- 会員限定
- 2016/09/21 掲載
サイバー攻撃は「機械学習」で守れるか?未知の脅威を検知・分析するテクノロジー
サイバー攻撃者はAIや機械学習を取り入れている
例えば企業システムに侵入し、ネットワークの状態をAIや機械学習で分析し、使われているアプリケーションやアクセスされているWebサイトなどを調べ、社内ネットワークにおける通常の状態を把握。その中に自らの攻撃を目立たないように紛れ込ませる。現実に、こうした攻撃者の侵入に気づけない企業は非常に多い。あるデータによれば、米国企業において、侵入から脅威が検知されるまでかかる平均日数は146日だという。日本企業の場合は、この数値はもっと長くなるだろう。
脅威は外部からの攻撃だけではない。企業にとっては、内部不正も大きな問題だ。従業員の倫理観や社内の仕組み、制度等も絡むため、内部不正を防ぐことも、また非常に難しい。
もはや、高度化するサイバー攻撃や内部不正を100%防ぐことは不可能だ。いま求められているのは、従来のセキュリティ対策や製品では防ぎきれない脅威を検知・対応することで、少しでも100%に近づけることだ。
機械学習で通常とは異なる"異変"を見つけるアプローチ
この難しい課題に、機械学習のアプローチで挑もうとする企業がある。それが、2013年、イギリスのケンブリッジで設立されたダークトレース(Darktrace)だ。ダークトレースが提供する「エンタープライズ・イミューンシステム(Enterprise Immune System)」は、人間の免疫システムにヒントを得て開発された。ダークトレース・ジャパン リージョナル ディレクター 北アジアのジョン・カーチ 氏は、開発コンセプトと特徴を次のように説明する。
「人間の免疫システムは、侵入した敵を見つけて自動的に防御します。そこにルールやシグネチャはありません。この免疫システムと同じコンセプトで開発されたのが、エンタープライズ・イミューンシステムです。このシステムには、ルールやシグネチャは不要です。機械学習によってシステムの平常状態を自動学習し、そこから外れる動きを脅威とみなして警告を発します。このシステムは、ファイアウォールやアンチウイルス、サンドボックス等の既存の製品・サービスと補完できます」(カーチ氏)
エンタープライズ・イミューンシステムが見るのは、ネットワークのパケットの動きだ。システムを導入すると、一定期間、ネットワーク内のパケットの挙動を学習し、平常状態を学習する。そして、平常とは異なる挙動を検知すると、それを脅威とみなして警告を発する。
「例えば、私のIDとパスワードを盗んだ攻撃者が、私になりすましてシステムにログインし、内部情報を調べようとします。すると、エンタープライズ・イミューンシステムは、それが私の通常の行動とは異なると判断し、警告を出します」(カーチ氏)
では、ネットワークの平常状態を学習するの要する時間はどれくらいだろうか。サイバーディフェンス テクノロジースペシャリスト 重川隼飛 氏は、次のように説明する。
「まずは、一週間置いてくださいとご案内しています。ただし、ネットワークは生き物ですので、2週間、3週間と時間がたつほど精度は向上します。一般的な企業なら、1か月もあればほぼ学習できます。セキュリティポリシーが緩やかだったり、時期によってネットワークの状態が大きく変動したりする場合は、もう少し時間がかかりますが、カスタマイズで調整することも可能です」(重川氏)
【次ページ】高度化・複雑化するサイバー攻撃に対抗するには
関連コンテンツ
関連コンテンツ
PR
PR
PR