3min. read

人工知能(AI)は数年前からサイバーセキュリティの必要最低限の要件ですが、大規模言語モデル(LLM)が普及したことで、2023年は特に刺激的な年になりました。実際、LLMによって、すでにサイバーセキュリティ全体の状況が変わり始めています。ただし、これまでにない課題も発生しています。

一方では、LLMによって、大量の情報を処理して、誰でもAIを活用することが容易になっています。LLMによって、脆弱性の管理、攻撃の阻止、アラートの処理、インシデントの対応において、効率、インテリジェンス、拡張性を実現できます。

他方では、攻撃者もLLMを使用して、攻撃の効率を高め、LLMの使用に伴う脆弱性を悪用できます。また、LLMの使い方を誤ると、AIが普及して利用されることによりデータを誤って漏洩するなど、サイバーセキュリティ問題がさらに発生する可能性があります。

LLMを導入する場合、サイバーセキュリティに関する新しい考え方が必要です。すなわち、さらに動的でインタラクティブなカスタマイズされた考え方です。ハードウェア製品の時代には、ハードウェアの変更が行われるのは、次の新しいバージョンのハードウェアに置き換わるときだけでした。クラウドの時代になると、ソフトウェアが更新可能になり、顧客データを収集して分析した結果に基づいて次のバージョンのソフトウェアを改善しましたが、それが行われるのは新しいバージョンまたはパッチがリリースされるときだけでした。

現在、AIの新時代に入り、顧客が使用するモデルは、独自のインテリジェンスを備え、継続的な学習ができ、顧客の使用状況に応じて変化できます。すなわち、顧客サービスを向上させることも、間違った方向に歪曲することもあります。したがって、設計段階でセキュリティ(安全なモデルを構築して研修データの感染を阻止するなど)を組み込む必要があるだけでなく、導入後も継続的にLLMシステムの安全性、セキュリティ、倫理を評価して監視する必要があります。

最も重要なこととして、セキュリティ システムにインテリジェンスを組み込む必要があります(子供の行動を制限するだけでなく、正しい道徳心を持たせる必要があるのと同様)。これによって、しっかりとした適切な判断を下すように適応でき、不正入力に簡単に影響されなくなります。

LLMは、サイバーセキュリティに良くも悪くも何をもたらしたでしょうか。この1年で弊社が学んだこと、そして2024年の予測について紹介します。

2023年を振り返って

1年前(LLMの時代になる前)に『サイバーセキュリティ分野の機械学習の未来』を執筆しましたが、その中でサイバーセキュリティにおけるA特有の課題として、正確性、データ不足グランド トゥルースの欠如の3つを指摘しました。さらに、一般的ではあるがサイバーセキュリティ分野で特に問題となるAIの課題として、説明可能性、人材不足AIセキュリティの3つを指摘しました。

1年が経過し、その間に多くの調査を行った結果、LLMがこれら6つの分野のうち4つ(データ不足、グランド トゥルースの欠如、説明可能性、人材不足)で大いに役立っていることが判明しました。残りの2つの分野である正確性とAIセキュリティは、非常に重要ですが、まだ非常に難しい課題です。

サイバーセキュリティでLLMを活用する最大の利点は、次の2つの分野に要約されます。

1. データ

ラベル付きデータ

LLMを使用することは、「ラベル付きデータ」の不足という課題を克服するのに役立ちました。

AIモデルと予測をさらに正確でサイバーセキュリティの使用例に適したものにするには、高品質のラベル付きデータが必要です。しかし、そのようなデータの入手は困難です。たとえば、攻撃データについて学習できるマルウェア サンプルを発見するのは困難です。侵害された組織は、必ずしもその情報を共有することに積極的ではありません。

LLMの有用性は、初期データを収集し、既存の実データに基づいてデータを合成し、攻撃の発信源、ベクトル、手法、意図に関する新しいデータを生成する場合にあります。この情報を使用して新たな検出手法を構築しますが、フィールド データに限定されません。

グランド トルゥース

1年前の記事で述べたように、サイバーセキュリティでは常にグランド トルゥースが存在するわけではありません。LLMを使用することで、検出と複数のマルウェアデータベースに存在するギャップを発見し、誤検出率を低減し、モデルのトレーニングを頻繁に行うことで、グランドトゥルースを劇的に改善することができます。

2.ツール

LLMは、サイバーセキュリティの運用を容易にし、使いやすく実用的にするのに大いに役立ちます。これまで、サイバーセキュリティにおいてLLMの影響を最も受けているのは、セキュリティ オペレーション センター(SOC)です。

