現代の人工知能は、情報セキュリティの状況を根本的に変えました。サイバーセキュリティアナリストにとって、AIはもはや単なるバズワードではなく、脅威ハンティング、インシデント対応、セキュリティ運用(SecOps)における戦力増強要因です。敵対者が攻撃を自動化する中、防御側も分析を自動化・強化しなければなりません。
以下のプロンプトは、ChatGPT、Gemini、Claude、DeepSeekを含む主要なLLMすべてで有効性が厳密にテスト・最適化されています。各モデルには固有のアーキテクチャ上の強みがありますが(DeepSeekはコードロジック、Claudeはニュアンス、Geminiは大規模コンテキストの統合に優れることが多い)、これら10のプロンプトは、ワークフローを効率化し防御を強化したいと考えるあらゆるサイバーセキュリティアナリストに、普遍的で堅牢な基盤を提供します。
1. ログ解析のための複雑な正規表現の生成
最適モデル: DeepSeek(コードロジックと構文精度に優れる)
非構造化ログから特定の侵害指標(IoC)を解析するのは退屈な作業です。このプロンプトを使用して、SIEMやgrep操作のための正確な正規表現を即座に生成しましょう。
シニアセキュリティエンジニアとして行動してください。[ログタイプ、例:ApacheアクセスログやWindowsイベントログ]内の[特定のパターン、例:クレジットカード番号、特定のサブネットからのIPアドレス、SQLインジェクションパターン]を識別するための正規表現(Regex)が必要です。
この正規表現は以下の条件を満たす必要があります:
1. [特定のグループ]を捕捉すること。
2. [一般的な誤検知]に関連する誤検知を避けること。
3. [ツール名、例:Splunk、Grep、Python reモジュール]と互換性があること。
生成された正規表現の構文の詳細な説明をしてください。
効果: 構文のデバッグに費やす試行錯誤の時間を大幅に削減し、検知ルールをより迅速に展開できるようになります。
2. 悪意のあるPowerShellスクリプトの難読化解除
最適モデル: Gemini または ChatGPT(難読化されたロジックの解釈に強い)
攻撃者はしばしばBase64エンコーディングや高度な変数エイリアス化の背後に意図を隠します。このプロンプトはスクリプトを安全にリバースエンジニアリングするのに役立ちます。
セキュリティ調査のために、潜在的に悪意のあるPowerShellスクリプトを分析しています。このスクリプトは高度な難読化(Base64、エイリアス置換、文字列連結)を使用しています。
以下がコードスニペットです:
[難読化されたコードを貼り付け]
以下のことを行ってください:
1. Base64文字列をすべてデコードしてください。
2. 変数をその機能に基づいて意味のある名前に変更してください。
3. 各コードブロックが実行している内容を説明するコメントを追加してください。
4. スクリプトの最終的な意図(例:データ流出、C2接続)を要約してください。
効果: 読めない意味不明なコードを明確なロジックに変換し、マルウェア分析のトリアージフェーズを加速します。
3. インシデント対応(IR)プレイブックの作成
最適モデル: Claude(構造化された専門的な文書作成に優れる)
新しい脅威が出現したとき、すぐに標準化された対応計画が必要です。
[特定のシナリオ、例:HRサーバー上のランサムウェア感染]に対する詳細なインシデント対応プレイブックを作成してください。
対応をNIST 800-61フレームワーク(準備、検知と分析、封じ込め、根絶と復旧、インシデント後活動)に従って構造化してください。
各フェーズについて、以下をリストしてください:
- 関与すべき主要な関係者。
- 使用する具体的な技術的なコマンドラインやツール。
- 封じ込めのための意思決定ツリー(例:いつ分離するか、シャットダウンするか)。
効果: 実際のインシデント発生時の混乱の中で、チームが準拠した体系的なプロセスに従うことを保証します。
4. 技術的リスクの経営層向け要約への変換
最適モデル: ChatGPT(トーンの切り替えに柔軟)
SecOpsチームは、技術的な深刻度を経営陣に説明するのに苦労することがよくあります。このプロンプトがそのギャップを埋めます。
重大な脆弱性を特定しました:[脆弱性名/CVE]。
技術的影響:[技術的詳細、例:未修正APIを介したRCEが可能]。
これを非技術的なCISOやCEO向けの経営層向け要約に書き換えてください。
- 可能な限り専門用語を避けてください。
- ビジネスへの影響(財務的、評判的、運用的)に焦点を当ててください。
- 是正措置のリソースに関する明確な「最初に結論から」(BLUF)の推奨事項を提供してください。
効果: セキュリティ問題をビジネス用語で表現することで、是正のための予算や承認を得る可能性を高めます。
5. 脅威ハンティングのためのKQL/SPLクエリの生成
最適モデル: DeepSeek(クエリ言語の構文精度が高い)
Microsoft Sentinel(KQL)やSplunk(SPL)のどちらを使用する場合でも、複雑な結合の構築は困難です。
SIEMの専門家として行動してください。[脅威行動、例:不可能な移動ログイン試行やパスワードスプレー]を検出するための[クエリ言語、例:KQLまたはSplunk SPL]クエリを作成してください。
このクエリは以下の条件を満たす必要があります:
1. [テーブル1]と[テーブル2]からのデータを関連付けること。
2. 既知の安全なエンティティを除外すること:[安全なエンティティのリスト]。
