FortiAIで始める"会話型ログ運用" FortiAnalyzerで実行した6つのクエスト

【クエスト1：“怪しい宛先”を特定せよ】

ログ調査の最初に悩むのが、「結局、何から見ればいいのか」という点です。 FortiAnalyzerには多くのログが蓄積されているため、ビューの選択やフィルタ条件を考えるだけでも時間がかかりがちです。 そこで今回は、その最初の迷いを減らすため、FortiAIに自然言語で状況把握を依頼してみました。

実施内容：
「過去7日間の上位の脅威の宛先IPアドレスを一覧表示してください」と質問。

図1：FortiAIに自然言語で脅威宛先IPの抽出を依頼している画面

FortiAIは質問の意図を解釈し、指定した期間と条件に合致するログをもとに、優先的に確認すべき宛先IPの一覧を提示してくれます。 この時点では、ログビューの事前選択やフィルタ設定などの手動操作は不要です。
「まず聞く」だけで調査の方向性が見える点がポイントです。

【クエスト2：そのIP、本当に悪か？レピュテーションを確認せよ】

クエスト1で抽出した宛先IPは、あくまで「優先的に確認すべき候補」です。 次に知りたいのは、そのIPアドレスが本当に“悪い”のかどうかです。ここではFortiAIでIPアドレスのレピュテーションを確認します。

実施内容：
クエスト1で抽出した宛先IPについて、「調べてください」とFortiAIに依頼しました。

図2：FortiAIによるIPアドレスのレピュテーション確認結果

FortiAIはFortiGuardの脅威インテリジェンスを参照し、該当IPに関する評価情報を要約します。

具体的には、次のような観点で、一次的な判断材料を整理してくれます。

• 既知の悪性IPとして登録されているか
• FortiGuard上で明確な危険判定があるか
• 過去の通信傾向から追加確認が推奨されるか

ただし、FortiAIの回答は最終判断ではありません。通信内容の詳細確認や、実際のログイベントとの突合、 他のセキュリティイベントとの関連性の評価などは引き続き人の判断が必要になります。

FortiAIは「判断を代替する存在」ではなく、「判断を加速する存在」です。

【クエスト3：円グラフで通信を可視化せよ】

クエスト2で対象IPの一次評価を行った後、次に確認したのは通信の全体像です。 対象IPへの通信が「特定の端末に限定されているか」「複数端末から広く発生しているか」といった影響範囲を切り分けることが目的です。

実施内容：
対象IPに接続している送信元を円グラフで可視化するよう、FortiAIに依頼しました。

最初の試行では、ログビュー以外の画面では実行できないことが分かり、FortiAIからログビューへ移動したうえで再度実行するよう案内されました。

質問内容によっては、このように特定の画面へ誘導されるケースがありますが、 指示は的確で分かりやすく、画面操作に迷うことはありませんでした。

ログビューへ移動して再依頼すると、対象IPに対する通信元の分布が円グラフとして生成されました。 検証環境では対象IPへの通信が単一の送信元IPに集中しており、複数端末に広がる挙動は確認されませんでした。 これは検証用に安全な通信のみを発生させているためです。

この結果から、

• 広範囲な感染や横展開ではなさそう
• 特定端末を起点とした通信の可能性が高い

といった重要な切り分けを、ログを1件ずつ追うことなく確認できます。

図3-2：ログビュー上で生成された送信元IP分布の円グラフ

【クエスト4：イベントハンドラーで検知を仕組み化せよ】

クエスト3では対象IPへの通信が単一の送信元に限定されることを確認しました。 ここまで分かれば、次に考えたいのは「同じような通信が出たら、どう検知するか」です。
毎回ログを目視で追うのではなく、自動で気づける仕組みを用意することが重要です。

実施内容：
特定の宛先IPアドレスへの通信を検知するイベントハンドラーの作成を、FortiAIに依頼しました。

図4-1：FortiAIにイベントハンドラー作成を依頼している画面

特定IPアドレスへの通信を検知するイベントハンドラーの作成を依頼すると、FortiAIは要求内容を理解し、 「イベントハンドラー名・概要・検知条件」を含む設定案を提示してくれます。 提示内容を確認して作成を確定すると、イベントハンドラーが自動的に作成されます。 この時点で「どのログを」「どの条件で」「イベントとして扱うか」という検知ルールが定義されます。