たとえば、LLMでは、SOCの自動化を支える主な機能として、関数呼び出しを提供しています。この機能は、SOCを直接操作できるAPI呼び出しに自然言語による指示を変換するのに役立ちます。また、LLMは、セキュリティ アナリストがアラートとインシデント レスポンスをよりインテリジェントかつ迅速に処理するのを支援できます。LLMを使用すると、ユーザーから自然言語コマンドを直接受け取ることで、高度なサイバーセキュリティ ツールを統合できます。

説明可能性

これまでの機械学習モデルは、優れた結果を出していましたが、「なぜ?」という質問に回答できませんでした。LLMは、その理由を正確かつ確信をもって説明できるという点で、脅威検出とリスク評価を根本的に変える可能性を秘めています。

大量の情報を迅速に分析できるLLMの機能は、多様なツール(イベント、ログ、マルウェア ファミリ名、共通脆弱性識別子(CVE)の情報、社内外のデータベースなど)からのデータを関連付けるのに役立ちます。これは、アラートまたはインシデントの根本原因を特定するだけでなく、インシデント管理の平均解決時間(MTTR)を大幅に短縮するのに役立ちます。

人材不足

サイバーセキュリティ業界の失業率はマイナスです。専門家が不足し、人間は膨大な数のアラートにタイムリーに対応できません。LLMはこの点、大量の情報の収集と整理を迅速に実行し、コマンドを自然言語で理解し、必要なステップに分解し、タスクを実行するための適切なツールを割り当てる、という機能に長所を持ち合わせていることから、セキュリティ アナリストの作業負荷を大幅に軽減できることが期待されています。

LLMによってドメインの知識とデータの取得から新しいサンプルとマルウェアの徹底解剖までを処理することで、新しい検出ツールをより迅速かつ効果的に構築でき、それらを使用して新しいマルウェアの特定と分析から悪意ある攻撃者の特定までを自動化できます。

また、AIインフラストラクチャに適したツールを構築する必要があります。これによって、誰もがサイバーセキュリティ専門家やAI専門家にならなくても、サイバーセキュリティでAIを活用して恩恵を受けられます。

2024年の3つの予測

サイバーセキュリティにおけるAIの利用拡大に関して言えば、新しい時代が始まっていることすなわち、「ホッケー スティック」型と呼ばれる成長の初期段階にあることは明白です。セキュリティ体制の強化に役立つLLMについて学習するほど、AIを最大限に活用することで問題(および攻撃者)に先行する可能性が高まります。

拡大する攻撃ベクトルと複雑さに対抗する戦力強化策としてAI利用の拡大について議論する領域がサイバーセキュリティに多数存在すると思いますが、その中で際立っているのが以下の3つです。

1.モデル

AIモデルは、サイバーセキュリティのニーズに根ざした詳細なドメイン知識を創り出す点で大きな前進を示すでしょう。

昨年は、一般的なLLMモデルの強化に多数の人が尽力しました。研究者は、モデルのインテリジェンス強化、高速化、コスト削減に必死に取り組みました。しかし、これらの汎用モデルから得られる結果とサイバーセキュリティのニーズの間には大きなギャップがあります。

具体的に言うと、この業界では、「フロレンティーン風卵料理の作り方」や「誰がアメリカ大陸を発見したか」といった多様な質問に回答できる巨大なモデルは必ずしも必要ありません。代わりに、サイバーセキュリティには、サイバーセキュリティの脅威、プロセスなどに関する深いドメイン知識を備えた極めて高精度のモデルが必要です。

サイバーセキュリティでは、精度がミッションクリティカルです。たとえば、弊社では、世界中のSOCからのデータを毎日75TB以上処理しています。0.01%の間違った検出判定でさえ大惨事になりかねません。顧客のセキュリティ要件に重点を置いてカスタマイズされたサービスを提供するには、豊富なセキュリティ分野の経験と知識を備えた高精度のAIが必要です。つまり、それらのモデルは、少数の特定タスクをはるかに高い精度で実施する必要があります。

特定の垂直業界やドメイン固有の知識を豊富に備えたモデルの作成においてエンジニアは大きな進歩を遂げており、2024年にサイバーセキュリティ中心のLLMが出現すると確信しています。

2.使用例

サイバーセキュリティにおけるLLMの革新的な使用例の登場が見込まれています。これにより、LLMはサイバーセキュリティにとって不可欠になるでしょう。

2023年は、誰もがLLMの驚くべき能力に大いに興奮していました。人々はその「ハンマー」であらゆる「釘」を打とうとしていました。

2024年には、すべての使用例がLLMに最適であるとは限らないことが理解されることが見込まれています。こうしたなかで、LLMの強みにうまく適合する特定タスクに的を絞った本物のLLM対応サイバーセキュリティ製品が登場するでしょう。これは、本当に効率性、生産性、操作性を向上させ、現実の問題を解決し、顧客のコストを削減します。

