データアーキテクチャの修正が検知モデルのアップグレードより重要な理由

AIセキュリティ投資の効果は、その背後にあるデータの質次第です。

セキュリティ部門のリーダーたちは、これまで投資に投資を重ねてきました。世界のサイバーセキュリティ向けAI市場は2026年時点で440億ドルと評価され、2034年までに2130億ドルに達すると予測されています。この成長軌道は、機械学習が脅威の量と人間のアナリストの対応能力とのギャップを埋めてくれるという、根強い期待の表れです。その期待自体は間違っていません。問題は、ツールが機能しなくなったときに、ほとんどの組織がどこに注目してしまうかにあります。

AIによる検知が期待通りの成果を出せないとき、多くの人はまずアルゴリズムの調整やモデルの再学習、あるいはベンダーによりよい製品を求めるといった対応に走りがちです。しかし本当の原因は、たいていの場合、モデルがイベントを目にするよりもずっと手前、データパイプラインの中に潜んでいます。分断されたテレメトリ、一貫性のないスキーマ、そして陳腐化した行動ベースラインが、企業全体でAIセキュリティシステムの性能を静かに低下させているのです。データを直さずにアルゴリズムだけを直そうとするのは、入力値が変わり続けているのに秤の校正だけをやり直すようなものです。

誰も語らない、データレベルでのツール乱立問題

ほとんどの大企業は、統一されたクリーンなセキュリティデータを扱っているわけではありません。実際に扱っているのは、何十年にもわたって積み重なってきたインフラ上の意思決定の産物です。ある調査によれば、平均的な企業は29社のベンダーが提供する83種類ものセキュリティ製品を運用しており、SOCチームは1日あたり約3,000件のアラートを処理しきれず、そのうち63パーセントが未対応のまま放置されているといいます。これらのツールはそれぞれ独自の形式でテレメトリを生成し、フィールドの命名規則、タイムスタンプの標準、メタデータのスキーマもばらばらです。

人間のアナリストは、こうした不整合の中でも直感的に対応する術を身につけていきます。しかし機械学習モデルにはそれができません。ID基盤、エンドポイントエージェント、クラウドアクセスブローカーの間で認証イベントを相関させるよう訓練された行動検知モデルであっても、この3つのツールが同じフィールドに3通りの異なる名前を付けていれば、結果は信頼できないものになってしまいます。モデル自体が壊れているのではなく、構造的に支離滅裂なデータを与えられ、ノイズの中からパターンを見つけるよう求められているだけなのです。

スキーマドリフトが実際にもたらす代償

ここから問題は目に見えにくく、しかも高くつくものになっていきます。スキーマドリフト、つまりセキュリティパイプライン全体でデータ形式が時間とともに徐々に変化していく現象は、めったにアラートを発生させません。ベンダーがアップデートを配信すればログ形式は変わり、新しいテレメトリソースはこれまで存在しなかったフィールドを追加し、ID基盤はセキュリティエンジニアリングチームに知らせることなく属性名を変更してしまいます。数か月経つうちに、行動検知モデルを訓練した際の統計的パターンは、そのモデルが本番環境で実際に受け取っているデータとかけ離れたものになっていきます。

その結果として現れる影響は、多くのCISOがすでに実感しているものそのものです。偽陽性率の上昇、アナリストの疲弊、そしてインシデントが発生してようやく気づく検知の抜け穴です。多くのセキュリティリーダーが気づいていないのは、これらの症状の根本原因がアルゴリズムの層ではなくデータの層にあるという事実です。Gartnerは、2026年までに組織の60パーセントがデータ品質不足を理由にAIプロジェクトを断念すると予測しており、この傾向はセキュリティ運用の現場でも他のどの分野と同じくらい顕著に表れています。

陳腐化したベースラインは攻撃者に有利に働く

データの鮮度の問題は、セキュリティリスクとして過小評価されがちです。行動分析AIモデルは過去の活動履歴からベースラインを構築します。しかし変化の激しい企業環境では、そのベースラインは多くのセキュリティチームが認識している以上のスピードで陳腐化していきます。

ハイブリッドワークへの移行はアクセスパターンを劇的に変化させました。クラウド導入はユーザーがいつどのリソースにアクセスするかを変えました。M&Aは、まったく異なる行動プロファイルを持つ新たなユーザー層を持ち込みます。もはや存在しない従業員層やインフラをもとに構築されたベースラインと照らし合わせて、AIモデルが今日の活動を評価すればどうなるかは予想がつきます。正当なアクセスが異常アラートを引き起こす一方で、ベースラインのパターンを研究し尽くした巧妙な攻撃者は、モデルの前提が環境の変化に追いついていないことを逆手にとって、易々と紛れ込んでしまうのです。

