Cohere NorthとWizによるセキュリティエージェントの構築

Cohereは、規制業界や政府向けに安全で主権的なAIを構築しており、セキュリティ態勢は急速に進化するコードベース、クラウドフットプリント、脅威環境に対応する必要があります。そこで、エンタープライズAIエージェントプラットフォームNorthを利用し、カスタムModel Context Protocol（MCP）サーバーを通じてクラウドセキュリティプラットフォームWizに接続することで、インシデント対応ワークフローを自動化するセキュリティエージェントを作成しました。このエージェントは、重大な発見のトリアージからインシデント対応レポートの作成、チケット生成、Wizステータスの更新まで、単一のプロンプトからすべてを処理します。

課題は、クラウドのペースで洞察を行動に移す方法でした。Wizは重大な攻撃経路を生み出すトキシックコンビネーションを特定しますが、その後の対応には人手が必要で、1件あたり30分から2時間を要していました。CohereはNorthをWizに接続することで、トリアージから解決までのワークフローを処理するインシデント対応エージェントに変えました。

アーキテクチャは、NorthがMCPをネイティブにサポートし、軽量なPython MCPサーバーがWizの8つのアトミックツール（問題一覧、詳細取得、トキシックコンビネーション分析、脆弱性検索、セキュリティ態勢スナップショット、資産照会、コンプライアンスステータス、更新操作）を公開します。認証は共有シークレットとOAuth2を使い、安全に保たれます。

記事では3つのユースケースを紹介しています。1つ目はトキシックコンビネーションの影響範囲分析で、NorthがWizの重大な発見を分析し、攻撃チェーンを評価して実際の影響範囲でランク付けします。20秒で完了し、以前は半日かかっていた作業を代替します。2つ目は支援型インシデント対応で、最も重大な未処理の問題をエンドツーエンドで調査し、IRレポートを生成、Linearチケットを作成、Wizステータスを更新します。3つ目は自律型週次ポスチャレポートで、毎週月曜日の午前3時に自動実行され、セキュリティ態勢文書を生成します。実行サマリー、メトリクス表、トップ5の問題、トキシックコンビネーションスポットライト、CISA KEVウォッチ、推奨アクションが含まれます。

結果として、ファーストパストリアージループが排除され、セキュリティエンジニアは生のアラートではなく、事前に準備されたIRレポートと追跡チケットから作業を開始できるようになりました。重要な教訓として、プロンプトの配置が長さよりも重要であること、APIの動作をドキュメントではなく実際の動作に基づいて検証すること、部分的な障害に備えた設計、コンテキストに応じたエンリッチメントによる幻覚の抑制が挙げられます。

NorthのMCPネイティブアーキテクチャは、一度Wiz統合を構築すればすべてのワークフローで利用できる柔軟性を提供し、推論能力は複雑なセキュリティ分析を処理しつつデータの忠実性を維持します。Cohereは完全な実装を公開リポジトリで提供しており、組織がこのパターンを再現してセキュリティ対応能力を変革できるようになっています。実装手順は5ステップ：Wizサービスアカウント作成、MCPサーバー展開、North接続、システムプロンプト追加、初回プロンプト実行です。GitHubリポジトリをクローンし、環境変数を設定、DockerまたはCloud Runでデプロイすることで、毎週月曜朝に自動生成されるセキュリティ態勢レポートがチームの効率を大幅に向上させます。