人工知能で賢くなった「SIEM」で実現する“5つの次世代セキュリティ運用”とは:AIで進化するSIEM【前編】
人工知能(AI)技術はセキュリティに新風を吹き込もうとしている。脅威検出ツール「SIEM」もその例外ではない。AI技術によってSIEMはどう進化するのか。5つのポイントをまとめた。
サイバー攻撃が猛威を振るっている中、企業はセキュリティの強化に取り組まなければならない。特に期待されているのは、人工知能(AI)技術の利用による高度な脅威の検出や対処の自動化だ。システムを監視してインシデントの検出、対処を実行するためのツールとして「SIEM」(Security Information and Event Management)がある。AI技術によってSIEMはどのように進化しているのか。
AIで進化したSIEM の5機能はこれだ
SIEMとは、システムのログやイベント情報をはじめとしたセキュリティ情報を分析して攻撃の兆候を発見し、いち早く対策を講じることによって攻撃を水際で防ぐためのツールだ。SIEMという用語は調査会社Gartnerが2005年に、「SIM」(Security Information Management)と「SEM」(Security Event Management)を組み合わせて作成した。
現在のSIEMはAI技術を取り入れ、脅威の高度なリアルタイム分析を可能にしている。提供される形態としてはオンプレミス型とクラウドサービス型がある。クラウドサービス型 SIEMは、拡張や縮小のしやすさといったことがメリットだ。企業は自社にセキュリティオペレーションセンター(SOC)などの専門組織を構築しなくても、脅威を監視できるようになる。
クラウドサービス型 SIEMは近年、AI技術の利用によってさまざまな機能を実現している。以下のものが挙げられる。
1.継続的監視
AI技術が365日24時間体制で通信データとエンドユーザーの挙動を監視し、脅威を特定する。人間であれば見落とす場合がある、微細な攻撃の兆候を捉えることが可能だ。見落としや誤判断といった人為的なミスの抑制に加えて、人間よりも高精度な分析に期待できるの。
2.大量のデータ処理
AI技術は大量のデータを迅速に分析し、セキュリティリスクをすぐに評価できる。そのため、攻撃の兆候をほぼリアルタイムに特定することが可能だ。加えて、エンドユーザーの行動が企業のセキュリティポリシーに違反しているかどうかも判別できる。
3.フィッシング防止
フィッシング攻撃によってエンドユーザーの認証情報が流出すれば、ランサムウェア(身代金要求型マルウェア)攻撃といった大規模な被害を招きかねない。SIEMのAI技術はメールやメッセージの内容を分析したり、リンクや添付ファイルが安全かどうかをチェックしたりして、フィッシング攻撃の試みを探し出す。フィッシング攻撃を発見したら、アラートを発する。
フィッシング攻撃は、人の心理を巧みに操って意図通りの行動をさせる「ソーシャルエンジニアリング」と呼ばれる手法を利用する。そうした詐欺は、ITリテラシーが高いエンドユーザーでも気付かない可能性がある。AI技術はエンドユーザーの行動パターンを学習しており、通常とは異なる行動を特定できるので、フィッシング攻撃への対策として有効だ。
4.コンプライアンス支援
AIモデルに自社のセキュリティに関するルールや行動規範を学習させることで、それらが守られているかどうかを自動で確認できるようになる。自社のルールや行動規範が最新の基準を満たしているかどうかのチェックも可能であり、企業のコンプライアンス(法令順守)関連の取り組みを後押しする。
コンプライアンス違反が見つかったら、AI技術はその違反内容をまとめたレポートを自動で作成することもできる。AI技術はデータが十分に保護されていないといった問題点を具体的に指摘するため、企業はその結果を受けてデータの暗号化ツールを導入するなどの対策を講じられるようになる。
5.過去から学んで攻撃予測
AI技術は日頃、不審な行動パターンを分析して「知識」として蓄積するので、攻撃を予測しやすくなる可能性がある。企業は新たな攻撃が予測される前の段階から、過去データを踏まえてセキュリティを評価し、必要に応じて改善策を打てるようになる。
他にも、AI技術はさまざまな情報源にアクセスしてセキュリティ関連のデータを組み合わせ、相互関係を分析。それによって、あるインシデントから派生し得る他のインシデントを予測できる。
後編は、SIEMに組み込まれたAI技術の利用によってセキュリティ担当者の仕事がどう変わるかを取り上げる。
Copyright © ITmedia, Inc. All Rights Reserved.