サイバー攻撃はAI技術の進化によって巧妙化しており、従来のセキュリティでは対抗できなくなりつつある。この状況を打破する可能性を秘めるアプローチとして、Cisco Systemsが提唱するセキュリティ戦略とは。
AI(人工知能)技術の進化は新たなサイバー脅威を生み出し、従来のセキュリティ対策を過去のものにしつつある。この脅威に対抗するために、Cisco Systemsは企業に対して、セキュリティを根本的に見直し、「AIにAIで対抗する」ことを推奨している。AI技術がもたらす脅威に対抗するための新たなアプローチとして、「核」になり得る3つのセキュリティ戦略とは何か。
Cisco Systemsでセキュリティ担当のシニアバイスプレジデント兼ゼネラルマネジャーを務めるピーター・ベイリー氏は、「現代でAI技術を使いこなすには、まずセキュリティを熟知する必要がある」と語る。
セキュリティの変革の必要性を理解するには、まずアプリケーションの構造が根本的に変わったことを認識しなければならない。従来、エンジニアはアプリケーションを「プレゼンテーション層」「アプリケーション層」「データ層」の3層構造で捉えてきた。だがAI技術が発展し、システムに組み込まれることが現実的になったことによって、アプリケーション層とデータ層の間に「AIモデル」が介在する新たな構造が生まれた。
Cisco Systemsでインフラストラクチャおよびセキュリティグループのシニアバイスプレジデント兼ゼネラルマネジャーを務めるトム・ギリス氏は、ネットワークセキュリティの改革に着手する前に、まず脅威の現状を正しく理解することの重要性を示す。
企業がAIモデルに機密情報を含むさまざまなデータを与えて学習させる際の注意点としてギリス氏が挙げるのは、「一度学習した情報をAIモデルは忘れない点」だ。これを踏まえて企業は、悪意のある人物がAIモデルを巧みに誘導して機密情報を漏えいさせないよう、保護策を講じなければならない。「AIモデルは、同じ問いに対して必ずしも毎回同じ答えを返さないため、その予測不能性を悪用して情報漏えいを引き起こすことができる」と同氏は説明する。
情報漏えいを防ぐ有効な手段として、ギリス氏は「AIでAIを守る」アプローチを挙げる。防御側のAIモデルが、保護対象のAIモデルに対して膨大な数の質問を投げ掛け続ける。これによって、AIモデルが機密情報を漏らしてしまうような脆弱性がないかどうかを常に監視するというアプローチだ。
だがこうしたAIモデルによる監視だけでは、ネットワーク全体を保護するには不十分だ。「セキュリティは多角的な視点で捉える必要があり、ネットワーク担当者はその点を常に意識すべきだ」とギリス氏は念を押す。
Cisco Systemsは、セキュリティを構成する要素として、以下の3つを掲げている。
Cisco Systemsのエンドユーザー保護は「ZTNA」(ゼロトラストネットワークアクセス)を基盤としている。ZTNAは、全ての通信を信頼せず、継続的にアクセスの正当性を検証することで安全を確保するセキュリティモデル「ゼロトラストセキュリティ」に基づき、エンドユーザーがアプリケーションを安全に利用できるようにするセキュリティ技術だ。エンドユーザーには、業務に必要なデータやシステムへのアクセス権限のみが付与される。
ただしZTNAには課題もあるとギリス氏は指摘する。1つ目は、アクセスの主体として「人」は考慮されているが、「デバイス」が必ずしも考慮されていない点だ。
ギリス氏は例としてプリンタを挙げる。「プリンタも人と同じようにアクセス主体になり得ることを、人々は見過ごしがちだ。リモートオフィスのプリンタが印刷サーバにアクセスするのは当然だが、そのプリンタが顧客データベースに接続する事態は避けなければならない」(同氏)
2つ目の課題は、継続的なリスク評価が欠如している点だ。セキュリティシステムが一度デバイスを信頼できると判断すれば、そのデバイスは許可された範囲内では自由に通信できてしまう。だがデバイスの状態は常に一定ではなく、ネットワークに接続している間に変化する可能性がある。「従来のZTNAは、認証時にデバイスの状態を一度チェックしてアクセスを許可するだけだ。だが、一度許可されれば、その後の振る舞いは問われない」とギリス氏は説明する。
これらの課題を解決する手段として、Cisco SystemsはZTNAサービス「Universal ZTNA」を提供している。Universal ZTNAは、認証時だけではなくアクセス中も、エンドユーザーやデバイスの状態を継続的に監視し、変化を検出する。
Cisco Systemsはクラウド保護の手段として、従来のファイアウォールを発展させた「Hybrid Mesh Firewall」を提供している。これは、複数の小規模なファイアウォールをネットワーク内のさまざまな場所に配置する構造を持つ。配置先は、ハードウェアアプライアンスや仮想マシン(VM)の他、OSの中核であるカーネルに手を加えることなく、通信を高速に監視、制御できる技術「eBPF」(Extended Berkeley Packet Filter)を用いてホストマシン自体に組み込むことも可能だ。
「さまざまな形態のファイアウォールを、ネットワークの至る所に配置するというのが基本的な考え方だ。もはや『ファイアウォール』という言葉すら使わずに、ネットワークセキュリティ機能を無数に分割して組み込みたい」とギリス氏は語る。
Hybrid Mesh Firewallの中核を担うのが、ポリシーの一元管理サービスだ。ギリス氏は「実際の通信を制御する各ファイアウォールが状況に応じて変化しても、大本となるポリシーは不変だ」と説明する。
AI技術による巧妙な脅威がネットワークを脅かし続ける中、Hybrid Mesh FirewallもAI技術を活用した防御機能を搭載して対抗している。「これによって、個々のAIアプリケーションが何であるかを問わず、ネットワーク自体にAI技術の不正利用を防ぐための保護機能を構築できる」とギリス氏は述べる。
ギリス氏は、3つ目の「セキュリティ分析と対処」を、前述の「エンドユーザー保護」「クラウド保護」の2つを結び付ける要だと位置付けている。
世界中で扱われるデータ量はますます膨大になり、AI技術が普及するにつれ、企業がP(ペタ)B規模のデータを日常的に扱うことも珍しくなくなった。AIモデルのトレーニングだけでもTBからPB単位のデータが必要であり、AIモデルが生成する膨大なコンテンツも加わる。こうした状況下で、自社のデータを正確に把握するための分析やレポーティング機能は不可欠な存在だ。ベイリー氏は、「全てのデータを一元的に集約して分析するのは、手間もコストもかかり過ぎる」と現状を語る。
企業は自社のデータを追跡するだけではなく、保護する必要もある。ベイリー氏は、今後は設計段階からセキュリティを組み込んだネットワークアーキテクチャの導入が一般的になると予測する。これによって、顧客情報を含む重要な情報が確実に保護されるようにするとともに、外部からの攻撃に対する防御も強化できるようになる。
Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。
なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