3. 結果を閾値処理し、[Y]分間に[X]回以上発生したイベントのみを表示すること。
効果: SIEM言語のすべての演算子を暗記する必要なく、高精度な検知ルールを迅速に作成できます。
6. フィッシングヘッダーの分析
最適モデル: Claude または Gemini(ヘッダーダンプの解析に大規模コンテキストウィンドウを活用)
メールヘッダーのReceivedパスを手動で追跡するのはエラーが発生しやすい作業です。
フィッシングの疑いがある以下のメールヘッダーダンプを分析してください。
[ヘッダーを貼り付け]
以下の点を特定してください:
1. 真の送信者IPと発信ドメイン。
2. 'From'アドレスと'Return-Path'の間の不一致。
3. SPF、DKIM、DMARCチェックのステータス。
4. スプーフィングを示す'Received'チェーン内の異常。
効果: スプーフィングまたは正当性の検証可能な証拠を数秒で得られ、フィッシングトリアージキューの速度を大幅に向上させます。
7. トレーニングのためのソーシャルエンジニアリングシナリオのシミュレーション
最適モデル: ChatGPT(創造的なシナリオ生成)
レッドチームや意識向上トレーナーは、従業員の警戒心をテストするための新しいシナリオを必要としています。
リモートファーストのテック企業の[対象役職、例:ジュニアDevOpsエンジニア]を標的とした、3つの異なるソーシャルエンジニアリングシナリオを生成してください。
各シナリオについて:
1. 口実(例:緊急のITサポート、ベンダー支払い更新)を定義してください。
2. 最初のフィッシングメールまたはSlackメッセージの内容を草案してください。
3. 使用される心理的トリガー(例:緊急性、権威、恐怖)を説明してください。
効果: 現実的で役職固有の罠を用いて、セキュリティ意識向上トレーニング教材を継続的に刷新します。
8. 脆弱性の優先順位付け(CVSSの文脈化)
最適モデル: Claude(ニュアンスのあるリスク分析)
資産が外部にさらされていない場合、高いCVSSスコアが常に「今すぐパッチを当てる」ことを意味するわけではありません。
CVSSスコア9.8の脆弱性[CVE ID]があります。
資産の文脈:[文脈、例:内部レガシーサーバー、エアギャップあり、インターネットアクセスなし、機密データ保存]。
資産の文脈に基づいて、実用的なリスクを再評価してください。これは、公開向けWebサーバー上のCVSS 7.5の脆弱性よりも優先すべきですか? 悪用可能性とビジネスへの影響に基づいて回答を正当化してください。
効果: 「すべてにパッチを当てる」から「重要なものにパッチを当てる」へ移行し、リソース配分を最適化するのに役立ちます。
9. APIセキュリティテストのためのJSON/Pythonスクリプトの自動化
最適モデル: DeepSeek または ChatGPT(強力なコーディング能力)
セキュリティアナリストは、壊れたオブジェクトレベル認可(BOLA)をテストするためにAPIと対話する必要がよくあります。
APIエンドポイント:[API URL]をテストするための'requests'ライブラリを使用したPythonスクリプトを作成してください。
このスクリプトは以下の条件を満たす必要があります:
1. Bearerトークンを使用して認証すること。
2. ユーザーIDのリスト(1から100)を反復処理すること。
3. 各IDに対して'/account/details'エンドポイントへのアクセスを試みること。
4. 潜在的な壊れたオブジェクトレベル認可(BOLA)を示す200 OKステータスコードを返す応答をすべて記録すること。
効果: 手動テストでは見逃す可能性のある一般的なAPI脆弱性の検出を自動化します。
10. 脅威インテリジェンスの要約とTTPマッピング
最適モデル: Gemini(複数のデータポイントの統合に優れる)
脅威アクターの行動をMITRE ATT&CKフレームワークにマッピングすることは、防御に不可欠です。
[脅威グループ名、例:APT29]に関する脅威インテリジェンスレポートを貼り付けます。
[レポートテキストを貼り付け]
このテキストに基づいて:
1. 戦術、技術、手順(TTP)を抽出してください。
2. これらのTTPを特定のMITRE ATT&CK IDにマッピングしてください。
3. これらのTTPに基づいて実装すべき3つの具体的な検知ルールを提案してください。
効果: 非構造化の脅威インテリレポートを、実行可能な防御マトリックスに変換します。
プロのヒント:「無害化されたコンテキスト」チェーン
生のPII(個人を特定できる情報)、実際のパスワード、または特定の内部IPアドレスを公開LLMに貼り付けることは絶対に避けてください。代わりに、プロンプト入力前にデータマスキングを使用してください。
悪い入力例: 「IP 192.168.1.50とユーザー[email protected]のログを分析してください。」
良い入力例: 「[Target_IP]と[Target_User]のログを分析してください。[Target_IP]は内部の重要な資産として扱ってください。」
この無害化されたコンテキストを連鎖させることで、運用セキュリティ(OpSec)を維持しながら、AIの推論能力を活用できます。
サイバーセキュリティアナリストの有効性は、常に敵対者よりも速く情報を処理する能力に依存してきました。これらのプロンプトを日常業務に統合することで、あなたの専門知識を置き換えるのではなく、拡張しているのです。分析、戦略、意思決定に集中し、構文、要約、退屈なデータ解析はAIに任せましょう。