AIで武装したサイバー攻撃は“マシン並み”のスピードへ──負担増のセキュリティ運用、一助となる製品は

最新のサイバー攻撃は“マシン並み”のスピードに

　今や「AI」はあらゆる分野に寄与しているが、その恩恵を受けているのは攻撃者（脅威アクター）も同じだ。「攻撃者もAIを活用し、マシン並みのスピードで攻撃を仕掛けてきます。後れをとると攻撃される範囲も広がり、大きなダメージをもたらします」と警笛を鳴らすのは、SentinelOne Japanの世羅英彦氏。たとえば、AIを活用している脅威アクターとして、「Scattered Spider」が挙げられる。

　同アクターはソーシャルエンジニアリングに長けており、組織ネットワークにも巧妙に侵入してくる。侵入後は素早くデータを窃取し、エンドポイント端末にランサムウェアを拡散させることで脅迫メールを送りつけ、大金を脅し取る。検知や防御の隙を与えないほどの“攻撃の速さ”も大きな特徴だ。実際、多額の身代金を支払った組織もいると報道されている。

　こうした攻撃例は、Scattered Spiderに限った話ではない。近年の攻撃者は、AIを活用することでエンドポイントやクラウド、アイデンティティにわたる横断的な攻撃を迅速に展開してくる。

　このように脅威が複雑化・高度化する中、防御側は人材と予算に制限がある状況で対応しなければならない。とはいえ、新しい攻撃手法が登場すると、それに対応した新しい製品も登場し、既に多数のセキュリティツールを併用している現場も多いだろう。AIによる検知やインシデント対応の速度向上に期待しつつも、大量の誤検知・過検知のアラートに悩まされているのも実情だ。

　さらに悩ましいのが「アイデンティティ」の悪用だ。正規ユーザーのID・パスワードがあれば、攻撃を有利に運ぶことができるため、AD／IDプロバイダー（IdP）は主要な標的となっている。MITREの調査によると、主要な攻撃の半数近くがアイデンティティを盗み、悪用しているという。

　世羅氏は「エンドポイントやクラウドだけ守ればいいわけではなく、認証情報の窃取を含めて対策を講じなければいけません」と強調する。

「セキュリティ運用」の負担増を回避する　具体的な製品選定のポイントは？

　先述したような環境下、いかに負荷を増すことなく対策を講じられるかがポイントとなる。数多の製品・ソリューションがある中、巧妙化する脅威に対抗できる選択肢が統合プラットフォーム「Singularity Platform」だ。世羅氏が所属するSentinelOneが提供する同プラットフォームは、エンドポイントセキュリティとクラウドセキュリティ、SIEM、アイデンティティセキュリティ（ITDR：Identity Threat Detection and Response）、自動化機能（ハイパーオートメーション）までをカバーしている点が特徴となる。さらに他社製品のデータソースを取り込んで分析することも可能だ。

　実際に第三者機関からの評価も高い。実際のユーザーによるレビューからなるガートナー「Peer Insights」では、CNAPP部門で高評価を得ており、「Customers Choice 2024」にも選出された。加えて、マジック・クアドラントのエンドポイント保護プラットフォーム部門では、5年連続で「リーダー」に位置づけられている。では、このSingularity Platformを理解するために、ここからは構成要素となる製品群を一つずつ詳しく見ていこう。

Singularity Endpoint

　Singularity Endpointは統合型エンドポイントセキュリティ製品で、EPP（エンドポイント保護）とEDR（検知と対応）を単一のエージェントとコンソールで提供する。従来のアンチウイルスの限界（シグネチャーやパターンファイルによる検知・対応）を突破すべく、AIでの脅威検知を実現。創業時から磨き続けてきた、AIによる自律型防御の原点ともいえる製品である。

　「検知能力が高いため人手をかけることなく、セキュリティ業務の効率を高めることができます」と世羅氏。実際にMITRE ATT&CKでは、最高レベルの検出精度を達成している。また、検知後には（ポリシーに基づいて）自動的に修復したり、ランサムウェアで暗号化された場合には自動的にリストアしたりと、担当者をサポートしてくれる機能も豊富だ。

　なお、Singularity Endpointはクラウドで管理するSaaS型、オンプレミス環境に管理サーバーを構築して運用するオンプレミス型の2つがある。もし、クラウド環境とオンプレミス環境を別々に管理していたとしても、オンプレミス環境のログをクラウドに転送することで双方の環境を統合して管理可能だ。

