サイバーセキュリティにおけるAI活用の6つの新しい方法

AIはすでに強力なサイバーセキュリティ保護ツールとして広く認識されています。AI駆動のシステムはリアルタイムで脅威を検知し、迅速な対応と緩和を可能にします。また、AIは新しいデータから継続的に学習し、進化し続けることで、新たな脅威を特定し対応する能力を向上させます。

あなたのサイバーセキュリティチームは、ますます高度化する脅威に先んじるためにAIの活用を検討していますか？もしそうなら、AIが組織を守るために役立つ6つの革新的な方法をご紹介します。

1. 攻撃が発生する前に予測する

予測型AIは、防御側がインシデント発生前に防御策を決定し、場合によっては対応を自動化する能力を与えてくれると、予測技術開発企業BforeAIのセキュリティストラテジストAndre Piazza氏は述べています。「高い精度で動作するこの技術は、アラートの多さや誤検知、処理の負担に悩むセキュリティチームの生産性を向上させることができます。」

予測型AIは、インターネット上の大量のデータやメタデータの取り込みに依存しています。予測を作成するために、「ランダムフォレスト」と呼ばれるスコアリングと予測に特化した機械学習手法のセットがデータを分析します。「このアルゴリズムは、予測のゴールドスタンダードとして機能する、グラウンドトゥルースと呼ばれる信頼できる良好・悪質インフラのデータベースに依存しています」とPiazza氏は説明します。予測型AIはまた、悪意ある意図を構成する既知の行動セットのデータベースも活用できます。

Piazza氏によれば、予測が価値をもたらすには高い精度が必要です。IPやDNSレコードの変更、犯罪者による新しい攻撃手法など、攻撃対象領域の変化に対応するため、アルゴリズムはグラウンドトゥルースを継続的に更新します。「これが長期的に予測の精度を保ち、必要に応じて人間の介在なしに自動化できる理由です。」

2. 機械学習による敵対的生成ネットワーク（GAN）

サイバーセキュリティ技術企業NopalCyberのチーフソリューションアーキテクトMichel Sahyoun氏は、敵対的生成ネットワーク（GAN）を活用して、これまでにない高度なサイバー攻撃を作り出すだけでなく、それらから守ることを推奨しています。「この手法により、サイバーセキュリティシステムは非常に多くのシミュレーション脅威を使って学習・適応できるようになります」と彼は述べています。

Sahyoun氏によれば、GANはシステムが何百万もの新しい攻撃シナリオから学び、効果的な防御策を開発することを可能にします。「まだ発生していない攻撃をシミュレーションすることで、敵対的AIは新たな脅威への備えを積極的に進め、攻撃側の革新と防御側の準備のギャップを縮めます。」

GANは2つの主要な構成要素から成ります：ジェネレーターとディスクリミネーターです。「ジェネレーターは、現実の攻撃者の戦術を模倣し、新種のマルウェアやフィッシングメール、ネットワーク侵入パターンなど、リアルなサイバー攻撃シナリオを生成します」とSahyoun氏は説明します。ディスクリミネーターはこれらのシナリオを評価し、悪意ある活動と正当な行動を区別することを学びます。両者は動的なフィードバックループを形成します。「ジェネレーターはディスクリミネーターの評価に基づいて攻撃シミュレーションを洗練し、ディスクリミネーターはますます高度化する脅威を検知する能力を継続的に向上させます。」

3. AIアナリストアシスタント

Hughes Network Systemsは、脅威のトリアージという労力のかかるプロセスを自動化することで、ジェネレーティブAIを活用し、初級アナリストの役割を高めています。

「当社のAIエンジンは、セキュリティアラートを積極的に監視し、複数の情報源からデータを関連付け、従来は多大な手作業を要していたコンテキスト付きの説明を生成します」と、Hughes EnterpriseのサイバーセキュリティプロダクトリードAjith Edakandi氏は語ります。「このアプローチにより、AIは人間のアナリストの代替ではなく、初期調査の多くを担う知的なアシスタントとして位置づけられます。」

Edakandi氏によれば、このアプローチはアナリストがより迅速かつ正確にアラートを処理できるため、セキュリティオペレーションセンター（SOC）の効率を大幅に向上させます。「1つのアラートが、ログの確認、脅威インテリジェンスとの照合、ビジネスへの影響評価など、連鎖的なフォローアップ作業を引き起こすことがよくあります」と彼は述べます。「当社のAIはこれらのステップを並行して機械の速度で実行し、アナリストがコンテキスト収集に時間を費やすのではなく、脅威の検証と対応に集中できるようにします。」

