サイバーセキュリティの防御対象は増えすぎた

　そもそも、セキュリティ対策にAIの技術は必要なのだろうか。実は以前から、スパムメールフィルタやWebレピュテーションなどには、主に統計・確率モデルによるAI技術が応用されていた。膨大なメールの中から、スパムと思われるヘッダや本文の特徴（特異点という）を確率的に判断し、脅威の選別を自動化するようなものだ。

　人間が見ればスパムとすぐわかるものでも、膨大なメールを事前に人手でチェックするのは現実的ではない。かといって単純な差出人のブラックリストや特定文字列のマッチングでは検出精度が問題となる。そこで、ベイズモデルや機械学習といったAI技術が活用されだしたわけだ。

　しかしここ数年、脅威の現状はさらに変わり、サイバーセキュリティは新しいフェーズに入った。AIを活用したサイバー攻撃対策プラットフォームを提供するサイバーリーズン・ジャパン 末松卓 氏は次のように指摘する。

「ビッグデータ、IoTといった潮流は、サイバーセキュリティの防御対象であるデータとデバイスの量を飛躍的に増加させ、その分だけ脅威が増えています。また、セキュリティ人材の不足も叫ばれており、膨大なログデータ、トラフィック、デバイスを守ることは人の手だけでは難しい状況です」（末松氏）


　デバイスの増加とともに注目すべきは、サイバー攻撃者側もAIを活用してくる可能性である。マルウェアの作成や脆弱性や侵入経路の探索など、AIを利用した自動化が懸念されている。エクスプロイトキットの普及により、マルウェアの亜種の発生スピードが加速化している。攻撃者側のAIが、脆弱性のあるサーバーやデバイスをネット上で探索し、脆弱性に対応したマルウェアを自動生成するような状況が現実になろうとしている。

なぜサイバー攻撃にAIを使う必要があるのか？

　すでにAI機能を搭載したソリューションは多くのベンダーが提供しているが、なぜサイバーセキュリティにAIを使う必要があるのだろうか。

　1つは、「脅威の検知から対応までの時間を早くするため」である。即応性は、機械学習やニューラルネットワークの特徴のひとつだ。振る舞い検知、ログ分析、サンドボックスでは、脅威を検知したときにはすでにマルウェアが実行されてしまっている可能性がある。機械学習やディープラーニングを活用することで、脅威パターンの検出は高速化、リアルタイム化ができる可能性がある。

　もう1つは、「脅威を見逃すというミスを減らすため」である。

　例えば、個々の動作は問題なくても、一連のシーケンスによって攻撃が疑われる場合がある。このような攻撃は、トラフィック、ログなど時系列を含めた判定が必要である。人間が大量のログなどをさかのぼり、イベントの危険度を総合的判断するのはミスする可能性もあり、これもAI化の効果が期待される部分だ。

　脅威情報を時系列で把握することは、標的型攻撃の対策にも有効だ。標的型攻撃は、侵入から内部探索、感染の拡大、外部通信など段階（サイバーキルチェーン）を踏んで行われる。また、侵入後のハッキング行為やデータの外部送信などは、ログの消去や証拠隠滅操作などが伴うこともある。AIはサイバーキルチェーンの可視化にも応用できる。

　検出した脅威にどの程度の危険性があり、現在のシステムはどのような状況にあるのか。それを分析した数値データではなく、人間にわかりやすい情報として提供する必要がある。同社の提供するプラットフォームは、AIを活用した独自の分析技術によりサイバー攻撃を探知し、侵入後の悪意ある振る舞いをリアルタイムに検知し、攻撃の一部始終を即時に見える化するものだという。

AIと既存技術の組み合わせが重要

　末松氏は「AIをセキュリティ対策に活用するために最も重要なのは、ピンポイントでAI技術だけを導入するのではなく、入り口対策、内部監視、振る舞い検知、ログ解析、出口対策など多層防御との組み合わせること」だと語る。

「振る舞い検知やサイバーキルチェーンの可視化などAI導入が効果的な部分もあるが、すべてをAI化する必要はありません。ソリューションごとに適材適所で使い分け、従来型の対策と組み合わせなければいけません」（末松氏）

　そう、AIといっても万能ではない。特定状態の認知に特化したモデルでデータを処理しているだけなので、例えば、実行ファイル形式のマルウェアを高い精度で検知できるAIが、PDFやWordのマクロを悪用するマルウェアまで同じ精度で検知までできるとは限らない。AIにすべてを任せるのではなく、既知のマルウェアならシグネチャで入口の段階でスクリーニングしたほうが確実で効率がよい。

【次ページ】「サイバー攻撃をしたことがある」からできる防御策