セキュリティツールの一種であるSIEMは有用だが、真価を発揮させるのは容易ではない。だがAIを運用に応用することでSIEMを活用できる可能性が開ける。
2020年3月初旬、英国のAI(人工知能)セキュリティのスタートアップ企業Darktraceは、ある高度な攻撃の拡散を封じ込めた。この攻撃は、サイバースパイ活動とサイバー犯罪を行う中国の集団APT41がZohoの「ManageEngine」にあったゼロデイ脆弱(ぜいじゃく)性を悪用して仕掛けたものだった。
Darktraceで脅威ハンティング部門のディレクターを務めるマックス・ハイネマイヤー氏はこの攻撃を説明するブログ記事に次のように記している。「パブリックのIoC(Indicators of Compromise)やオープンソースのインテリジェンスを利用しなければ、標的型攻撃を検出するのは極めて難しい。検出できたとしても、セキュリティアナリストが早期に対応できなければ役に立たない。そうした事態があまりにも頻繁に起きている。アラートの数が膨大なことや、トリアージと調査スキルの障壁が高過ぎることに原因がある」
ハイネマイヤー氏によると、Darktraceの「Cyber AI Platform」は既知の情報に頼ることなく、未知の標的型攻撃のごくわずかな兆候を早い段階で検出できたという。
小企業は大企業ほどITセキュリティのレベルが高くない場合もあるが、Darktraceの技術は規模の大小を問わずあらゆる企業の保護に適用できる。Turnkey Consultingで経営コンサルタントを務めるアンドリュー・モリス氏は次のように話す。「AIは特に、規模を拡大中の企業にとって重要だ。そうした企業が、規模の拡大速度に比例してバックオフィスのコンプライアンスやセキュリティチームをスケールアップできるとは限らない」
AIのサポートを受けるセキュリティツールが提供する監視と自動インシデント対応によって、ITセキュリティチームは少ない労力で多くのことを実現できるようになる。モリス氏は次のように補足する。「可能な限り自動化することで、コンプライアンスを損なうことなくプレッシャーを軽減できる」
可能性のあるインシデントを1つずつ調べていくのではなく、複数のデータポイントで不正行為の兆候を同時に特定するAIの能力は、悪意のある行動を特定するのに非常に役立つとモリス氏は話す。
ITセキュリティ市場が向かっている方向を見極めようとすると混乱することが多い。セキュリティの専門家でBCS(British Computer Society)のボランティアを務めるペトラ・ウェナム氏が指摘するように、人々はSIEM(Security Incident and Event Monitoring)製品で利用できる分析がAIもどきなのか、それとも販売目的で分析をAIと称しているだけなのかを疑問に思っている。
同氏は次のように話す。「インターネットで検索すると、それほど苦労しなくてもSIEM製品が見つかる。Splunk、LogRhythm、McAfee、SolarWindsの製品やオープンソースソフトウェア『Nagios』など、AI機能があると主張する候補が16も見つかった」
ウェナム氏は、SIEM製品の分析を比較的短期間(1カ月や四半期や年ではなく、数時間や数日)にさまざまなソースから収集したイベントを相互に関連付ける手法と定義する。それがインフラのベースラインと比較され、設定したしきい値を超えると優先順位を付けてアラートを出力する。同氏は次のように話す。「SIEM製品は日単位や週単位でさまざまなレポートを生成する。インフラのベースラインを確立するため、新しいSIEMを調整して安定させるには4~6週間以上かかる可能性がある」
事実上、この期間に通常運用のノイズを調整するように設定される。ウェナム氏の経験によると、時間が経過して特にITインフラにアップグレードやその他の変更が加えられると、SIEMの再調整が必要になることがあるという。
SIEMのチューニングの一部に、イベントログの調整がある。ウェナム氏によると、ITインフラの各システムやプロセス別にログを記録する必要のある情報の確立と、必要なSyslogパラメーターの設定があるという。SIEMは確かに、一度適合させればそのまま使えるというものではない。
AIOpsは、ITの運用にAIを適用することを指す。一般に、AIOpsは長期間(恐らく数年)にわたって収集したイベント情報をデータベースに格納し、そのデータを分析する。AIOpsはセキュリティ面でIT管理者の役に立つとウェナム氏は考えている。IT管理者がAIOpsを利用すれば、時間の経過とともにインフラのベースラインとアラートのしきい値を調整し、相関関係のあるイベントを基に一部の修正操作を自動的に実行できる。同氏は次のように語る。「ビッグデータを使う機能に価値があるのは、ネットワークではチェックに時間がかかる行動や検出できない行動を検出できることだ。こうした行動は、1回限りのチェックでは見落としたり見逃したりする恐れがある。こうした行動を検出すれば、大きなセキュリティインシデントが起こる前に対応を始めることができる」
だが、誰かが侵入を試みていると判断するのは難しいとTurnkey Consultingのモリス氏は言うものの、次のように補足する。「機械学習は、企業が潜在的な脅威を前もって認識するのに役立つ。セキュリティ侵害に関する既存のデータセット、過去の結果、その侵害から得た洞察は全て、次に攻撃が起きる可能性を大まかに把握するのに役立つ」
後編(Computer Weekly日本語版 10月7日号掲載予定)では、AIの弱点と効果的な利用方法を解説する。
Copyright © ITmedia, Inc. All Rights Reserved.
ゼンリンマーケティングソリューションズでは、地図情報によるデータ分析作業を効率化するため、プログラミング不要のデータ分析ツールを導入した。同社はどのような製品を採用し、課題解決につなげていったのだろう。
データ活用におけるさまざまな課題を解決するBIツール。近年は、その枠を超え、さらなるデータ活用を促進するデータ分析プラットフォームへの注目度が高まっている。3社の事例を基に、同製品の魅力と実力に迫る。
データの可視化/分析をサポートするツールとして定評のあるBIツールだが、導入したものの活用できていない企業は意外と多い。その理由を確認するとともに、解決策として注目したい「チャットBI」の機能やメリットを詳しく解説する。
SAP ERPを活用して、事業部門のデータ作成/変更を行っているロクシタンでは、マスターデータ管理の煩雑さに伴う、処理時間の長さが課題となっていた。これを解消し、SAPデータの処理時間を4分の1に短縮した方法とは?
デジタル化が進む中で、企業が競争力を維持するには、柔軟かつ迅速な分析体制を構築し、データドリブンな意思決定を実現することが不可欠だ。本資料では、その分析体制の構築を支援するクラウド型のデータ分析プラットフォームを紹介する。
「人の動き」で見えない価値を見つけ出す 人流データが切り開く都市開発の未来 (2025/5/2)
導入の壁を突破してMicrosoft 365 Copilotを活用する方法 (2025/3/12)
クラウドの利便性とオンプレの制御性を両立、AI環境構築の新たな選択肢とは? (2025/3/6)
データ活用やAIで不良原因も発見 全員参加の現場伴走型で挑むトヨタ車体のDX (2025/2/21)
「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...