AIの普及でエンドポイント保護だけでは不十分に……大久保隆夫 教授と考えるセキュリティの新たな潮流
「最小の運用負荷」で「最大限の防御効果」を発揮する次世代のプラットフォーム、その思想と革新性に迫る
AIを悪用したサイバー攻撃や、クラウドなど新たなIT環境の脆弱性を突く攻撃が多発し、急速なテクノロジーの進化を背景とした脅威の高度化・巧妙化がますます加速している。リソースに限りがある中で、企業は自社の貴重な情報資産を守るためにどのような防御策を講じるべきか。クラウドストライク(Crowdstrike)が、その答えをお届けする。情報セキュリティ大学院大学の大久保隆夫 教授をゲストに招き、最新の脅威動向と従来のセキュリティ対策では対処しきれない課題、さらにはクラウドストライクが描くセキュリティプラットフォームの進化の方向性について語り合った。
巧みにAIを使う攻撃者、EDRを回避する攻撃も……
AIをはじめとした先端テクノロジーの急速な進化は、企業の事業活動に多くの恩恵をもたらす一方、サイバー犯罪者や攻撃者に対し、新たな武器を与えることにもなってしまった。既に攻撃者は巧みにAIを使いこなしている。
クラウドストライクの調査によれば、攻撃対象のシステムに初期侵入を果たしてからラテラルムーブメント(横展開)を行うまでに、かつては数時間から数日間を要していたところが、今や最短で“51秒間”にまで短縮されているという。
加えて鈴木氏は、直近の攻撃者の傾向について次のように述べる。
「クラウドストライクは元々、EDR製品のベンダーとして広く知られていました。そのEDRはここ数年で日本でも一気に導入が進みましたが、近年のサイバー攻撃は攻撃対象のエンドポイントにEDRが導入されていることを“前提”としており、その防御をかいくぐる手段を講じるようになってきています」(鈴木氏)
クラウドストライク合同会社 執行役員 セールスエンジニアリング本部 本部長
鈴木滋氏
たとえば、イニシャルアクセスブローカーから正規のID/パスワード情報を購入し、正規ユーザーになりすましてVPNにログインするなど、エンドポイントを監視しているだけでは防ぎきれない侵入・攻撃が多発しているようだ。
サイバー攻撃の進化については研究者である大久保氏も大いに実感している様子で、自身の立場から次のように述べる。
「生成AIの登場以降、サイバー攻撃の傾向と対策の変化スピードが劇的に速くなり、もはや生成AIが登場する以前のセオリーは通用しなくなってきています。新たな攻撃に対抗するために我々も様々な研究を行い、論文を執筆してはいるのですが、技術の進化があまりにも高速で、査読を待っている間に研究内容があっという間に陳腐化してしまうのです」(大久保氏)
情報セキュリティ大学院大学 情報セキュリティ研究科 研究科長・教授 博士(情報学)
大久保隆夫氏
大久保氏はこうした変化を受け、従来のように論文誌に投稿するだけでなく、最近ではアーカイブで公開された査読前の論文を参照しながら、最新の研究成果を調べることが多くなってきたと話す。
もちろん、攻撃側の行動変容に対抗するために、防御側でもAIを採用して守りを固めようとする動きが起こっている。しかし残念ながら、セキュリティインシデントの件数は一向に減る気配がない。その理由の1つとして、鈴木氏は経営陣のセキュリティ意識を挙げる。多くの企業の経営者が、いまだにサイバーセキュリティを「コスト」の側面でしか捉えられていないのだという。
「インシデント発生時に迅速な対応をとるためには、やはり経営による素早い判断と意思決定が不可欠です。にもかかわらず、経営側がセキュリティ対策を現場に丸投げしているようでは、いざというときに適切な判断を行えません。結果としてサイバー攻撃のスピード感に付いていけず、いたずらに被害を拡大させてしまうことになります」(鈴木氏)
大久保氏が教鞭をとる情報セキュリティ大学院大学でも、サイバーセキュリティ対策に必要な技術だけでなく、マネジメント論や組織論といった研究が行われている。研究活動を通じてこれまで積み上げられてきた知見を念頭に、大久保氏も経営層がセキュリティ対策にコミットすることの重要性を説く。
「実際のインシデントを経験して、ようやく一気にセキュリティ対策のレベルを引き上げる企業は多いです。しかし、被害が発生した後でいくら対策を強化しても『遅すぎる』と言わざるを得ません」(大久保氏)
近年、多くの企業が業務のデジタル化やクラウド活用を急速に進める中で、アタックサーフェスが拡大していることは明らかだ。今や、あらゆる企業がサイバー攻撃のターゲットになり得る。こうした状況を改善するために、IT部門やセキュリティチームが経営層に対策の重要性を説くことは重要だが、同氏は「個人的には、経営層が自らその重要性を認識することが何より大切だと考えている」と話す。
エンドポイント監視だけでは限界、脆弱性管理の対象はどこまで?
