サイバーセキュリティにおける AI とは?
AI は、IT セキュリティ専門家のサイバーセキュリティに対する見方を一変させました。AI を活用した最新のサイバーセキュリティツールやシステムは、振る舞いパターンの迅速な識別や、プロセスの自動化、異常の検出など、脅威からデータを保護する能力がいっそう向上しています。
サイバーセキュリティにおける AI
AI を活用したサイバーセキュリティでは、サイバー脅威をリアルタイムで監視、分析、検出して、対応することができます。たとえば、AI アルゴリズムによって大量のデータを分析してサイバー脅威の兆候を示すパターンを検出したり、ネットワーク全体から弱点をスキャンして、一般的なサイバー攻撃を防止したりできます。
AI は基本的に、振る舞いパターンの監視・分析を行います。 これらのパターンを使用して基準値を作成することで、異常な振る舞いを検出し、システムへの不正アクセスを阻むことが可能となります。 また、AI はリスクの優先順位付けにも役立ち、マルウェアや侵入の可能性を早い段階で検出し、被害を未然に防ぎます。
さらに、AI をセキュリティ自動化エンジンとして適切に実装すれば、従業員を反復的な作業から解放できます。人手によるタスクやプロセスを減らすことで、人為的ミスの削減にもつながります。
AI を活用したサイバーセキュリティの特徴
現場には常に複雑な課題があり、解決に創意工夫が求められます。したがって、AI を活用したサイバーセキュリティがセキュリティ担当者の作業を完全に取って代わることはないでしょう。しかし、AI は大量のセキュリティデータに対応し、そのデータ分析やパターン認識に基づく知見を提供するという形でセキュリティ担当者を支援することが可能であり、すでにそのような実例もあります。従来のセキュリティの手順では、こうした作業には数時間から数週間かかる可能性があります。
AI の登場以前は、シグネチャベースの検出ツールやシステムを使って、潜在的なサイバー脅威を特定していました。これらのセキュリティツールでは、既知の脅威や悪質コードのシグネチャのデータベースと、ネットワークの入力トラフィックを照合します。脅威が検出されると、セキュリティ担当者に警告を送信し、脅威をブロックまたは隔離するように促します。
このようなシグネチャベースのアプローチは、 既知の 脅威に対しては一定の効果がありますが、新しい未知の (ゼロデイ) 脅威に対しては十分でないことが示されています。また、これらのツールは誤検知率が高く、セキュリティ担当者の時間が無駄に費やされることもよくあります。
従来のサイバーセキュリティは、人手による分析作業が大半を占めており、セキュリティアナリストがセキュリティの警告やイベントログを手作業で調査し、セキュリティ侵害の兆候を示すパターンを見つけ出していました。こうしたログやイベントの調査には膨大な時間がかかり、1人のセキュリティアナリストに任せると重大なミスにもつながりかねません。
AI には、従来のサイバーセキュリティのこうした欠点を補ってあまりある力があります。今後、AI テクノロジーが成熟するにつれ、サイバーセキュリティのプロセスやスタッフに大きな影響が出てくることが予想されます。
サイバーセキュリティにおいて AI が重要な理由
サイバー犯罪組織はすでに機械学習や、自動化、AI を取り入れて、大規模な標的型攻撃を展開しています。 その結果、脅威の数が増え、ネットワークに影響を及ぼすランサムウェアのリスクも増しています。
AI と機械学習は、大量のデータを処理して分析に基づく知見を迅速に提供してくれるだけでなく、日常的なセキュリティ警告や誤検知をフィルタリングすることで、セキュリティアナリストの「戦闘」の場を整えるために役立っています。これにより、セキュリティチームの効率および生産性が飛躍的に向上し、今後現れるかもしれないサイバー犯罪者に対して優位に立つことができます。
現在、ポリモルフィック型のマルウェアや、スクリプト、環境寄生型攻撃などの高度な攻撃が出現し、従来のファイルスキャンベースのウイルス対策がいともたやすく回避されるようになってきています。このようなマルウェアの進化に対抗するため、振る舞い分析のような最新型のアプローチが主流になってきています。このアプローチが有力であるのは、あらゆるマルウェアは遅かれ早かれ、悪意のある振る舞いを示し始めるからです。AI を正しくトレーニングして活用すれば、こうした悪意のある行動を監視して、人手のみに頼る場合よりも迅速に脅威を検出し、対応することが可能となります。
サイバーセキュリティで AI を使用するメリット
今日の AI システムは、潜在的なサイバー脅威の検出や、新たな攻撃ベクトルの特定、企業の機密データの保護に照準を合わせてトレーニングされています。AI を活用したサイバーセキュリティツールには、以下の 3つの主なメリットがあります。
- 大量データの高速分析
- 異常や脆弱性の検出
- 反復的作業の自動化
サイバーセキュリティで AI を活用する可能性は無限大にあると言っていいでしょう。 脅威の検出と対応にかかるスピードはほぼリアルタイムに近く、正確性も増しています。 AI によって、不審な振る舞いにいち早く着目し、ランサムウェア攻撃の影響を最小限に食い止めることが可能となっています。また、AI を活用した自動化によってサイバーセキュリティ業務を効率化することで、セキュリティ担当者の貴重な時間とリソースを重要度の高いタスクにあてることが可能となります。
機械学習 (ML) とは?