AIエンジンは確立されたアナリストのプレイブックやランブックで訓練され、さまざまな調査時に取られる典型的なステップを学習します。「アラートを受信すると、AIは人間と同じ調査アクションを開始し、信頼できる情報源からデータを取得し、結果を関連付け、脅威のストーリーを統合します」とEdakandi氏は説明します。最終的な出力はアナリストがすぐに利用できる要約であり、調査時間をほぼ1時間から数分に短縮します。「また、アナリストがより多くのアラートを処理できるようにもなります」と彼は付け加えます。

4. 微小な逸脱を検知するAIモデル

AIモデルはシステムの通常動作を基準化し、人間や従来のルール・閾値ベースのシステムでは見逃すような微小な逸脱を検知するために利用できると、セキュリティサービス・製品企業XYPRO TechnologyのCEOSteve Tcherchian氏は述べています。「既知の悪質な行動を追いかけるのではなく、AIはシステム、ユーザー、ネットワーク、プロセスレベルで『良い』状態を継続的に学習します」と彼は説明します。「そして、それまでに見たことがないものであっても、その基準から逸脱したものを検知します。」

リアルタイムデータ、プロセスログ、認証パターン、ネットワークフローを取り込み、AIモデルは正常な動作を継続的に学習し、異常な活動の検知に役立てます。「たとえば、ユーザーが普段と違う時間帯や新しい場所からログインした場合など、何か逸脱があればリスクシグナルが発生します」とTcherchian氏は述べます。「時間が経つにつれて、モデルはより多くのシグナルを特定することで、ますます賢く、精度も高まります。」

5. アラートの自動トリアージ・調査・対応

従業員1,000人規模の企業では、1日に200件ものアラートが発生することも珍しくないと、マネージド検知・対応企業AirMDRのCEOKumar Saurabh氏は指摘します。「1件のアラートを徹底的に調査するには、人間のアナリストでも最短で20分かかります」と彼は述べます。つまり、すべてのアラートを調査するには少なくとも9人のアナリストが必要です。「そのため、ほとんどのアラートは無視されるか、十分に調査されていません。」

AIアナリスト技術は各アラートを調べ、正確な判断を下すために必要な他のデータを収集します。AIアナリストは企業のセキュリティスタック内の他のツールと連携し、アラートが対応すべきものか、安全に無視できるものかを判断するために必要なデータを集めます。「もし悪意のあるものであれば、技術は脅威の修復や復旧に必要なアクションを特定し、即座にセキュリティチームに通知します」とSaurabh氏は述べています。

6. 積極的な生成型ディセプション

サイバーセキュリティにおける本当に新しいアプローチは、動的な脅威環境の中で積極的な生成型ディセプションを活用することだと、サイバーセキュリティトレーニング企業KontraのCEOGyan Chawdhary氏は述べています。

「脅威を検知するだけでなく、AIを訓練して、極めてリアルでありながら偽のネットワークセグメント、データ、ユーザー行動を継続的に生成・展開することができます」と彼は説明します。「攻撃者のための、常に進化し続けるデジタルの迷路を作るようなものです。」

Chawdhary氏は、このアプローチは従来のハニーポットを超え、はるかに広範囲で知的かつ適応的なディセプションを実現し、攻撃者が正規資産に到達する前に疲弊させ混乱させることを目指していると付け加えます。

このアプローチは、力関係を完全に逆転させる点で非常に有用だとChawdhary氏は述べます。「新たな脅威に常に受け身で対応するのではなく、攻撃者にAI生成の幻影に対応させるのです」と彼は語ります。「攻撃者はダミーシステムを探索し、偽データを持ち出し、作られたネットワークトラフィックを分析することで、コストと時間が大幅に増加します。」この手法は防御側に貴重な時間を稼ぐだけでなく、攻撃者がディセプション環境とやり取りする中で、攻撃者の戦術・技術・手順（TTPs）に関する豊富な脅威インテリジェンスも提供します。

一方で、積極的な生成型ディセプション環境の開発には、複数分野にまたがる多大なリソースが必要となります。「動的なダミー環境をホストする堅牢なクラウド基盤、生成AIモデルの学習と運用に必要な強力なGPUリソース、高度なAI/MLエンジニア、サイバーセキュリティアーキテクト、ネットワークスペシャリストのチームが必要です」とChawdhary氏は警告します。「さらに、AIに本当に説得力のあるディセプションを生成させるためには、良性・悪性の両方の多様かつ膨大なネットワークトラフィックデータセットへのアクセスも不可欠です。」