AIによるセキュリティの自動化がもたらす次の課題：Computer Weekly製品ガイド

ITセキュリティとハッカー界との戦いは、常にいたちごっこの状況だった。だがその戦いの自動化が進展している。

≫ 2020年12月01日 08時00分公開

[Cliff Saran，Computer Weekly]

　サイバーセキュリティの意思決定者は、システムやビジネスに支障が出たり知的財産やデータが盗まれたり評判が傷ついたりすることを最も懸念する。

　PA ConsultingのAI・自動化エキスパート、リー・ハウェルズ氏とAI・ブロックチェーンのエキスパート、ヤニス・カルフォグロウ氏によると、組織を狙ってAIを使う攻撃は増加の一途にあり、AIの能力も増大して一層の高度化が進んでいる。

　両氏は、サイバー犯罪集団によるAIの利用は避けられないと指摘し、そうした動きによってデジタルセキュリティに対する脅威は増大し、サイバー攻撃が増えて手口も巧妙化すると予想した。

　「AIは、攻撃の速度や量の増大といった一般的なものから、発見や検出を難しくしたり信頼できるユーザーになりすましたり、ディープフェイクを使うといった高度なものに至るまで、サイバー攻撃者にあらゆるチャンスをもたらす」と両氏は解説する。

オーダーメイド攻撃

　ハウェルズ、カルフォグロウの両氏によると、大量のデータを高速分析できるAIの能力を利用すれば、そうした攻撃の多くは特定の組織に合わせた独自の手法で仕掛けられる公算が大きい。

　そうした高度に洗練されたサイバー攻撃は、AIを駆使するプロの犯罪ネットワークによって実行され、組織のITセキュリティ能力を圧倒するスピードと完璧さで攻撃を仕掛けることが可能になる。

　AIを使った悪質行為に対しては、AI対応のセキュリティ自動化で対抗できる可能性がある。ハウェルズ、カルフォグロウの両氏によると、行動に基づく分析を利用したり機械学習の高度なパターン照合機能を導入したりすることができる。

　「データアクセスに関する適切な合意があることを前提として、ストリーミング、端末、従来型のITインフラの豊富なデータを利用すれば、ユーザーの行動に関する洗練されたイメージを描くことができる」（両氏）

　両氏によると、ユーザーの行動データを分析すれば特定の時間にどんな端末が使われているか（例えば午後10時はiPadなど）、その時間に平均的なユーザーは何をしているか（午後10時に電子メールを処理している）、自分たちが相手にしているのはどんなユーザーか（セキュリティポリシーに従って午後10時以降はビデオ電話は使わない）、どんなデータにアクセスしているか（午後10時以降は共有ドライブにはアクセスしない）といった内容を組織が把握する助けになる。

　よく訓練された機械学習システムを使えば、こうした行動データをリアルタイムでメンテナンスしたり更新したりできる。普段のパターンから外れた行動を検出するとアラートを出して、サイバー防御の仕組みを展開できる。

データ流出の代償

　IBMが2019年にまとめた情報漏えいコストに関する報告書は、自動化されたセキュリティの仕組みや技術を導入している企業と導入していない企業を比較した。そうしたセキュリティ対策技術は、サイバー攻撃や不正侵入の発見と封じ込めにおける人の介入を補ったり代替したりすることを目標とし、AIや分析、インシデント対応オーケストレーションに依存している。

　不正行為の検出や対応を自動化するシステムを導入すれば、人が介入する必要性はなくなる。IBMの調査では、対象企業の半数以上（52％）が部分的または完全なセキュリティ自動化を導入していた。

　セキュリティ自動化を導入していない企業の場合、情報漏えいの総コストは95％高かった。

　IBMの報告書によると、セキュリティ自動化を完全導入している組織の場合、情報漏えいに伴う総コストは265万ドル（約2億8000万円）だったのに対し、自動化を導入していない組織の情報漏えいに伴う総コストは516万ドル（約5億4000万円）だった。つまり251万ドル（約2億6000万円）も高くついていた。

　Deloitteのサイバーリスク技術ディレクターでWomen Leading in AI創設者のイバナ・バートレッティ氏は、システムのトレーニングにAIを導入すればランサムウェアやマルウェアのささいな挙動もシステムに侵入する前に発見して、システムから切り離すことができると語る。AIはフィッシングやデータ窃盗の検出を自動化し、リアルタイムに反応できるので非常に役に立つ。

AIと業務を連携させてサイバー攻撃に対抗

　セキュリティプロフェッショナルは、ITセキュリティ監視に対して相対的にアプローチする目的で、SIEM（セキュリティ情報イベント管理）ツールを採用している。MarketsandMarketsの予想によると、世界のSIEM市場規模は年に5.5％成長して2025年までに55億ドル（約5760億7000万円）に達する見通しだ。だがSIEMはどんな組織にも適しているわけではない。

　理論的には、脅威を見つけ出すためにAIを使って大量のデータをトローリングすることは、サーバとネットワークとアプリケーションのログを解析するAIOpsに使われる技術とそれほどの違いはない。Gartnerによると、AIOpsは主にITインフラやアプリケーションの挙動、あるいはデジタルエクスペリエンスのモニタリングを可能にするIT運用プロセスを支援するために使われる。

　「AIOpsへの投資はほぼ確実に、問題解決にかかる平均時間を短縮し、結果としてコストを削減できるという理由で正当化されてきた」とGartnerは指摘する。

　Gartnerのアナリストは「Market guide for AIOps platforms（AIOpsプラットフォームのための市場ガイド）」の中で、AIOpsのメリットとしてイベントの量と誤検知が減ることを挙げている。大量の誤検知に忙殺されることはITセキュリティにとって大きな頭痛の種であり、正規の活動がブロックされることにつながる。ハウェルズ、カルフォグロウ両氏のiPadの事例が示す通り、AIを使えば何が「ユーザーの普通の挙動」に該当するかという認識を確立できる。

　AIOpsは時系列データの異常値を検出することもできる。これは単純に、会社のポリシーに反して午後10時以降に共有データにアクセスする目的でiPadがいつ使われたかを単純に「知る」以上の意味がある。

　一方、AIは隠されたデータの意味を解き明かして結果を予測することができ、そうした予測はデータポリシー違反が検出されるずっと前に問題の存在を示すことができる。

　AIは情報漏えいが発生した理由を探るため、バイトコードインストルメンテーションや分散されたトレーシングデータをグラフ分析と併用して根本原因を分析することもできる。

　だがDeloitteのバートレッティ氏は、AIへの過度の依存は別の問題につながると警告する。「AIは資産の防御力を向上させると同時に、それに対する攻撃力も向上させる。セキュリティ強化のために最先端技術を導入すれば、サイバー犯罪集団はそれと同じイノベーションを使ってその上を行こうとする。一般的な攻撃は、システム情報の収集やリクエストを大量に送り付けることによるAIシステムの破壊を伴う。AIでサイバーセキュリティを強化できるのは、組織がその限界を知り、進化を続ける脅威を常に視野に入れた明白な戦略を持つことができる場合に限られる」

　ITセキュリティプロフェッショナルと攻撃者との攻防が激化する中、その戦いは必然的にAIを駆使したサイバー攻撃とサイバー防御にシフトする。そうなれば、どちらのAIが速くて賢いかの問題になる。勝利するのはネコかネズミか。

TechTargetジャパントップセキュリティ