機械学習は主に、人間の知的な振る舞いを模倣することに注力しています。機械学習のエンジンは、データです。機械学習は、人間が直接指示やプログラミングをしなくても、データの数学的モデルに基づいて学習するのが特徴です。したがって、機械学習に対応したシステムは、人手の介入がなくても、経験に基づいて継続的に学習し、パフォーマンスが向上し続けます。
機械学習は AI の一種ですが、機械学習と AI は互いに置き換え可能なものではありません。機械学習は AI の中でも、人手の介入やプログラミングを最小限に抑えながら、学習および自動適応するのが特徴です。
ディープニューラルネットワークとは?
ディープラーニングは機械学習をさらに進化させたもので、ニューラルネットワークを使って人間の脳の学習プロセスを模倣します。ニューラルネットワークでは、機械学習と AI を駆使しながら、人間の脳にヒントを得たやり方でデータの処理方法を学習します。人間の脳と同様に、ニューラルネットワークは複数の機能層から構成されています。これらの層を通じて、個々の振る舞い、タスク、プロセスからレスポンスが機械的にトリガーされる仕組みになっています。この層の数が多いほど、レスポンスの表現力や洗練度が増します。
複数の隠れ層があるニューラルネットワークは、ディープニューラルネットワークと呼ばれます。ニューラルネットワークのアルゴリズムは、あらかじめ設定されたルールセットに従うように設計されており、過去の反復や経験に基づいて、解を予測して結論を導き出します。ディープニューラルネットワークでは、機械が失敗から学び、継続的に改善する適応型システムが構築されます。それにより、文書の要約や高精度の顔認識など、従来の機械学習では不可能だった難易度の高い問題を解決することが可能となっています。
サイバーセキュリティにおける AI のリスク
技術としての AI はまだ初期段階にあることを忘れてはなりません。AI エンジンのトレーニングはもちろん、エンジンの間違いへの対応など、人手による介入が引き続き必要となります。AI を活用したセキュリティシステムは、過去データから学習する機械学習アルゴリズムに基づいているため、既存のパターンに当てはまらないような新しい未知の脅威は、正しく検出できない可能性があります。また、AI を利用した不正行為への懸念も高まっています。たとえば、説得力のあるフィッシングメールの作成や、マルウェアの開発に悪用される可能性があります。
サイバーセキュリティに AI を実装するために必要なスキル
AI とサイバーセキュリティは、かつてなく関係が深まっており、この両方のスキルおよび能力を持つ人材には、高い需要があります。具体的には、サイバーセキュリティと AI の両方に精通し、AI 技術をサイバーセキュリティのワークフローに取り入れるべきケースやその方法を把握しているような人材が、エンタープライズやテクノロジー企業から求められています。サイバーセキュリティの知識や経験を持つデータサイエンティストや、アナリスト、エンジニアは欠かせない存在です。こうした役職に求められるのは、機械学習のデータモデリングや、ディープニューラルネットワーク、言語モデリング、振る舞い分析に関する知識と経験です。さらに、サイバーセキュリティの原則にも精通している必要があります。AI サイバーセキュリティの専門家には、ネットワークセキュリティ、コンピュータのフォレンジックおよび暗号化、マルウェアの検出および防御、データ保護に関する確固とした知識が求められます。
AI を MDR (Managed Detection and Response) に活用する方法
現在、年中無休体制でのセキュリティ運用が必要不可欠になっています。しかし、現代のセキュリティ運用環境は複雑化しており、サイバー脅威の侵入スピードも速いため、脅威の検出および対応を自社で行える組織は限られています。そこで登場するのが、 MDR (Managed Detection and Response) です。