セキュリティ問題に関して数千件の関連資料(エンドポイント セキュリティ アプライアンスの設定、パフォーマンス問題のトラブルシューティング、適切なセキュリティ認証情報と権限を持つ新しいユーザーのオンボーディング、ベンダーごとのセキュリティ アーキテクチャ設計の分析など)を参照できることを想像してください。

LLMはスケーラブルで迅速な方法で適切な情報を利用、要約、分析、生成できるため、セキュリティ オペレーション センターに変革をもたらし、セキュリティ専門家を配置する方法、場所、時期を革命的に変化させるでしょう。

3.AIのセキュリティと安全性

サイバーセキュリティでAIを使用することに加えて、AIモデルのインテリジェンスを危険にさらすことなく安全なAIおよびAIの安全な使用方法を構築する方法も重要なトピックです。この方向では、すでに多くの議論と素晴らしい取り組みが行われています。2024年には、実際のソリューションが導入され、たとえそれらが予備的なものであっても、正しい方向に踏み出すことになるでしょう。また、AIシステムのセキュリティと安全性を動的に評価するために、インテリジェントな評価フレームワークを確立する必要があります。

悪意ある攻撃者もLLMを利用できることに注意してください。たとえば、ハッカーはLLMを使用して、はるかに高い品質のフィッシング メールをはるかに大量に簡単に生成できます。また、LLMを活用して新しいマルウェアも作成できます。しかし、この業界はLLMの使用に関して、より協力的かつ戦略的に行動しており、弊社が悪意ある攻撃者に先行し、その状態を維持するのに役立っています。

2023年10月30日、Joseph Biden米大統領は、AIに関連するテクノロジ、製品、ツールの責任ある適切な使用に関する大統領令を出しました。この大統領令の目的は、AIベンダーは必要な手段をすべて講じてそのソリューションが悪意のある目的ではなく適切な用途で使用されることを保証する必要がある、ということに言及するものとなっています。

AIのセキュリティと安全性は現実の脅威であり、この脅威を真剣に受け止めて、防御を回避する攻撃をハッカーはすでに設計していると想定する必要があります。AIモデルがすでに広く使用されているという単純な事実が、攻撃対象範囲と脅威ベクトルの大規模な拡大をもたらしています。

この分野は非常にダイナミックです。AIモデルは日々進歩しています。AIソリューションが導入された後も、モデルは常に進化し、変化を止めることは決してありません。継続的な評価、監視、保護、改善が強く望まれます。

AIを使用する攻撃はますます増えるでしょう。業界として、セキュアなAIフレームワークを開発することを最優先する必要があります。それには、現代における壮大で野心的な試みが必要になり、テクノロジ エコシステム全体(ベンダー、企業、学術機関、政策決定機関、規制当局など)の連携を伴います。これが困難なことであることは間違いありませんが、すべての関係者がこの作業の重要度を認識していると私は思います。

結論: 楽しみはこれから

ある意味、ChatGPTなどの汎用AIモデルの成功は、サイバーセキュリティにおいて人々を甘やかしました。誰もが、LLMを構築、テスト、導入し、継続的に改善することでサイバーセキュリティ中心のLLMを生成できると期待していました。しかし、サイバーセキュリティは、AIを適用するには非常に特殊で専門性が強く、扱いにくい分野であることを思い知らされました。LLMを機能させるには、データ、ツール、モデル、使用例の4つの重要な側面をすべて正しく整える必要があります。

ありがたいことに、賢明で強い決意を持つ多数の人々に、私たちはアクセスできます。そういった人々はビジョンを持っており、より正確なシステムを推進する必要がある理由を理解しています。そのようなシステムでは、インテリジェンス、使いやすさ、そしておそらく何よりも適切なサイバーセキュリティを備えています。

私は運よくこの分野で長い間働くことができ、パロアルトネットワークス社内の同僚や同業者が日々進歩を遂げていることを喜び、感謝しています。

予言者として困難な部分に話を戻すと、将来について絶対的な確信を持って多くのことを知るのは困難です。しかし、以下の2つのことは判明しています。

  • 2024年は、サイバーセキュリティにおけるAIの活用において驚異的な年になります。
  • 2024年は、その後に起こることに比べれば、地味に感じられるでしょう。

Dr. May Wangは、パロアルトネットワークスのIoTセキュリティ担当CTOです。