高度かつ素早い攻撃に対処するには「AIと自動化」が不可欠
近年サイバー攻撃の手口は高度化・巧妙化の一途を辿っており、生成AIをはじめとする先端テクノロジーが次々と投入されている。そのため防御側には、より多くのリソースやスキルが求められようになってきた。しかし、実際にはセキュリティ人材の不足、経営陣の理解不足などの障壁に阻まれてしまい、多くの企業が攻撃側よりも優位に立てずにいる。
富田氏は、こうした状況を打破するためには、AIや自動化ツールの活用が極めて有効だと話す。
「NISTのサイバーセキュリティフレームワークでも定義されているように、まず最初に守るべき対象を『特定』し、それらの状況を把握するためにログを取得することが肝要です。しかし、今日のエンタープライズITは構成が複雑化し、守るべき対象が極めて多岐に亘っているため、これらすべてのログを人手で収集・分析し、24時間365日の体制で監視を行うことはリソースやスキルの面で無理でしょう。そこで、AIや自動化ツールの出番となるわけです」
AIや自動化の導入は、“対策のスピード”を高める上でも極めて有効だと同氏は指摘する。米Mandiantが毎年発表している年次脅威レポート『M-Trend 2024』によると、サイバー脅威の侵入からその検知までにかかる時間は年々短縮傾向にあるものの、同時にランサムウェアをはじめとする近年のサイバー攻撃は、侵入に成功してから内部で足場を築くまでの時間が年々短くなっているという。その中には、侵入に成功してからわずか数分後には足場を築き、横展開(ラテラルムーブメント)を始めるケースも観測されている。
「これだけ攻撃のスピードが速くなってくると、インシデントを検知したら1秒でも早く対処しなくてはなりません。しかし、人手による対応だけではどうしても後手に回ってしまうため、AIや自動化ツールを活用してよりスピーディーな対応が必要なのです。また、一次対応を行えたとしても、その原因調査や復旧作業に手間取ってしまうと事業継続性に悪影響が出てしまうため、この観点からも自動化の重要性は高まっています」
事実、米IBMが実施した調査『Cost of a Data Breach Report 2024』によれば、セキュリティ領域にAIと自動化を適用した組織はそうでない組織と比べて、侵害を受けた際の対応時間と対応コストを大幅に低く抑えられているという。
ログやアラートのデータをAI分析にかけて効果的に脅威を検出
セキュリティ対策において、AIが最も効力を発揮する場面は「ログやアラートの分析」だ。AIは大量のデータを短時間のうちに分析し、分類や予測を行うことを最も得意とする。この特性をログやアラートのデータに対して適用することで、広範囲なシステムから収集した大量のデータを素早く分析し、内部ネットワークに潜む脅威やリスクを速やかに検出可能だ。
具体的には、正常なパターンと脅威パターンを「教師データ」として、AIに学習と調整を行うことで、脅威を的確に見分けることができる精度の高いモデル(検知エンジン)が生成される。多くの場合、MITRE ATT&CKで定義されている攻撃テクニックのパターンに当てはまるかどうかを分析し、該当すると判断した場合には即座にアラートを発行することが多い。
「しかしながら、個々の攻撃テクニックを単体で抽出するだけでは、正常時に発生するイベントと見分けがつかない場合もあり、誤検知・過検知のもとになりかねません。そのため、複数の攻撃テクニックの組み合わせを抽出したり、正常時の傾向との比較・分類を行ったりすることで、そのイベントが“本当の攻撃”かどうかを見極めることが必要でしょう」(富田氏)
また、こうしたAIの活用は、脅威の侵入を防ぐためだけではなく、既に内部に脅威が潜んでいないかどうかを診断する「脅威ハンティング」においても極めて効果的だという。これまでの脅威ハンティングでは、ログの分析を行うセキュリティ技術者の「経験と勘」に頼る部分が多かったが、ここにAIを導入することによって、従来よりも短時間のうちに潜在的な脅威を洗い出せるようになる。
また、AIをうまく活用できれば、高度なスキルや知見がない担当者でも脅威ハンティングを実施できるようになるため、人的リソースの制約を克服する上でも導入効果が高いという。
