「生成AI」時代の到来──進化する技術がもたらす新たな脅威
講演冒頭、吉野氏はAIの歴史について、これまでに3度の“AIブーム”が訪れたことを振り返る。第1次AIブームは、1950年代から1960年代にかけて興り、コンピュータによる推論・探索によって、特定の問題に対しての解を提示できるようになった。1980年代から1990年代にかけての第2次AIブームでは「エキスパートシステム」と呼ばれる、専門家のように推論を行うシステムも開発され、実際に商用利用されていく。そして、2000年代から現在にかけての第3次AIブームでは、ビッグデータを活用した機械学習(ML)が実用化。2022年11月にChatGPTが発表されると、「生成AI」が急速に普及している状況だ。
現在、ブームといっても過言ではない生成AIは、テキストや画像、動画などを自動生成する技術。テキスト生成AIは自然な文章を作り出し、画像生成AIは新たな画像の作成や加工を行い、動画生成AIではコンテンツを自動で生成・編集できる。しかし、その便利さの裏で“悪用事例”も増えていると吉野氏は指摘。生成AIを悪用することで、容易に既存のマルウェアを改変できたり、見分けがつかないようなフィッシングメールの文面を生成したりと、サイバー攻撃の巧妙化につながることが懸念されている。
[画像クリックで拡大]
実際、2024年5月には、生成AIを使ってランサムウェアに類似するマルウェアを仕込んだソフトウェアを作成した人物が逮捕された。さらに、生成AIを悪用するような偽装アプリケーションを開発したり、サイバー攻撃の際にはAIに脆弱性を突くようなコードを生成させたりと、これまでには見られない攻撃手法が多発する可能性も指摘されている。
EDRの運用と課題、効果的な利用のためのポイントとは
AIによって巧妙化するサイバー脅威への対処として、吉野氏は「サイバー攻撃による被害を最小限に食い止めるには、EDRを導入することが重要です」と述べた。
ESET技術部 吉野央樹氏
EDR(Endpoint Detection and Response)は、エンドポイント(パソコンやサーバーなどの端末)で発生するサイバー攻撃を検知し、迅速に対応するためのツールだ。基本的なサイバーインシデントレスポンスにおいて、事前対策として“ウイルス対策ソフト”などを導入している企業も少なくないだろう。しかし、“マルウェア侵入後”の対策も必要だ。そのためには脅威の検知、感染端末の隔離、被害の封じ込め、サイバー攻撃の被害状況の調査、そして感染端末の復旧を行わなければならない。EDRは、この一連の対応をサポートするためには欠かせないソリューションといっても過言ではないだろう。
ただし、あくまでもEDRは、“サイバー攻撃の可能性がある”挙動を検知するものであり、「これはマルウェアです」と断定して検知するのではなく、不審な挙動を捉える仕組みだということを認識しておきたい。また、EDRの効果を最大化するためには、「適切な運用」が不可欠となる。エンドポイントから収集されたイベント情報(ログ)の最適化や監視はもちろん、侵入を検知した際には初動対応を行わなければならない。もし、EDRを適切に運用できなければ、脅威を見逃したり、問題のないアプリケーションまでブロックしてしまったりする恐れがある。だからこそ、運用を担える人材確保も欠かせない。
[画像クリックで拡大]
吉野氏は、EDRの運用には予想以上に大きなコストがかかると指摘し、クライアントPC240台とサーバー10台、計250台を対象にしたコスト試算を提示。EDR導入のための初期最適化には40万円から170万円、日々の監視モニタリングには4700万円から6250万円(24時間365日監視した場合の1年間の費用)、サイバー攻撃の有無を調査するスレットハンティングには175万円(四半期に1回と任意のタイミングで1回の計5回分の費用)、インシデント対応には1300万円が必要だとする。
年間で最低でも5000万円以上の費用を見ておかなければならず、吉野氏は自社でEDRを運用するだけでなく、プロに運用を任せることも重要な選択肢だと説明した。
「MDR」サービス導入における、3つのポイントと2つの導入事例
EDRの運用をプロに任せる、すなわち「MDR(Managed Detection and Response)」を選定する際には、3つのポイントが重要だと吉野氏。1つ目は、強力なエンドポイント保護機能が提供されていること。2つ目は、必要なサービスがワンストップかつ網羅的に提供されていること。そして、3つ目は実際のエンジニアが運用を行っており、日本語での対応が可能であることだ。
