- 2022/09/28
- セキュリティ
セキュリティチームの戦力を強化するツール「人工知能(AI)と機械学習(ML)」とは何か?
Post by : Anthony M. Freed
セキュリティチームは窮地に立たされています。そして、そのことは中小企業においてもっとも顕著な問題となっています。サイバーセキュリティの人材不足が続く中、企業は少ない人数でより多くのことを行う方法を模索しています。数年前であれば、企業は多くのことを実現するよりも多くのソリューションを管理するために、更に多くの人材を雇用するだけだったでしょう。
今日、経験豊富な企業は、人工知能(AI)と機械学習(ML)を活用することで、多くのことを更にスマートに実現できるようになリました。AI/MLは、小規模なセキュリティチームの戦力増強ツールとして機能するだけでなく、中小企業にも最新のランサムウェアに対抗するチャンスを与え、大企業とほぼ同等のセキュリティ体制を構築できるようにします。
AI/MLとは何か?
「人工知能(AI)は我々の世界を急速に変化させている」とNISTは断言しています。「脳で制御されるロボットアーム」から「商業、医療、輸送、サイバーセキュリティに至るまでのあらゆる分野」において、AIは、人間が行うあらゆることを迅速かつ効率的に行うためのアプローチを変革しています。そして、AIの有用性がサイバーセキュリティに適用される中で、私たちは、これまで考えもしなかった脅威の監視、検知、対応の能力を目の当たりにすることでしょう。
適用されるAIのサブセットは、機械学習(ML)と呼ばれています。IBMによる定義では、MLとは「人間が学習する方法を模倣するためにデータとアルゴリズムを使用することに焦点を当てた人工知能(AI)およびコンピューターサイエンスの一分野」であるとのことです。AIとMLを組み合わせることにより、MLツールが人間に近いレベルで実行できるようになるまで徐々に精度を向上させることができるほか、人間の限界をはるかに越えてスケーリングが行えるというメリットを提供できます。
Gartnerによれば、AI/MLは「すでに過去10年で最も汎用性の高いテクノロジーの1つ」であり、同社ではAI/MLが「将来、デジタルビジネスにおいてさらに大きな支持を得るだろう」と予想しています。第4次産業革命に伴い、あらゆるビジネスがデジタル化される中で、AI/MLは今後もさらに大きな役割を担っていくことでしょう。
運用、IT、セキュリティなどの分野で、従来型のタスクが自動化されたソリューションへと置き換えられるならば、従業員は人間にしかできないような仕事(クリティカルな分析、ビジネスドリブン型の意思決定、セキュリティポリシーの管理など)に専念できるようになります。言い換えれば、そのような仕事とは、そもそも企業や組織がサイバーセキュリティの専門家を雇って行わせたかった「価値を生み出す仕事」に他なりません。
窮地に立たされるセキュリティチーム
セキュリティチームは、十分な人材を探し出して雇用することが難しくなっているという問題に直面しています。また、脅威、アラート、攻撃者が潜むネットワークの継ぎ目などがかつてないほど増えていることも、この問題を複雑にしています。セキュリティチームはそれらの量の多さに圧倒されており、中小企業は攻撃者に遅れずについて行くためにさらに奮闘しています。
多くの場合、中小企業は大企業のようなセキュリティツールや、高価なサイバーセキュリティ人材を導入する余裕がありません。人材を含む彼らの限られたセキュリティリソースは、大量のアラート、誤検知、そして最も重要なことには実際のセキュリティインシデントが原因で手薄になっています。平均で39秒に1件のセキュリティイベントが発生しているため、多くの企業が、同イベントの優先順位付け、調査、およびその対応に苦慮しています。セキュリティの自動化によるアクションアイテムの優先順位付けを行うことで、セキュリティチームは、本当に重要な脅威を追求できるようになります。
さらに、私たちが現在対処している状況は絶えず変化しており、無数の脅威が、見慣れない新たな隙間に身を隠しています。また、2020年には60%以上の企業がクラウドモデルに移行しているため、従来のセキュリティソリューションでは対応できないほど、セキュリティニーズが複雑化しています。
また、2021年上半期にランサムウェア攻撃が前年比62%の増加を示したという事実も加わり、中小企業にとっては、人材不足、時間不足、アラート多発という最悪の状況が到来しています。そこでAI/MLの出番となります。
適切なAI/ML駆動型のセキュリティソリューションを見つけるには
AI/MLはセキュリティの自動化に貢献します。セキュリティの自動化により、アラートに優先順位を付け、ノイズを減らし、セキュリティチームが本当に重要な脅威だけの調査に集中できるようになります。ただし、Gartnerによれば、「すべての人工知能や機械学習戦略が同じように作られているわけではないが、それらは差別化を行うため、時には生き残るために不可欠になっている」とのことです。