続いて鈴木氏はテクノロジーの観点から、これまでの常識に囚われない新たな発想とやり方でセキュリティ対策に取り組む必要性を訴える。アタックサーフェスが拡大を続ける中で、これまでのように「EDRやアンチウイルスソフトでエンドポイントを守っていれば安心」というわけにはいかなくなったからだ。
近年、クラウドインフラやSaaSアプリケーション、アイデンティティ(ID)など、エンドポイント以外の環境の脆弱性を悪用して侵入を図るケースが爆発的に増加している。つまり、IT環境全体の脆弱性対策に気を配る必要が出てきたということだ。
たとえば、企業が利用しているクラウドサービスに侵入した攻撃者は、そこから別のクラウドサービスに横断アクセスして情報を探索する。そこでVPNの認証情報を窃取すると、今度はオンプレミスのシステムにVPN経由で不正ログインするのである。このように、複数の環境をまたいで侵入や探索を繰り広げる攻撃は、エンドポイントを監視しているだけでは防ぎきれない。
“最小の運用負荷”で効率的に守る、「人材不足でも機能する」セキュリティ環境
一方、ただでさえセキュリティ人材不足が叫ばれている今日、さらに多くのアタックサーフェスを監視するとなると、既存の人的リソースだけでは手が回らなくなるのは明らかだ。そこでやはり、防御側もAIを積極的に活用して、セキュリティ業務を効率化していくことになるだろう。
鈴木氏は、クラウドストライクが提唱する将来予測として「1人のセキュリティ担当者が、90以上のAIエージェントを使役して業務を遂行する日がやってくるだろう」と述べる。そして同社は、セキュリティ対策の様々なタスクを自動で実行するAIエージェントを「Crowdstrike Falcon(以下、Falcon)」プラットフォーム上で提供予定とのことだ。
提供予定の7つのAIエージェント
- Exposure Prioritization Agent:脆弱性を要約し、悪用の可能性を検証し、資産への影響をマッピングする
- Malware Analysis Agent:単一のサンプルだけでなく、マルウェアファミリー全体から防御を展開する
- Hunt Agent:ハンティングクエリを実行し、環境を継続的にスキャンして新たな脅威を検出する
- Search Analysis Agent:自然言語の質問を解釈し、関係性を探り、明確な洞察を提供する
- Correlation Rule Generation Agent:ルールを生成、検証、最適化してオーサリングを加速する
- Data Transformation Agent:平易な言語変換をFalcon Fusionで実行可能なクエリに変換する
- Workflow Generation Agent:平易な言語プロンプトを実行可能なFalcon Fusionワークフローに変換する
さらには、セキュリティ業務を担うAIエージェントが、自社のITガバナンスやセキュリティポリシーに反した行動を取らないよう監視する仕組みも機能として提供する予定だ。これは、2025年9月にAIエージェントを監視・保護する技術を有するスタートアップ「Pangea」を買収して実現した機能だ。エージェントがどんな行動をとっているのかを、従業員の行動を把握するのと同じように管理できるため、シャドーAIを心配する必要もない。
これまでも同社は、自社内で新製品や新機能の研究開発を進めるだけでなく、先進的な技術を持つスタートアップ企業を積極的に買収し、その技術や製品を自社のポートフォリオに取り入れてきた。また、買収した製品を単に自社ブランドで提供するのではなく、Falconプラットフォームの中に組み込んだ上で提供することにこだわってきたという。
「クラウドストライクが提供するソリューションの最大の特徴、それは単一のプラットフォームを導入するだけで、エージェントを含むあらゆる機能を利用できる点にあります。管理コンソールも、すべての機能で共通しています。これにより、たとえ買収した製品であっても、ユーザーはこれまでと変わらない使用感で、最新のテクノロジーを最小限の運用負荷で使いこなせるようになるのです」(鈴木氏)