Singularity Cloud

　Singularity Cloudは、クラウドのワークロード保護（CWPP）をはじめとした、CNAPPの中核を担う。クラウド環境にアプリケーションをデプロイする前から脆弱性や設定ミスがないか確認するなど、昨今注目を集めている「シフトレフト」のアプローチをとるためにも役立つ。

　同機能では、ビルド時にコンテナイメージとIaCテンプレートを（エージェントレスで）スキャンすることで、設定ミスなどがないかを確認する。デプロイ後はランタイムにおける脅威をリアルタイムで可視化し、攻撃をブロックする。Singularity Endpoint同様に静的ファイル分析、ふるまい分析、脅威インテリジェンスなど、多角的に脅威を可視化して保護可能だ。

　「エージェントはLinuxカーネル内でユーザー定義のプログラムを安全に実行できる『eBPF（Extended Berkeley Packet Filter）』アーキテクチャのため軽量でありながらも、あらゆる脅威を検知してブロック可能です」（世羅氏）

　特に世羅氏が太鼓判を押すのが「Offensive Security Engine」（攻撃的セキュリティエンジン）だ。これは設定ミスや脆弱性を検知するだけにとどまらず、エクスプロイト攻撃が可能かどうかを確認できる技術。管理画面からはエクスプロイト可能であれば、「攻撃可能確認済み」と表示されるため、担当者は優先順位や次の対応を判断できる。

Singularity Identity

　Singularity IdentityはID保護に特化した機能で、EPP/EDRで捉えきれない認証情報の脅威に対応するITDRソリューションだ。

　同機能は、大きく分けて3つからなる。まず「Identity Security Posture Management」では、ID基盤に弱点がないかアセスメントし、攻撃の糸口を断つ。続いて「Identity Detection & Response」はエンドポイントでのID攻撃を阻止する。なお、攻撃者におとりの認証情報をつかませて、本当の認証情報を盗まれないようにする機能もある。さらに「Identity for Identity Providers」で本丸となるAD自体にエージェントを入れ、疑わしいADトランザクションに対してMFAを強制するなどの対策を講じる。

　「IDこそが新たな攻撃の入口となります。SentinelOneならば、ADからクラウドまでリアルタイムで防御できるため、攻撃を検知・阻止できます」と話す。

Singularity AI SIEM

　Singularity AI SIEMは従来のSIEMから進化した、クラウドネイティブな「AI SIEM」だ。

　セキュリティ関連のログなど、データが急増しているにもかかわらず、SIEM自体に目覚ましい進化はない。そこでSentinelOneでは、SIEMにAIを搭載することで（他社セキュリティ製品も含めて）すべてのデータとワークフローに対応した、オープンなSIEMを提供する。

　Singularity AI SIEMでは、セキュリティデータの管理や相関解析などの調査だけでなく、Singularity Hyperautomationと呼ばれる、セキュリティ運用のワークフローを自動化するための機能も含まれており、ノーコードでワークフローが作成できるなど、セキュリティ運用業務の効率化につながる。

Purple AI

　Purple AIは、生成AIをベースとしたSOCやセキュリティアナリストを支援してくれるツールで、自然言語での脅威ハンティングを実現できる。

　「AIを活用した製品がいろいろ登場していますが、“セキュリティの実運用”にAIを落とし込んでこそ効率化を実感できると考えています」と世羅氏。こうした理念をもとに開発・提供されており、ユーザーから投げかけられた自然言語を適切なクエリに変換・実行できるという。IDCの調査によると、脅威の特定は63％、脅威の解決は55％の高速化につながった。さらに1人あたり対応可能なエンドポイント数は61％増加するなど、3年間のライセンス費用を約4ヵ月で回収可能という試算も出ている。

　「われわれはセキュリティ運用を高度化するための製品群を出し続けます」（世羅氏）

　既に2025年4月のRSA Conferenceで発表しているように、近々Hyperautomationの自動化機能をリリース予定だ。こうしたアップデートを順次行っていき、最終的にはSOC業務のほぼすべてのプロセスを自動化し、人が意思決定などに専念するための“次世代のセキュリティ環境”を創っていくとした。