サイバー攻撃から企業を守る、AIが可能にする見逃し防止
サイバー攻撃から社内システムを守る方法は、これまでも多く考えられてきました。最近では激化するランサムウェア攻撃など次々と発生する新手の手法に対し、セキュリティ企業は対応し続けています。セキュリティソフトの開発元も膨大な数の攻撃パターンを収集し、OSやソフトウエアの内容は更新され続けています。
主力のシステムが、オンプレミスと呼ばれていた社内システムからクラウドに移行したことで、ネットワークの「内と外」の区別がつかなくなり、従来のように「信用できるエリア」に境界線を引く方法が通じなくなりました。誰も信用せず、都度認証する「ゼロトラストセキュリティ」がいまやスタンダードの考え方になりつつあります。従来の防御方法が限界を迎える中で、セキュリティ対策にも先進的なAIが使われるようになってきています。
ここでは、現在のサイバー攻撃の対処方法を確認した上で、AIによる防御がどんなものなのか解説します。さらに国内外の事例を紹介、これからのセキュリティ対策とAIはどのように関わっていくのかについて紹介していきます。
サイバー攻撃の検知方法
新しいサイバー攻撃手法が報告されると、ソフトウエアベンダーは直ちに対処し、アップデートを実施します。一般的に使われている端末にインストールして使用するセキュリティ対策ソフトなどは、既に発生した実績のある既知の攻撃に対して有効です。
不具合が発生していなくても、サイバー攻撃が行われている可能性はあります。それを検知するには、ファイアウォールやプロキシサーバーのログをチェックするのが有効な方法です。このためのツールも発売されているので、これらを使って可視化できます。
このように攻撃に対する検知方法は用意されているのですが、既知の攻撃パターンに対してのみ有効であり、未知の攻撃パターンに対しては対応していません。
そこで未知の攻撃に対して、AIによってネットワーク上でいつもと違う傾向を発見する手法が実施され始めました。
AIで未知の攻撃パターンも検知
ネットワークセキュリティ対策を担うAIの機械学習モデル作成に使用されるデータは、既知のマルウェアによる攻撃パターンや社内の通信状況(各種ログ)です。社内も社外も関係なく、すべてのファイル・通信を信頼せずにチェックすることにより、未知の攻撃に対処します。
AIによるセキュリティは導入すると、直後から社内ネットワークのトラフィックを取り込み、攻撃を受けていない通常状態の動きについて学習し続けます。通常の動きがパターンとして学習されたところで、マッチングによって通常と違う動きを検知するわけです。
この方法によって、悪意ある第三者からのサーバー攻撃のみならず、いつもと違う動きであれば社内の不正も監視します。
既知の攻撃パターンのみ検知するパターンファイル方式では、未知の攻撃を検知できないことに加え、パターンファイルに定義された条件に引っかかるアラートが多すぎて、対処しきれないという人手不足の問題も抱えることになります。AIによる「いつもと違う動き」を検知する技術は、学習を繰り返すことによって精度が上がり、注力すべきアラートだけに集中できます。セキュリティ人材不足対策にも一役買えると期待されています。
サイバーセキュリティの海外事例
海外製のAIセキュリティソフトで有名なものを2つほどご紹介します。
Darktrace(ダークトレース)
ダークトレースは2013年に設立された英国の会社です。『サイバーセキュリティの課題にAIを適用した最初の企業』であることを標ぼうしています。
前段で紹介したようなAI学習による防御方法について、ダークトレースは『教師なし機械学習』『独自の免疫システムのプラットフォーム』といい、『静的なルールや過去に遭遇した脅威のブラックリストに依存し、新手の洗練された攻撃にまで目が届かない』という、これまでのセキュリティ対策とは異なるものであるとしています。
この方法による特徴は、外部からの攻撃だけではなく、内部関係者による犯行なども検知できることです。同社は「内部関係者による攻撃から国家が支援するスパイ活動まで」「最も早期の段階で識別するのに十分な威力を発揮する」としています。