クラウド上ではなく、エンドポイント上にAIを実装して脅威を検知
AIによるログ分析に基づき脅威を検出するソリューションには、PCやサーバーといったエンドポイント端末上の脅威に対応する「EDR(Endpoint Detection and Response)」や、ネットワーク上の脅威を検出する「NDR(Network Detection and Response)」などが知られており、既に広く普及している。
富田氏の所属するSentinelOneもEDRの製品ベンダーとしてこれまで世界中の企業・組織にソリューションを提供してきたが、同社製品におけるAIの実装方法は他ベンダーのものとは一線を画すという。
「一般的なEDR製品では、エンドポイントの情報をクラウドの分析環境に送り、分析処理を行った上で結果をエンドポイントに返して対処を行います。しかし、この方式ではエンドポイントとクラウド間のデータのやりとりに時間を要するため、その間に攻撃が進行してしまう危険性があるのです。その点、SentinelOneの製品はクラウド上ではなく、エンドポイントのローカル環境上でAI分析を行うため、極めて高速に脅威を検知して対処可能です」
具体的には、OSやアプリケーションのイベントデータを保持するデータベースをエンドポイントのローカル環境内に保持。これらのデータに対してリアルタイムで相関分析を施すことで、クラウドとデータをやりとりすることなく、脅威を迅速に検知できるような仕組みだ。
また、単に脅威を検知するだけでなく、疑わしいプロセスをその場で自動的に停止したり、これらのプロセスが行ったデータの暗号化や改ざん、削除といった処理を自動的にロールバックし、ファイルデータを復旧したりする機能も備える。
「このようにエンドポイントで自律的にAI処理を行うことにより、1秒でも早く脅威に対処して攻撃の進行を防げるのです。また、クラウドの不具合やパフォーマンス低下、ネットワークトラブルといった外的要因の影響に左右されることなく、エンドポイントを守ることができる点も特長でしょう」
生成AIを用いた、“対話型”の脅威ハンティングを実現
SentinelOneでは現在、脅威ハンティングにおいてもAIの積極的な活用を進めている。EDR製品が実装するAIでは、主に機械学習技術が用いられているが、脅威ハンティングではこれに加えて生成AIも採用しているという。
同社が提供するAIアシスタントツール「Purple AI」にLLM(大規模言語モデル)を活用することで、ユーザーからのセキュリティに関する問い合わせを自然言語で受け付け、同様に自然言語で回答を提示できるようにしている。
「これまでの脅威ハンティングでは、データベースに対して検索用のスクリプト言語を用い、問い合わせしたいデータを引き出す必要がありました。しかし、Purple AIにLLMを採用することで、自社のセキュリティ状況に関する問い合わせを自然言語を用いて、誰でも容易に行えるようにしました」
たとえば、Purple AIに対して「内部ネットワーク上に危険な兆候はありますか」と質問を投げかけると、ネットワークから収集した情報、脅威インテリジェンスの情報などを自動的に検索・参照し、最終的にLLMを用いて「このような兆候がありますよ」と自然言語にて回答を生成してくれる。このとき、もし重大なリスクが検出されたら、SOARと連携して対応にあたるためのセキュリティルールやポリシーを自動生成する機能の実装など、あらゆる場所にAIを活用していく予定だという。
なお、現時点では英語のみの対応だが、2024年内には日本語にも対応予定だ。
「将来的には、EDRも含めたあらゆる監視ポイントの情報を『SentinelOne Singularity Platform』という統合プラットフォーム上に集め、AIによる相関分析を行う仕組みを実現する予定です。さらには、脅威を検知した際の対応や日々の脅威ハンティングのプロセスなどを自動化することで、より高度な機能を備えた自律型サイバーセキュリティプラットフォームの実現を目指していきます」