攻撃者の最新動向に合わせてプラットフォームを拡張・進化させ、かつその機能をシングルエージェントでユーザーが利用できるようにする。これにより、拡大し続けるアタックサーフェスにも最小限のリソースで対処できるというのが、クラウドストライクの設計思想だ。従来から提供しているエンドポイントセキュリティだけでなく、アイデンティティ保護やクラウドセキュリティ、次世代SIEM、さらにはAIセキュリティに至るまで、多様な領域のセキュリティリスクを単一のエージェントとコンソールで管理できるのである。
プラットフォームを“導入するだけ”で終わらせない
自社でセキュリティ人材を十分に確保できない企業の場合、たとえ最新のプラットフォームを導入して幅広く脅威を検知できるようになっても、それに素早く対処できるだけの社内体制を整えるのは難しいかもしれない……。そうした不安や課題を抱える企業に対しても、クラウドストライクでは脅威の監視や対処業務をユーザーに代わって行うマネージドサービスを提供している。
具体的には、ユーザーが導入したクラウドストライク製品のアラート情報を、同社のアナリストが調査・分析し、その内容をユーザーに報告するだけでなく、場合によっては初期対応もユーザーに代わって行う。このサービスを上手く活用することで、中堅・中小企業をはじめとしたセキュリティ人材不足に悩む組織でもグローバル水準のセキュリティ対策が可能となる。
また先述のとおり、同社の製品は様々なIT環境のリスクをシングルエージェント・シングルコンソールで一元的に監視できる点を強みとするが、必ずしもすべての監視機能を最初から導入する必要はないという。まずは自社にとって最優先の機能だけを導入し、運用を続けながら必要に応じて段階的に他の機能も導入していくことが可能だ。
「最初に導入する入口としては、EDRをおすすめしています。エンドポイントを監視するEDRが入っていなければ、そもそも攻撃が来たことにすら気付けないからです。その後は、たとえばクラウドの利用が拡大してクラウドセキュリティに不安が生じればクラウドセキュリティを、増加するアイデンティティに不安が出てきたらその保護機能をといった具合に、スモールスタートで段階的に対策を強化していく柔軟なアプローチが可能です」(鈴木氏)
こうした同社のアプローチを、大久保氏も「今後の展開が楽しみだ」と評価する。
「現実問題として、セキュリティ人材を十分に雇用する余裕がない企業が大半だと思います。中堅・中小企業なら尚更でしょう。そんなユーザーにとっては、すべてを安心して任せられるマネージドサービスや、コストを抑えたスモールスタートが可能なソリューションは心強いはずです」(大久保氏)
また、AIにまつわるセキュリティリスクについても、クラウドストライクは「AIを使った攻撃」と「AIに対する攻撃」の両方をカバーしているため、その点でも将来性があるのではないかと大久保氏。ちなみに同氏の個人的な関心としては、生成AIを用いた開発、いわゆるコード生成に関するセキュリティリスクの動向に注目しているという。
「昨今は、システムやアプリケーションの開発段階で生じるAIリスクというのも顕在化しています。ですから、開発工程のセキュリティもカバーできるような機能の拡充にも期待したいですね」(大久保氏)
AI時代の脅威にどう向き合うべきか、不安を感じている方へ
高度化・自動化が進む攻撃に対し、エンドポイント単体の防御では限界が生まれつつあります。Falconプラットフォームは、単一エージェントでエンドポイント・クラウド・アイデンティティを統合的に守り、AIによる高精度な検知と自動対応で、“最小の運用負荷”と“最大限の防御効果”を実現します。多様な環境に対応し、導入のしやすさと使いやすさでも評価されています。本記事を読んで「自社の防御アプローチを見直したい」と感じた方は、CrowdStrike公式サイトよりお問い合わせください。
この記事は参考になりましたか?
提供:クラウドストライク合同会社
【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社
この記事は参考になりましたか?
この記事をシェア