実は、ダークトレースの創始者の一人は、英国の政府情報機関出身のサイバー専門家だったということで、こういった発想になったのでしょう。今や、AI防御ソフトでは最も有名な存在となっています。
BlackBerry(ブラックベリー)
ブラックベリーは、スマートフォンで有名なカナダの企業です。同社はiPhoneが登場した2007年以前から携帯情報端末を発売しており、エンドポイントとインターネットセキュリティーに関するノウハウを蓄積してきました。
iPhoneにシェアを奪われた現在では、2018年11月にAIセキュリティ企業サイランスを買収したことで、セキュリティ対策システムやコンサルティングに業務をシフトさせています。一般的なセキュリティ検知ソフトの欠点である、健全なものまで検知してしまう無駄を極力排除するため、マルウェアなど悪質なファイル7億件と無害のファイル3億件を機械学習させました。これにより、良性と悪性のパターンマッチングを行うことによって、ファイルの安全性を見分ける精度が99%まで高まったとしています。
工場などのIoT機器や自動車に情報機器が使われるようになった現在、エンドポイントのセキュリティに強い同社は再び脚光を浴びています。
サイバーセキュリティの国内事例
日本国内でもAIのセキュリティへの応用が進んでいます。多くの場合、前段に挙げたダークトレースなどを利用するケースが多いようですが、日本国内の開発ベンダーも存在しています。
サイバーセキュリティクラウド
サイバーセキュリティクラウドは、2010年に設立されたAI技術を活用した、Webアプリケーションのセキュリティサービスを全世界に向けてサブスクリプションで提供する企業です。
同社は、ディープラーニングを用いた攻撃検知AIエンジン「Cyneural」を開発し、これを活用したクラウド型Web Application Firewall(WAF)やAWS WAFの自動運用サービス『WafCharm』を提供しています。
Cyneuralは、Webアクセス、攻撃手法の研究から生まれた特殊抽出エンジンを用いて複数の機械学習モデルを構築、既知の攻撃はもちろん未知の攻撃も検知するといいます。さらに、自社で保有する大量のデータを活用し、誤検知、未知の攻撃データ発見によって精度を向上させています。
ChillStack
2018年に設立されたAIによるセキュリティ関連の事業を行う会社です。不正検知プラットフォーム『Stena』はオンラインゲームの不正ユーザーを検知するシステムです。
ゲームログから、AIがユーザー行動を分析、チート・Botなどを検知、レポートを出力する機能があります。どのような不正を検知するのかはオーダーメイドで指定でき、ゲーム運営会社ごとに最適な形を提供できるとしています。
同社は三井物産系列のセキュリティ関連企業とも連携し、「AIシステムに対するAI攻撃」を防御する目的で「AIディフェンス研究所」を設立、AIの安全性を確立するための社会基盤を整備する活動も行っています。
AIによるセキュリティは従来のセキュリティにとって代わるか
サイバー攻撃のパターンは増え続け、もはや収集しても整理しきれないレベルになっています。従来の攻撃パターンにマッチングさせる方法では、安全を確保できなくなっているといえるでしょう。
ゼロトラストが主流となりつつある現在では、AIによって「いつもと違う」パターンを発見することが安全策になっていくということなのでしょう。そのためにはアクセス記録やログなどのデータを蓄積したうえで、機械学習が必要になっていくことと思います。
セキュリティ対策として、今後AIを活用したものが中心になっていくことが見込まれています。
誰でも簡単に
「社内外のデータ収集」と
「非構造化データの構造化」で
データを資産化
AirLakeは、データ活用の機会と効果を拡張する
ノーコードクラウドデータプラットフォームです。
SEやビジネスマンとしての30年にわたる経験に最新の知見を組み合わせて、各種Webメディアで執筆活動をしている。