IBMによるデータ品質コストに関する調査では、データ品質の低さによる年間平均コストは組織あたり1,290万ドルに上るとされています。セキュリティの文脈では、この数字にはさらに、質の悪いデータアーキテクチャに起因する検知失敗から生じるインシデント対応コスト、規制上のリスク、レピュテーション損害までは含まれていません。

この問題を温存させている組織的なギャップ

この問題が解消されずに残り続けているのには、構造的な理由があります。データパイプラインは通常、データエンジニアリングチームやインフラエンジニアリングチームが管理しています。一方、検知モデルはSOCアナリストや脅威インテリジェンスチームが所有しています。この二つの機能の間に位置するAIシステムは、往々にしてどちらの持ち物でもありません。検知精度が落ちれば、セキュリティチームはパラメータを調整し、エンジニアリングチームはパイプラインのコストと可用性に注力します。システムを流れるデータの分析的な一貫性については、誰の職務にもその隙間をカバーする責任が書かれていないため、誰も責任を持たないままなのです。

これは技術的な問題である前に、リーダーシップの問題です。AIセキュリティツールに謳い文句通りの性能を発揮させたいと考えるCISOは、この所有権のギャップを埋め、セキュリティテレメトリを他のビジネスクリティカルなデータ資産と同じ厳格さで扱う必要があります。

セキュリティリーダーが優先すべき3つのこと

この問題への対処に、プラットフォームの入れ替えや何年もかかる変革プログラムは必要ありません。必要なのは、次の3つの領域への意識的な注力です。

  1. セキュリティスタック全体でテレメトリのスキーマを標準化する。統一されたスキーマは、たとえ完璧でなくとも、機械学習モデルに一貫した基盤を与えてくれます。共通フィールドの命名規則を定め、タイムスタンプ形式を正規化し、ベンダーが準拠できない場合は逸脱内容を文書化しましょう。これは一度きりのプロジェクトではなく、継続的なガバナンスです。
  2. すべての取り込みパイプラインにデータ品質モニタリングを組み込む。イベントがML(機械学習)システムに届く前に、欠損フィールド、タイムスタンプの異常、スキーマの逸脱がないか検証しましょう。取り込み段階でデータドリフトを捉えるほうが、実際のインシデント発生後や攻撃者がすでに横展開してしまった後に検知失敗の原因を診断するよりも、はるかにコストを抑えられます。
  3. ビジネスデータだけでなく、セキュリティデータにもガバナンスの規律を適用する。リネージ追跡、検証ルール、バージョン管理されたスキーマは、財務報告のパイプラインと同じくらいセキュリティパイプラインにも必要なものです。セキュリティテレメトリは重要なビジネス資産であり、それにふさわしい管理をすべきです。

皆さんのスタックに組み込まれたAI搭載セキュリティツールは、現代の脅威に対して本物の価値を発揮する力を秘めています。ただし、その力を発揮できるかどうかは、そこに流れ込むデータの品質、一貫性、そして鮮度に完全に左右されます。組織がモデルのチューニングやプラットフォームのアップグレードにさらに一ドルを投じる前に、もっと厳しく、もっと生産的な問いを投げかけてみてください。そのモデルが実際に依存しているパイプラインを、最後に誰かが監査したのはいつだったでしょうか。

本記事はFoundry Expert Contributor Networkの一環として掲載されています。
参加をご希望の方はこちら

Sunil Kumar Mudusu氏は、保険、医療、金融サービスの各分野にわたり最新のデータ・AIプラットフォームの構築に11年以上携わってきたAI・データエンジニアリング分野のリーダーです。同氏はキャリアを通じて、ナレッジグラフ、セマンティックレイヤー、ベクトル検索、継続学習モデル、そして強固なガバナンスを組み合わせ、組織がより賢く迅速な意思決定を行えるようにする、実用的でスケーラブルなシステムの構築に力を注いできました。

Sunil氏はこれまで、企業のレガシーシステムからクラウドネイティブでAI対応のアーキテクチャへの移行を支援する、いくつものエンタープライズ近代化プロジェクトを率いてきました。その仕事の範囲は、リアルタイム分析、検索拡張型インテリジェンス、連合学習、データメッシュの実装にまで及びます。同氏は複雑な技術を、時間とともに成長・改善できる信頼性の高いビジネス対応ソリューションへと落とし込む作業にやりがいを感じています。

翻訳元: https://www.csoonline.com/article/4194544/why-fixing-your-data-architecture-matters-more-than-upgrading-your-detection-models.html

ソース: csoonline.com