ログやアラートのデータをAI分析にかけて効果的に脅威を検出
セキュリティ対策において、AIが最も効力を発揮する場面は「ログやアラートの分析」だ。AIは大量のデータを短時間のうちに分析し、分類や予測を行うことを最も得意とする。この特性をログやアラートのデータに対して適用することで、広範囲なシステムから収集した大量のデータを素早く分析し、内部ネットワークに潜む脅威やリスクを速やかに検出可能だ。
具体的には、正常なパターンと脅威パターンを「教師データ」として、AIに学習と調整を行うことで、脅威を的確に見分けることができる精度の高いモデル(検知エンジン)が生成される。多くの場合、MITRE ATT&CKで定義されている攻撃テクニックのパターンに当てはまるかどうかを分析し、該当すると判断した場合には即座にアラートを発行することが多い。
「しかしながら、個々の攻撃テクニックを単体で抽出するだけでは、正常時に発生するイベントと見分けがつかない場合もあり、誤検知・過検知のもとになりかねません。そのため、複数の攻撃テクニックの組み合わせを抽出したり、正常時の傾向との比較・分類を行ったりすることで、そのイベントが“本当の攻撃”かどうかを見極めることが必要でしょう」(富田氏)
また、こうしたAIの活用は、脅威の侵入を防ぐためだけではなく、既に内部に脅威が潜んでいないかどうかを診断する「脅威ハンティング」においても極めて効果的だという。これまでの脅威ハンティングでは、ログの分析を行うセキュリティ技術者の「経験と勘」に頼る部分が多かったが、ここにAIを導入することによって、従来よりも短時間のうちに潜在的な脅威を洗い出せるようになる。
また、AIをうまく活用できれば、高度なスキルや知見がない担当者でも脅威ハンティングを実施できるようになるため、人的リソースの制約を克服する上でも導入効果が高いという。
クラウド上ではなく、エンドポイント上にAIを実装して脅威を検知
AIによるログ分析に基づき脅威を検出するソリューションには、PCやサーバーといったエンドポイント端末上の脅威に対応する「EDR(Endpoint Detection and Response)」や、ネットワーク上の脅威を検出する「NDR(Network Detection and Response)」などが知られており、既に広く普及している。
富田氏の所属するSentinelOneもEDRの製品ベンダーとしてこれまで世界中の企業・組織にソリューションを提供してきたが、同社製品におけるAIの実装方法は他ベンダーのものとは一線を画すという。
「一般的なEDR製品では、エンドポイントの情報をクラウドの分析環境に送り、分析処理を行った上で結果をエンドポイントに返して対処を行います。しかし、この方式ではエンドポイントとクラウド間のデータのやりとりに時間を要するため、その間に攻撃が進行してしまう危険性があるのです。その点、SentinelOneの製品はクラウド上ではなく、エンドポイントのローカル環境上でAI分析を行うため、極めて高速に脅威を検知して対処可能です」
具体的には、OSやアプリケーションのイベントデータを保持するデータベースをエンドポイントのローカル環境内に保持。これらのデータに対してリアルタイムで相関分析を施すことで、クラウドとデータをやりとりすることなく、脅威を迅速に検知できるような仕組みだ。
また、単に脅威を検知するだけでなく、疑わしいプロセスをその場で自動的に停止したり、これらのプロセスが行ったデータの暗号化や改ざん、削除といった処理を自動的にロールバックし、ファイルデータを復旧したりする機能も備える。
「このようにエンドポイントで自律的にAI処理を行うことにより、1秒でも早く脅威に対処して攻撃の進行を防げるのです。また、クラウドの不具合やパフォーマンス低下、ネットワークトラブルといった外的要因の影響に左右されることなく、エンドポイントを守ることができる点も特長でしょう」