これらすべてを満たすことが重要であり、キヤノンマーケティングジャパンでは、「ESET PROTECT MDR Ultimate」を提供している。多層防御を備えた強力なエンドポイント保護ソフトが含まれており、パターンファイルによる検知にとどまらず、ネットワーク保護やランサムウェアの検査、振る舞い検査、機械学習など、多様な機能を搭載することで脅威の侵入を確実にブロックするという。また、特筆すべきは低い“誤検知率”で、運用への影響を最小限に抑えられる。
[画像クリックで拡大]
加えて、不審なファイルを検知すると、素早くクラウド上のサンドボックスで解析し、悪意のあるファイルかどうかを検査する「ESET LiveGuard Advanced」という機能も提供される。すべての解析をクラウド上で行い、その結果を基に不審なファイルをすべての端末でブロックすることが可能だ。なお、ESET PROTECT MDR Ultimateには、必要な初期最適化、モニタリングスレットハンティング、インシデント対応など、すべてがライセンスの利用料金に含まれている。
そして、24時間365日、国内拠点で日本人スタッフが日本語で対応することも特長だ。万が一のインシデント発生時には、事前にフローを調整しておけるため、柔軟な対応も期待できる。たとえば、「夜間は管理者への連絡を行わず、初動対応としてネットワークの隔離を実施」「サーバー関連の対応は管理者とのやり取りを必須とする」など、個社ごとの対応が可能だ。なお、キヤノンマーケティングジャパンは、日経コンピュータの顧客満足度調査「セキュリティー対策製品部門」で12年連続第1位を獲得しており、サポートサービスにおいても高い評価を得ているとして、吉野氏は「安心して任せていただける」と強調した。
では、具体的にESET PROTECT MDR Ultimateはどのように利用されているのか。吉野氏は、2件の導入事例をする。1つ目の事例は、キヤノンマーケティングジャパン。同社では、近年の脅威拡大や業務環境の変化に対応するため、セキュリティ強化の必要性を感じていたという。また、EDRの運用には専門知識を持つ人員の確保が必要だが、その育成には時間がかかり、新システムの導入が遅れる懸念があった。それに加えてグループ10社、約23,000台を対象とした大規模な導入を、確実に進めながら短期間で完了させることが求められていた状況だ。
そこで、先述したような要件を備えていることから、ESET PROTECT MDR Ultimateを選定。導入後は「アラートの検知数だけでなく、似た動作をするプロセスや端末も把握できるようになった」「自部門の負荷が最小限に抑えられ、本来の業務に集中できるようになり、サポートエンジニアの高いスキルにも期待が持てる」「人員の確保や育成が不要となり、約23,000台への導入も大幅に短縮された」といった評価を得るに至った。
2つ目の事例は、全国に100拠点を持つヴィアックスだ。同社では、各拠点のセキュリティ対策が統一されておらず、本社のシステム部門のリソースだけでは、全拠点のセキュリティ状況を完全に監視することができていなかった。そのため、外部攻撃を十分に防げない懸念だけでなく、インシデント発生時には復旧に時間がかかる恐れも危惧していたという。
[画像クリックで拡大]
そこで、少ない工数で導入できることや、国内での監視やサポートが充実していることを理由に、ESET PROTECT MDR Ultimateを導入。その結果、最低限の投資とリソースで全拠点を効率的に管理できるようになり、遠隔地にある本社からでも各拠点の状況を把握し、現地に出向かずに迅速に対応できるようになった。
これらの事例のようにMDRを利用することで、最低限のコストとリソースでEDRのメリットを享受することができると吉野氏。その上で、生成AIによる新たなリスクである「シャドーAI」への対応策も早急に考えなければならないと指摘する。シャドーAIは、情報システム部門が許可や把握をしていないAIを、従業員が無断で利用することを指している。機密情報や個人情報など、社外に提供されてはならない情報を外部のAIサービスにアップロードされるリスクは高まっており、情報システム部門は従業員の生成AI利用を適切に管理する必要があるだろう。そこで有効となるのは、ネットワークとセキュリティを一元的に提供するSASE(Secure Access Service Edge)であり、キヤノンマーケティングジャパンでは「Cato SASEクラウド」を提供している。
Cato SASEクラウドでは、許可されていない生成AIの利用を制御したり、機密情報を含む場合にはブロックしたり、記録して可視化したりと、シャドーAIのリスクを低減するための機能が搭載されているという。最後に吉野氏は、「まずはEDRの導入が優先ですが、次の一手としてSASEも検討していただければと思います」と導入を促した。
