セキュリティ環境におけるAI/機械学習の真価
宣伝を超える技術
昨今の情報セキュリティ環境では、いたるところで人工知能 (AI) と機械学習 (ML) という言葉 を耳にします。これは、企業と攻撃者の双方が自身の目標に向けて取り組む中で 2 つの先進技 術の活用を試みているためです。攻撃者の目的は、短時間で防御を突破してセキュリティの弱 点を発見することです。それでは、企業のセキュリティ対策に取り組む上で、AI と機械学習に はどのような価値があるのでしょうか。
仮に、こうしたテクノロジそのものがサイバーセキュリティの目標であり、導入するだけで完璧なセキュリ ティ対策を実現できれば良いのですが、話はそう簡単ではありません。AI と機械学習の製品はどれも同じで はありません。そして、結果となりますが、最新のアルゴリズムを使用することがすべてではありません。 しかし、昨今の脅威情勢の困難さとスピードに対処する上で、AI と機械学習は包括的なセキュリティ ソリュー ションに欠かせない要素です。可能な限り攻撃を予防し、予防できない攻撃にはできるだけ迅速にレスポンス するという最大の目標に向けて、AI と機械学習を活用する必要があります。
AI だけでは解決できない
AI そのものはセキュリティの差別化要素ではありません。現在、さまざまな AI フレームワークと AI モデル が広く利用されていますが、学術研究をベースとしたオープンソースのフレームワークが一般的で、誰もが公 に利用できます。したがって、違いを生んでいるのは AI フレームワークではなく、AI の利用方法と AI の学 習に利用できるデータなのです。
サイバーセキュリティ向けの優れた賢い AI を実現するには
用途が何であれ、機械学習を通じて動作を学習する AI を有効に機能させるには、質の高いデータができるだ け大量に必要です。質の良い大量のデータを通じて、AI は起こりうるシナリオを把握します。現実のデータ を取り込むほど AI は賢くなり、経験を活用できるようになるのです。
この点をサイバーセキュティの視点で見ていきましょう。単一の導入環境や攻撃経路からの学習では足りま せん。必要なものは、すべての導入環境から学習するソリューションと、1 社だけでなく全ユーザーから収集 した情報を活用するツールです。学習に利用する環境とユーザーが多いほど、AI は賢くなります。したがっ て、量・種類ともに膨大なデータを扱えるシステムも必要です。
AI はコンピュータを用いた計算という単純なものではありません。AI を有効に機能させるにはデータが欠か せませんが、AI と機械学習そのものを運用プロセスに組み込むことも必要です。AI と機械学習を自己完結し た技術と見なすのではなく、セキュリティ プロセスとセキュリティ運用に貢献する道具と見なしましょう。
最も有効な AI の使い方は、学習に機械学習を用いた大規模な統計的パターン認識と、ドメイン知識などの要 素を統合する他の手段を組み合わせてハイブリッド システムを構築することです。通常、機械学習だけに依 存した統計的な手法では、新たに開発された未確認脅威に対応できません。これは、当然ながら、新しい脅威 に関連した、基準となる統計データがほとんど存在しないためです。同様に、ドメイン知識を利用すること で、特定の攻撃者の戦術と手口を効果的に検出・阻止するロジックを作成できますが ( 大規模なデータ分析を ベースとするのが一般的 )、エキスパート システムを使用してこのような知見を収集すると、導入環境全体で は誤答率の不均衡や偏りが生じます。求められている AI システムの条件は、機械学習による統計的知見を利 用すること、そして環境全体で一貫して低い誤答率を保ちながら新しい攻撃を一般化できる、ドメイン知識に 基づく知見を取得する能力がシステムに含まれることです。
サイバーセキュリティに特化した AI と機械学習の価値
基本的なレベルでは、企業セキュリティに AI と機械学習を上手く利用することで、SOC( セキュリティ運用セ ンター ) チームが少人数でも効率的に働けるようになります。企業の能力を強化するとともに、アナリストの 経験を活かせる業務にスキルを投入でき、相乗効果になります。
セキュリティ分野における AI と機械学習の一般的な使用例は、正常な振る舞いの基準を定め、チームに異常 の可能性を警告できるようにすることです。また、従業員が絶えず実施している日常タスクを明らかにするこ とで、運用効率の改善にも利用できます。さらに、時間とリソースを節約する自動プレイブックの作成と起動 も可能です。
人員とリソースが絶えず不足している環境で拡張性を実現する鍵である自動化。その情報提供と強化にも AI と機械学習を活用できます。昨今の SOC はどこも、大量の巧妙な脅威に少人数で対処することを強いられて います。結局、AI と機械学習の目的は優れたセキュリティ成果の実現に貢献することであり、具体的には非 常に乏しいリソースを迅速に活用する手段を提供することが求められます。
AI と機械学習によるセキュリティ成果の改善
セキュリティ運用において解決すべき問題が 1 つということはありえず、しばしば関連する問題が数珠繋ぎ になっています。セキュリティ運用全体で自動化の改善と手作業の排除を支援する AI と機械学習を導入する ことで、より多くのリスクをセキュリティ インシデントになる前に予防できる可能性があります。予防でき るリスクが増えれば、数少ない本物のセキュリティ インシデントにレスポンスすれば良くなるため、より効 果的なレスポンスが可能になります。AI と機械学習は攻撃者と同じツールを利用して、集中によるメリット と脅威環境に応じて拡張する能力をもたらし、企業の総合的なセキュリティ体制を強化するのです。