eSecurity Planet のコンテンツおよび製品に関する推奨は、編集上独立して行われています。パートナー各社へのリンクをクリックいただくことで、当社に収益が発生する場合があります。 詳細はこちら
本稿は、Sevii社CEOのCurt Aubley氏によるシリーズ記事の最終回です。Sevii。これまでの記事をお読みでない方は、シリーズの第1回と第2回をご覧ください。
あまりにも長い間、セキュリティオペレーションセンター(SOC)は野戦病院さながらの様相を呈してきました。
次々と押し寄せる敵の波が、集中力を分散させ、リソースを消耗させています。
同時に、旧式化した防御設備、新しいAIソリューションに対する信頼と能力の欠如、そして官僚的とも言える人間による監視体制が、組織を人員と予算をめぐる消耗戦に縛り付けています。
SOCチームが本当に必要としているのは、単に作業を増やすだけの「コパイロット」ではなく、信頼できるガバナンスの枠組みの中で自律的に動作する自律型AIです。
それが実現しない限り、組織は守勢に立たされるだけでなく、劣勢を強いられ続けることになります。
要点
- 自律型AIにより、組織は信頼できるガバナンス統制の枠組みの中で、脅威の検知・調査・ハンティング・修復をマシンスピードで実行できるようになります。
- セキュリティチームは、日常的な脅威のトリアージではなく、リスクの高い意思決定と戦略的なガバナンスにこそ人間による監視を割くべきです。
- 自律型防御・修復(ADR)は、ID・エンドポイント・クラウド環境全体にわたって脅威を調査・対応することで、手動によるアラートトリアージを不要にします。
- AIがアナリストの補助にとどまらず、サイバー防御業務を自律的に実行するようになって初めて、真の戦力増強要因となります。
- 攻撃者と防御側のギャップを埋めるには、AIツールを単に増やすのではなく、AIアーキテクチャ、ガバナンス、セキュリティ運用そのものを見直す必要があります。
自律型AIがサイバー防御をどう変革するか
こうした要素をすべて踏まえたうえで、これらの課題を克服し、サイバーセキュリティ分野でAIを真に最適化するには何をすべきでしょうか。
まず出発点となるのは、どの機能に人間の監視が必要で、どの機能には不要なのかを見極めることです。
次に、信頼を生み出し強化できるようソリューションを設計し、ようやくマシンスピード、そして敵対者と同等の速度・規模で運用できるようにします。
最後に、防御側から経済的負担と障害を取り除きます。
攻撃者のスピードと防御側の対応との間にあるギャップを埋める唯一の方法は、AI本来の役割を果たさせることです。つまり、あらゆる段階で人間の承認を待つことなく、マシンスピードで検知・修復させることに他なりません。
その結果が常に完璧とは限りませんが、我々は敵対者と正面から向き合う準備をこれまで以上に整えられるようになります。手にするのは次のようなものです。
- 検知内容の調査、脅威ハンティング、修復の実行を任された自律システム。
- ガバナンス方針と重要システムの保護を監督する立場に専念できる人間。人間の介入がかえって防御行動の妨げになる場面では、ソリューションに判断を委ねられる信頼関係を築きます。
- 優先度の高いアラートや脅威の調査に集中し、人間の監視や介入を要するタスクに専念できる防御担当者。
- 経験、および内外からの入力情報をもとに学習し、継続的な改善とより高い防御力を実現できるシステム。
現代のサイバー防御に向けたAIの再考
これはすべて、サイバー防御とチームのあり方を見直し、AIを単なるノイズフィルターとしてではなく、戦力増強要因として展開することを意味します。
これは、企業の経営課題を席巻するはるかに大きなAI革命の中でも、最も重要な戦線であり、実証の場です。
サイバーセキュリティの分野では、AIの設計・展開のあり方そのものを見直す必要があります。
究極の目標が単なる攻撃への対応ではなく、攻撃そのものの防止にあるという点で全員が一致するのであれば、そこから逆算してアーキテクチャを設計しなければなりません。
それはエッジ、すなわち攻撃の最前線から始まりますが、残念ながら第一世代のソリューションの多くは、AIをレガシーシステムや従来のアプローチの傍らや後方に置かれる補助的なリソースとして位置づけるにとどまっています。
この新しいアプローチでは、AIを最前線に据えなければなりません。AIは自律的に監視し、ハンティングを行い、識別・分析・修復までを担える必要があります。
我々はAIを活用して戦場そのものを縮小させ、攻撃者の侵入地点に指数関数的に近く、かつ速いタイミングで交戦し、滞留時間を減らし、環境内での攻撃者の移動を制限し、最終的に被害を最小限に抑えられるようにしなければなりません。
自律型防御・修復(ADR)とは何か
その結果として生まれたのが、自律型防御・修復(ADR)です。
このカテゴリーのソリューションは防御側からの信頼を獲得しており、敵対者の速度や規模にかかわらず、攻撃を即座に食い止める行動を取る権限を与えられています。
言葉にすると単純に聞こえますが、防御担当者に現行のソリューションについて質問してみれば、このアプローチがいかに難しく、実現しづらいものかがすぐに明らかになるはずです。
ADRがセキュリティ運用をどう変えるか
ADRは、エッジですべての検知内容を自律的に調査し、影響を受けたすべての資産を横断してハンティングを行い、数時間や数日ではなく数分で修復を完了させることで、トリアージそのものを不要にします。
ID、エンドポイント、クラウド環境全体にわたって脅威を検知・ハンティング・分析・修復し、人間の介入なしに敵対的な活動を排除します。
その結果、防御担当者はもはやアラート対応に苦労することなく、サイバー犯罪者を阻止する側に回れます。
ADRはマシンスピードでの修復と厳格なガバナンス統制を組み合わせているため、SOCチームはリスクの低い資産については自動修復を適用しつつ、重要度の高いシステムの隔離・再起動・パッチ適用については人によるレビューと承認を経る運用が可能になります。
自動化ポリシーは、資産のクラス(ワークステーション、本番サーバー、重要インフラなど)ごとに適用されます。
最終的にチームは、自律型セキュリティ運用に対する完全な管理権限を確立し、作業負担を減らしながら修復を迅速化し、そのコストを引き下げられるようになります。
サイバー防御の未来としてのAI
チームはまた、何の価値も生まないまま自動化のプレイブックの設計・保守に何カ月も費やし、しかもその頃には陳腐化してしまっているという事態を避けられます。
なぜなら、ADRのAIエージェントは検知内容を即座に調査し、脅威をハンティングし、問題を修正するからです。
ただし、それはあくまでプラットフォームのガバナンスの枠組みの中で行われるものであり、SOCチーム自身が定めた独自の修復アクションプランに従います。
つまり、プレイブック主導の戦略ではなく、推論主導の戦略を追求しているということです。
AIがトリアージではなくサイバー防御業務そのものを実行するようになったとき、それこそがAIが真の戦力増強要因として立ち現れる瞬間です。
24年前、私は中国によるTitan Rain作戦を目の当たりにし、防御側がいかに準備不足であったかを痛感しました。
それから数十年が経ち、我々はより高速なツール、より優れた検知手法、より賢いモデルを構築してきましたが、それでもなお攻撃者に平均241日ものリードタイムを与えてしまっています。
その状況が変わるのは、AIに防御担当者の補助を求めるのをやめ、AI自身に防御を任せる信頼を持ったときです。
すべての防御担当者に訴えたいと思います。今こそ、AIを鎖から解き放つ時です。