作成されたイベントハンドラーは［インシデント＆イベント ＞ イベントハンドラー］の一覧から内容を確認できます。 ルールには、指定IPアドレスへの接続を検知する条件が設定され、同様の通信が発生した場合にイベントとして記録されます。

図4-2：作成されたイベントハンドラーが一覧に表示されている画面

図4-3：イベントハンドラー詳細設定画面

【クエスト5：報告書を提出せよ（インシデントレポートPDF）】

クエスト4で特定条件の通信をイベントとして検知する仕組みを構築しました。 次に考えたいのは、この結果をどう共有・報告するかです。 「何が起きたか」「どの条件で検知されたか」「影響範囲はどう見えるか」を、口頭や画面共有だけで伝えるのは初動対応が重なると負荷になりがちです。 そこで今回は、インシデントをレポートとしてまとめ、PDFで出力できるかを確認しました。

実施内容：
特定のインシデントのレポートを作成するようにFortiAIに依頼しました。

図5：FortiAIにインシデントレポート生成を依頼している画面

生成されたレポートはPDF形式でダウンロード可能でした。
PDFには対象インシデントの概要・詳細、推奨事項などが整理され、一次報告や状況共有の資料としてそのまま利用できます。

FortiAIを使うことで、

• インシデント内容をレポート化できる
• 最小限の操作で共有しやすいPDFを作成できる
• 調査担当者の作業を「説明」から「確認」に近づけられる

といった点を確認できました。

調査結果を共有できる形にまとめられる点が大きなポイントです。

【クエストEX：フォローアップチャットで調査の視点を広げよ】

クエスト5で、インシデントの内容をレポートとしてまとめ、関係者に共有するところまで確認しました。 とはいえ、調査や共有を進める中で、次のように感じることは少なくありません。

• 「もう少しだけ深掘りしたい」
• 「次に何を確認すればいいか迷う」

そんなときに役立つのが、FortiAIのフォローアップチャット機能です。そこで補足として、本機能の挙動を確認してみました。

フォローアップチャット機能とは：
FortiAIの回答に続いて、次に確認すべき内容を「おすすめの質問」として提示する機能です。 調査を自動で進めるのではなく、「次に何を聞けばよいか」をヒントとして示してくれる補助機能という位置づけです。

実施内容と確認結果：
設定画面で「フォローアップチャットの提案」を有効化した状態で質問すると、回答と同時に追加の質問候補が表示され、クリックで自動的に実行されます。 フォローアップ後も次のおすすめ質問が続けて提示されます。

なお、本検証では日本語で質問しても、おすすめの質問は英語で表示されることを確認しました。（FortiAIからの回答自体は日本語で返ってきます）

図EX-1：フォローアップチャットの「次の質問」提案例

フォローアップチャット機能は、次のような場面で特に役立ちそうです。

• 調査の途中で視点を広げたいとき
• 見落としやすい観点に気づきたいとき
• 次に何を確認すべきか迷ったとき

会話の文脈は現在のチャットセッション内に限って保持されるため、新しいチャットを開始した場合は前提条件をあらためて指定する必要があります。

クエスト1〜5で見たように、FortiAIは人の判断を支援する存在であり、この機能は判断プロセスを一歩前に進めるヒントとして有効です。

まとめ

本記事では、FortiAnalyzerに搭載された生成AIアシスタント「FortiAI」を、単体の便利機能としてではなく、 実際の運用フローの中でどう使えるかという視点で検証してきました。

FortiAIはログ調査やインシデント対応を全自動化するツールではありませんが、

• 調査の最初の一手を迷わせない
• 見るべきポイントを素早く提示する
• 可視化や設定作業のハードルを下げる
• 調査結果を共有しやすい形に整理する

といった形で、人が判断するための流れを整えてくれる存在だと感じました。

属人化しやすい領域でも、「何を見て、どう判断したか」というプロセスを共有しやすくなります。

本記事で紹介したクエストは一例です。「状況把握 → 深掘り → 可視化 → 検知 → 共有」という一連の流れの中でFortiAIをどう活用できるか、 そのイメージを掴むきっかけになれば幸いです。

FortiAIを、運用を前に進めるための“相談相手”と捉えることで、日々のログ運用の中でより現実的に活用できるはずです。

※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。