェントに任せる範囲を広げるのはその後でいい。セキュリティポリシーの整備と同様、最初のステップは「人間のレビューが残る形で使い始めること」です。
500件のスキャン結果を一人で仕分ける作業、本当にきついですよね。
「任せていい作業」と「手放してはいけない判断」の区別が見えてくると、AIとの協働がぐっと楽になります。全部任せなくていい、というのがむしろ安心感になるはず。
まず月次レポートの集計だけ試してみてください。思ったより早く「もうこれ戻れない」と感じられるはずです。