AI/MLは、マルウェアがシステム上で実行される前にその存在を検知することで、推論技法に関してはすでに大きな変革を達成しています。マルウェアが進化し続ける中、この機能は「サイバーセキュリティにおける深層学習とAIの最も成功したアプリケーションの1つとなった」と言えるでしょう。
振る舞いの痕跡(IOB)を活用した行動分析のような手法を用いることで、攻撃者が実際にどのようにキャンペーンを行うかについて、より詳細な視点を得ることができます。このようなオペレーション中心のアプローチは、攻撃をより早期に検知することに秀でています。特に、同アプローチを使うと、マルウェアのシグネチャやIPアドレスのような既知の侵害の痕跡(IOC)を利用することでは特定できない、これまでにないツールや戦術を用いた高度な標的型攻撃を検知できるようになります。
行動シグナルを通じて攻撃を構成する1つのコンポーネントを見つけることで、防御者は、影響を受けるすべてのユーザーとデバイスにおいて、根本原因からオペレーション全体を確認できるようになります。しかし、どんなに熟練したアナリストであっても、利用可能なすべてのテレメトリデータをリアルタイムで迅速かつ効率的に照会し、意味のある攻撃指標を明らかにすることは不可能です。
ここでAI/MLの出番となります。テレメトリを自動的に分析し、1秒あたり数百万件の速度でイベントの相互関連付けを行うには、AI/MLが不可欠となります。アナリストは、手動でデータを照会する代わりに、ネットワーク上のさまざまな資産に関してAI/MLが生成するインサイトに基づくアクションを実施することに、多くの時間を費やすことができます。
AI/MLベースのソリューションを使うと、潜在的に悪意ある一連の行動、これまでにないマルウェアの系統、複雑なランサムウェア攻撃シーケンス、およびその他の高度な脅威を、より効率的かつ効果的に特定できます。これらの機能により、セキュリティチームは、既知および未知の脅威が環境のどこで発生しているかにかかわらず、迅速に修正が行えるようになります。
今や、小規模な組織でも、AI/ML駆動型のXDR(Extended Detection and Response)ソリューションのメリットを享受できるようになりました。AI/MLを搭載したXDRは、継続的な脅威の検知と監視、およびエンドポイントを越えた自動応答を拡張することで、アプリケーション、IDおよびアクセスツール、コンテナ化されたクラウドワークロードなどから取得したテレメトリとの、コンテキストに応じたディープな相互関連付けを提供します。
さらに、AI/MLを利用することで、セキュリティチームは、絶え間なく押し寄せる脅威アラートにより生じるノイズを遮断できます。これにより、セキュリティ担当者はアラートの選別や誤検知の追求にかかる時間を減らし、組織全体のセキュリティ体制を改善するためにより多くの時間を割くことが可能となります。
AI/MLテクノロジーは、大規模なデータセットを高精度で分析することを得意としています。これにより、人間の手による分析では到底かなわないスピードと処理量で、疑わしいイベントを特定できるようになります。この結果、これまで人手による分析が必要だったイベントの検知を自動化することや、ネットワーク上のノイズからシグナルを選別するという非効率的な作業からセキュリティチームを解放できるようになります。
行動シグナルを通じて攻撃を構成する1つのコンポーネントを見つけることで、防御者は、影響を受けるすべてのユーザーとデバイスにおいて、根本原因からオペレーション全体を確認できるようになります。ここでAI/ML駆動のXDRソリューションの出番となります。アナリストが手作業でデータを照会して数時間または数日かけて個々のアラートを検証するのではなく、1秒あたり数百万件の速度でデータの自動的な相互関連付けを行うには、AI/ML駆動のXDRソリューションが不可欠となります。
AI/MLの適用は問題解決の特効薬ではないため、当面は人間とAI/ML駆動型のソリューションが協力して働く混合環境が間違いなく必要となります。それでもなお、AI/MLはセキュリティチームのすべてのメンバーの効率を高めると同時に、セキュリティスタック全体の有効性を増幅させることでしょう。
限られたコストやリソースで取り組む実戦的なサイバーセキュリティとは〜中堅・中小企業を狙う最新のサイバー脅威とその対策〜
大企業のみならず、中堅・中小企業を狙ったサイバー攻撃が急増しています。被害を受けた企業から聞こえてくるのは「まさかうちの会社が標的になるとは」という言葉。それ以前は「この会社には狙われるような情報がないから」「取られても問題のない情報ばかりだから」「今のセキュリティで今まで大丈夫だから」と考えていた、そんな企業が被害を被っています。
中堅・中小企業向けのセキュリティ担当者が知っておくべきサイバー脅威と最新の対策方法について紹介します。
https://www.cybereason.co.jp/product-documents/white-paper/7296/