AI と ML はすでに、SOC (セキュリティオペレーションセンター) における MDR (managed detection and response) や他のマネージドセキュリティサービスの提供方法に変革を起こしています。具体的には、運用を効率化したり、最新型のサイバー脅威に対するレジリエンスを高めたりして、MDR の能力を強化しています。また、24時間 365日体制で脅威の検知および分析を行うために大きく貢献し、MDR のスピードと正確性の向上に役立っています。
AI は主に、以下の 4つの面で MDR に貢献しています。
1. 脅威ハンティングおよび脅威インテリジェンス
機械学習でディープニューラルネットワークを活用して、 マルウェアなどの脅威を検出・特定できます。AI を使って、組織内の複数の情報源から脅威データを収集し、処理・改善することができます。さらに、これらのデータに相関情報やコンテキストを追加して、脅威プロファイルの作成や指標の測定を可能にし、新たな脅威の発見をもたらすこともあります。また、AI による高度な分析および自動化によって、セキュリティ担当者が環境内に潜む未知の脅威を見つけられるようにするなど、プロアクティブな脅威ハンティングにも役立ちます。
2.SOC の運用
MDR プロバイダは、SOC の全体的なパフォーマンスおよび運用効率を最適化・向上させる方法として、AI の活用に大きな可能性を見出しています。たとえば、マネージドセキュリティサービスでは、SOC の KPI (セキュリティ警告の数、対応に要した時間、解決率、顧客満足度などの主な評価指標) を監視・測定するために AI を活用できます。それによって、SOC のマネージドプロセス、ワークフロー、ツールに存在するセキュリティギャップや、運用上のボトルネック、非効率な点を特定し、対処することが可能となります。
3.サイバーセキュリティのトレーニングおよび能力開発
AI は、SOC アナリストに必要なスキルや、知識、能力を評価、向上するために役立ちます。AI は、学習および継続的な能力向上に効果的です。この特長を活かして、MDR ベンダーでは、個々の社員にぴったりの学習プランを作成できます。また、組織で実施するセキュリティトレーニングの内容を現実に即した興味深いものにしたり、シミュレーションや演習問題を作成したりするためにも役立ちます。
4.セキュリティのイノベーション
AI の主な目的は継続的改善をもたらすことであり、イノベーションの推進にも役立ちます。今日の SOC は、変化し続ける顧客のニーズや、脅威を取り巻くさまざまな状況に迅速に適応し、その能力を進化させることが求められています。AI と ML を活用することで、MDR プロバイダは SOC を常に最新の状態に保ち、リスクを低減することが可能となります。
近い将来、SOC (セキュリティオペレーションセンター) のワークフローに AI を統合し、ユーザー行動に関する大量のデータを学習することで、セキュリティおよび運用担当者の効率が格段に向上することが期待されます。AI は、セキュリティ運用担当者にとって欠かせないツールとなり、脅威をリアルタイムで特定するために役立つでしょう。
サイバーセキュリティおける AI のまとめ
Sophos AI は 2017年に発足し、サイバーセキュリティにおけるデータサイエンスと機械学習を飛躍的に向上させてきました。経験豊富なデータサイエンティスト、エンジニア、セキュリティ専門家から結成された Sophos X-Ops チームが、機械学習や、大規模な科学演算アーキテクチャ、人間と AI の相互作用、情報の可視化に取り組んでいます。AI は、機械学習の限界を押し広げて、新たな脅威を発見し、システム、データ、アプリケーションを守るために役立ちます。AI を活用して、次のサイバー攻撃から組織を守る方法について詳しくは、どうぞお問い合わせください。
関連するセキュリティトピック: 高度な持続的脅威 (APT) とは?