• 会員限定
  • 2016/12/16 掲載

イスラエル国防軍出身のベンチャーに聞く、AIによるセキュリティ対策はなぜ必要か

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。
セキュリティ業界は、機械学習をはじめとするAIの活用が進んでいる領域だ。AIを売りにした新興ベンチャーが市場に登場する一方で、既存のセキュリティベンダーも長年の蓄積技術をバックグラウンドに最新のAI技術を投入したソリューションを出してきている。こうした中で、セキュリティ技術にAIはどれほど有効なのか、イスラエル国防軍出身のベンチャー米サイバーリーズン社の日本法人、サイバーリーズン・ジャパンに話を聞いた。
photo
AIによるセキュリティ対策はなぜ必要?
(© pixtumz88 – Fotolia)



サイバーセキュリティの防御対象は増えすぎた

 そもそも、セキュリティ対策にAIの技術は必要なのだろうか。実は以前から、スパムメールフィルタやWebレピュテーションなどには、主に統計・確率モデルによるAI技術が応用されていた。膨大なメールの中から、スパムと思われるヘッダや本文の特徴(特異点という)を確率的に判断し、脅威の選別を自動化するようなものだ。

 人間が見ればスパムとすぐわかるものでも、膨大なメールを事前に人手でチェックするのは現実的ではない。かといって単純な差出人のブラックリストや特定文字列のマッチングでは検出精度が問題となる。そこで、ベイズモデルや機械学習といったAI技術が活用されだしたわけだ。

 しかしここ数年、脅威の現状はさらに変わり、サイバーセキュリティは新しいフェーズに入った。AIを活用したサイバー攻撃対策プラットフォームを提供するサイバーリーズン・ジャパン 末松卓 氏は次のように指摘する。

「ビッグデータ、IoTといった潮流は、サイバーセキュリティの防御対象であるデータとデバイスの量を飛躍的に増加させ、その分だけ脅威が増えています。また、セキュリティ人材の不足も叫ばれており、膨大なログデータ、トラフィック、デバイスを守ることは人の手だけでは難しい状況です」(末松氏)

photo
サイバーリーズン・ジャパン
マーケティング課
課長
末松卓 氏

 デバイスの増加とともに注目すべきは、サイバー攻撃者側もAIを活用してくる可能性である。マルウェアの作成や脆弱性や侵入経路の探索など、AIを利用した自動化が懸念されている。エクスプロイトキットの普及により、マルウェアの亜種の発生スピードが加速化している。攻撃者側のAIが、脆弱性のあるサーバーやデバイスをネット上で探索し、脆弱性に対応したマルウェアを自動生成するような状況が現実になろうとしている。

なぜサイバー攻撃にAIを使う必要があるのか?

関連記事
 すでにAI機能を搭載したソリューションは多くのベンダーが提供しているが、なぜサイバーセキュリティにAIを使う必要があるのだろうか。

 1つは、「脅威の検知から対応までの時間を早くするため」である。即応性は、機械学習やニューラルネットワークの特徴のひとつだ。振る舞い検知、ログ分析、サンドボックスでは、脅威を検知したときにはすでにマルウェアが実行されてしまっている可能性がある。機械学習やディープラーニングを活用することで、脅威パターンの検出は高速化、リアルタイム化ができる可能性がある。

 もう1つは、「脅威を見逃すというミスを減らすため」である。

 例えば、個々の動作は問題なくても、一連のシーケンスによって攻撃が疑われる場合がある。このような攻撃は、トラフィック、ログなど時系列を含めた判定が必要である。人間が大量のログなどをさかのぼり、イベントの危険度を総合的判断するのはミスする可能性もあり、これもAI化の効果が期待される部分だ。

 脅威情報を時系列で把握することは、標的型攻撃の対策にも有効だ。標的型攻撃は、侵入から内部探索、感染の拡大、外部通信など段階(サイバーキルチェーン)を踏んで行われる。また、侵入後のハッキング行為やデータの外部送信などは、ログの消去や証拠隠滅操作などが伴うこともある。AIはサイバーキルチェーンの可視化にも応用できる。

 検出した脅威にどの程度の危険性があり、現在のシステムはどのような状況にあるのか。それを分析した数値データではなく、人間にわかりやすい情報として提供する必要がある。同社の提供するプラットフォームは、AIを活用した独自の分析技術によりサイバー攻撃を探知し、侵入後の悪意ある振る舞いをリアルタイムに検知し、攻撃の一部始終を即時に見える化するものだという。

画像
「Cybereason」概要

AIと既存技術の組み合わせが重要

 末松氏は「AIをセキュリティ対策に活用するために最も重要なのは、ピンポイントでAI技術だけを導入するのではなく、入り口対策、内部監視、振る舞い検知、ログ解析、出口対策など多層防御との組み合わせること」だと語る。

「振る舞い検知やサイバーキルチェーンの可視化などAI導入が効果的な部分もあるが、すべてをAI化する必要はありません。ソリューションごとに適材適所で使い分け、従来型の対策と組み合わせなければいけません」(末松氏)

 そう、AIといっても万能ではない。特定状態の認知に特化したモデルでデータを処理しているだけなので、例えば、実行ファイル形式のマルウェアを高い精度で検知できるAIが、PDFやWordのマクロを悪用するマルウェアまで同じ精度で検知までできるとは限らない。AIにすべてを任せるのではなく、既知のマルウェアならシグネチャで入口の段階でスクリーニングしたほうが確実で効率がよい。

【次ページ】「サイバー攻撃をしたことがある」からできる防御策

関連タグ

関連コンテンツ

あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます