AIとセキュリティは機械学習によりマルウェアを学習させ、マルウェアなのか否かを判定する仕組みは既に市場に存在しています。
これは過去のマルウェアのファイルの特徴を学習させ判定させる仕組み、つまり教師ありの機械学習をもとにファイルがマルウェアなのか否かを判定しています。
人工知能と訳されています。計算速度の速いコンピュータと大量のデータ、そしてアルゴリズムから成り立ち、画像解析や翻訳、自動運転など様々な分野で成長している技術です。
ただし、機械なので動物や人間と異なり、経験から類推するといったことはできませんので稀にしか現れないようなパターンを含む大量のデータから多様性を学習させる必要があります。
ビジネス事例としては、画像認識による異常の検知、つまり製造過程で利用され不良品を検知する技術だったり、自然言語処理を行うチャットボットだったり、翻訳機能だったりと身近な事例は多くあります。
回転すしの某社でも需要予測にAIを使っているそうです。
機械学習によりマルウェアを学習させ、マルウェアなのか否かを判定する仕組みは既に市場に存在しています。
これは過去のマルウェアのファイルの特徴を学習させ判定させる仕組み、つまり教師ありの機械学習をもとにファイルがマルウェアなのか否かを判定しています。
そのため、特徴抽出プロセスを解析されてしまうと回避手段を攻撃者が発見できるという事態も発生しています。
実際に2019年に文字列への強い依存とバイアスを分析するという特徴抽出プロセスを解析したことで、有害ファイルの末尾に特定の文字列を追加すれば、AIエンジンの評価スコアを大幅に改変し、検出を回避できるという手法が公表されています。
その後この回避方法はメーカー側が対処したそうです。
また別のディープラーニングを基にした製品は、マルウェアも正常なファイルもすべて取り込み、特徴量を自ら検出し、予測モデルを作成、さらにこの予測モデルによるファイルスキャンと振る舞い検知を組み合わせることで高精度なマルウェア検知を実現しています。AIによるマルウェア検知の技術もますます発展していくことと思われます。
話はずれますが、マルウェア対策の効果的な手段としてはポリシーベースのアクセス制御、つまりセキュアOSと呼ばれる20年ほど前にNSAが設計した仕組みがいまだに強力な防御手段です。
ただし、この仕組みはセキュリティを考慮していない多数のアプリケーションのアクセスも制御してしまいますので、ポリシー設定を行う時間が必要になります。
Linuxのプログラマならご存じかもしれませんが、面倒なので止めてしまうSELinuxというモジュールのことです。
その他WindowsでもI/OのAPIをフックしてアクセスの許可/拒否を判定するという仕組みも存在しています。
ユーザフレンドリーではないので市場には普及していないようです。
組織の基幹スイッチに接続するアプライアンスの形態でAI技術を使ったサイバー攻撃検知の製品がいくつかあります。
AIにとって大量のデータが無ければ学習が出来ません。
ネットワーク上のパケットの量はかつて電話のハンドセットを組み合わせて使う音響カプラの時代から飛躍的に増加しています。
そういえば、1980年代にドイツのハッカーが音響カプラを使って某国立大学にハッキングしたというニュースを思い出しました。
それはさておき、IPパケットを解析することで、デバイスとそのユーザの日常の活動をまずは学習し、異常な活動を自動的に検出する仕組みを教師なしの機械学習を使って実現している製品があります。
さらにこの製品が収集した結果をもとにディープラーニングや機械学習による分析プラスサイバーアナリストの直感や特殊技能を学習させた機能を自動分析機能として組み合わせています。
収集した様々なログをもとにセキュリティの専門家が脅威の分析を行うには早くても30分はかかると言われていますから、それを自動的にシステムが分析してくれるのは革新的です。
1Gbpsの帯域で24時間通信したとしたら数テラオクテットのデータ量になります。
数か月もすればビッグデータと呼ばれる数百テラのデータ量になるでしょう。
見当もつかないデータ量ですが、米国議会図書館の2,000万冊以上の蔵書データが10テラバイト程度と言われていますので、人間がパケットモニタリングするということが如何に非現実的かわかります。
サイバー攻撃に要する時間は数分程度ですので、自動的にシステムが対応しないと間に合わないことが多々あることと思われます。
セキュリティ対策にAIが活用されるように、サイバー攻撃にもAIが活用されています。
例えば従来のセキュリティ対策製品の回避方法を見つけるとか、DDos攻撃時にボットをAIが統制するとか、従来の製品では対応できない、手動による対処では間に合わない、さらには悪意を持った内部ユーザにも対応できません。
出張先でマルウェアに感染し、会社に戻ったらハッカーに社内侵入を許したとか、アクセスが許可されている立場の人が会社の重要な情報資産をクラウドストレージにアップロードしているとか、外部内部の攻撃者への対応はもはやAIに頼らないと間に合わない状況でしょう。
新たなサービスを提供して成長している企業の多くは基盤としているテクノロジーをマッシュアップの手法で利用しています。
自社開発のシステム基盤ではないため脆弱性の発見もまた外部のセキュリティ対策システムに頼ることになると思います。
実際のサイバー攻撃をもとにペネトレーションテストを行うTLPTという手法は金融業界がいち早く取り出していますが、攻撃する側(レッドチーム)に対して防御側(ブルーチーム)の大きな支援を前述のAIを利用したセキュリティ対策製品が担ってくれるでしょう。
2025年には既存の暗号化アルゴリズムが量子コンピュータによって解読されるようになるという危惧もあります。
AI、量子コンピュータという技術の進化は多大な変革をもたらすと思われますが、その反面サイバーセキュリティの課題も増えるという事態に備えることも重要と思われます。
サイバーセキュリティ対策は“終わりのない旅”と言われています。
こうした中、特にターゲットとなりやすい金融機関を対象に、「脅威ベースのペネトレーションテスト(TLPT)に関する G7 の基礎的要素 」が公表されました。
TLPTとは、脅威ベースのペネトレーションテスト。
現実世界で起きているサイバー攻撃をテスターが対象企業に行うことで、対象企業の防御、検知、対応をテストします。
サイバーセキュリティ対策は“終わりのない旅”と言われています。
何故ならコンピュータ技術の進展は利用者に便利なだけではなくサイバー攻撃者にも有利になります。
また、インターネットを通じたサイバー空間と現実空間とはますます距離を縮めています。
そして、他人のパソコンに侵入して技術力を誇示していた個人のハッカーの時代から、国家間のサイバー戦争レベルまでサイバー攻撃は拡張しています。
こうした中、特にターゲットとなりやすい金融機関を対象に、2018年10月、先進7カ国(G7)財務大臣・中央銀行総裁会議において、「脅威ベースのペネトレーションテスト(TLPT)に関するG7の基礎的要素 (金融庁公表のPDFにリンクします) 」が公表されました。
TLPTとは、脅威ベースのペネトレーションテスト。
現実世界で起きているサイバー攻撃をテスターが対象企業に行うことで、対象企業の防御、検知、対応をテストします。
もちろん、攻撃型の手法も変化しますので定期的に実施する必要があります。
またサイバー攻撃はすべて外部からとは限りません。
極端な話、基幹システムの特権IDを持つ運用担当者が顧客情報を窃取し、顧客の口座を操作するといった攻撃も現実に起きているインシデントです。
世界で戦える最後の産業が自動車産業と言われている日本、2025年の崖から落ちないようにDX(デジタル・トランスフォーメーション)の推進も盛んになってきました。
デジタルの最新のテクノロジー(IoT、AI、量子コンピュータ等)を効果的かつ有効に現実のビジネスに活かす取り組みも進められています。
これに伴い、最新のテクノロジーがもたらす脅威もまた増加することは否めません。
余談ですが、NSA(アメリカ国家安全保障局)は窃取した暗号化ファイルもすべて保存しています。量子コンピュータを使えば復号化が可能になるからです。
ただ幸いなことに国家レベルの組織が作り上げた防御システムを導入することは民間企業でも可能な対策方法です。
脅威の検知方法、対応方法がAI技術により専門家不在でも利用可能な製品が登場しています。
コロナ禍によるテレワークの普及、ニューノーマルな働き方改革など、社会の流れが生み出したリモートワークがこれまでの境界型防御と呼ばれるセキュリティ対策に一石を投じ、米国で提唱されているゼロトラスト型のセキュリティ対策への移行を図られている企業もあります。
これまで、脅威の侵入をネットワークやデバイス(パソコンやスマホ等)の境界で防御することを前提としていましたが、侵入されることを前提としたセキュリティ対策が製品としても普及してきています。
例えば、SOC※1に必要なツールとしてEDR、SIEM、NDRといったカテゴリの製品があります。EDRはエンドポイントの脅威を検知対応するための製品、SIEMとはファイヤーウオールやIPS/IDS などから出力されるログやデータを組み合わせて相関分析を行うための製品、NDRはネットワーク上の基幹となるスイッチに接続し、パケットの内容や流れから脅威を検知対応するための製品です。特にNDR製品ではAIを利用し、「自動化」「省力化」が図られた製品も登場しており、誤検知や過検知に振り回されることも少なくなってきています。
※1 SOCとは;Security Operation Centerの略。サイバー攻撃などの検知や分析などを行う専門的な部署、組織のこと。ログ分析や、サイバーセキュリティ対策の立案などの業務を行う
ゼロトラストモデルと呼ばれるセキュリティ対策の基本概念は「最小権限の原則」と「ポリシーベースのアクセス制御」です。
ゼロトラストモデルが完璧かというと、前述の通りサイバーセキュリティ対策は“終わりのない旅”です。
ある日特権を持つユーザが組織に対して裏切りに走ることもあります。
正しくシステムにログインし、正しく情報を取得するという行為について、その行為に悪意が有るのか無いのかを判断するのはその行為の頻度により判断する必要があります。
ある日、大量に重要な情報資産をダウンロードし、クラウドストレージにアップロードしている場合、稀な行為として警告を発することが必要です。
それが組織内で上位の職位についている人であっても、です。
脅威を稀な事象として日常のシステム利用から検出し、自動的に通信パスの遮断や管理者への警告を通知すると言った監視と防御のシステムがあれば、SOCを準備し人手で監視作業を行うといったコストを削減できますし、AIによる自動判定であれば即時に対応が可能になります。
サイバー攻撃は発見間もないソフトウェアやハードウェアの脆弱性を突いた新たな手法が次々と生み出されている状況です。
“終わりのない旅”とは言われていますが、これまでのセキュリティ対策では太刀打ちできない状況であることは変わりなく、ますます進むデジタル化に追随するためにもセキュリティ対策は非常に重要な位置を占めています。