2020年11月30日 08時00分 公開
特集/連載

AIを生かしたインテリジェントなセキュリティ対策Computer Weekly製品ガイド

セキュリティツールの一種であるSIEMは有用だが、真価を発揮させるのは容易ではない。だがAIを運用に応用することでSIEMを活用できる可能性が開ける。

[Cliff Saran,Computer Weekly]
iStock.com/tyle-photography

 2020年3月初旬、英国のAI(人工知能)セキュリティのスタートアップ企業Darktraceは、ある高度な攻撃の拡散を封じ込めた。この攻撃は、サイバースパイ活動とサイバー犯罪を行う中国の集団APT41がZohoの「ManageEngine」にあったゼロデイ脆弱(ぜいじゃく)性を悪用して仕掛けたものだった。

 Darktraceで脅威ハンティング部門のディレクターを務めるマックス・ハイネマイヤー氏はこの攻撃を説明するブログ記事に次のように記している。「パブリックのIoC(Indicators of Compromise)やオープンソースのインテリジェンスを利用しなければ、標的型攻撃を検出するのは極めて難しい。検出できたとしても、セキュリティアナリストが早期に対応できなければ役に立たない。そうした事態があまりにも頻繁に起きている。アラートの数が膨大なことや、トリアージと調査スキルの障壁が高過ぎることに原因がある」

 ハイネマイヤー氏によると、Darktraceの「Cyber AI Platform」は既知の情報に頼ることなく、未知の標的型攻撃のごくわずかな兆候を早い段階で検出できたという。

 小企業は大企業ほどITセキュリティのレベルが高くない場合もあるが、Darktraceの技術は規模の大小を問わずあらゆる企業の保護に適用できる。Turnkey Consultingで経営コンサルタントを務めるアンドリュー・モリス氏は次のように話す。「AIは特に、規模を拡大中の企業にとって重要だ。そうした企業が、規模の拡大速度に比例してバックオフィスのコンプライアンスやセキュリティチームをスケールアップできるとは限らない」

 AIのサポートを受けるセキュリティツールが提供する監視と自動インシデント対応によって、ITセキュリティチームは少ない労力で多くのことを実現できるようになる。モリス氏は次のように補足する。「可能な限り自動化することで、コンプライアンスを損なうことなくプレッシャーを軽減できる」

 可能性のあるインシデントを1つずつ調べていくのではなく、複数のデータポイントで不正行為の兆候を同時に特定するAIの能力は、悪意のある行動を特定するのに非常に役立つとモリス氏は話す。

セキュリティツールとAIの統合

 ITセキュリティ市場が向かっている方向を見極めようとすると混乱することが多い。セキュリティの専門家でBCS(British Computer Society)のボランティアを務めるペトラ・ウェナム氏が指摘するように、人々はSIEM(Security Incident and Event Monitoring)製品で利用できる分析がAIもどきなのか、それとも販売目的で分析をAIと称しているだけなのかを疑問に思っている。

 同氏は次のように話す。「インターネットで検索すると、それほど苦労しなくてもSIEM製品が見つかる。Splunk、LogRhythm、McAfee、SolarWindsの製品やオープンソースソフトウェア『Nagios』など、AI機能があると主張する候補が16も見つかった」

 ウェナム氏は、SIEM製品の分析を比較的短期間(1カ月や四半期や年ではなく、数時間や数日)にさまざまなソースから収集したイベントを相互に関連付ける手法と定義する。それがインフラのベースラインと比較され、設定したしきい値を超えると優先順位を付けてアラートを出力する。同氏は次のように話す。「SIEM製品は日単位や週単位でさまざまなレポートを生成する。インフラのベースラインを確立するため、新しいSIEMを調整して安定させるには4〜6週間以上かかる可能性がある」

 事実上、この期間に通常運用のノイズを調整するように設定される。ウェナム氏の経験によると、時間が経過して特にITインフラにアップグレードやその他の変更が加えられると、SIEMの再調整が必要になることがあるという。

 SIEMのチューニングの一部に、イベントログの調整がある。ウェナム氏によると、




続きを読むには、[続きを読む]ボタンを押して
ください(PDFをダウンロードします)。






ITmedia マーケティング新着記事

news061.jpg

婚活・恋活マッチングアプリ 3億7000万人の巨大市場の行方
世界のマッチングアプリ(デートアプリ)市場のすう勢と、ウィズコロナの展望。

news053.jpg

データのサイロ化を乗り越えLTVを最大化する変数を発見 ネット宅配クリーニング「Lenet」がやったこと
事業の多角化などに伴うデータのサイロ化を防ぐためには統合的なデータ基盤が不可欠だ。...

news120.jpg

2021年のゴールデンウイークの予定 「自宅で過ごす」が依然として主流だが外出予定は増加――インテージ調査
外出意向は高まりつつも、新型コロナへの不安が消えたわけではないようです。