AI人工知能と機械学習によるサイバーセキュリティ対策

AIとは？

人工知能と訳されています。計算速度の速いコンピュータと大量のデータ、そしてアルゴリズムから成り立ち、画像解析や翻訳、自動運転など様々な分野で成長している技術です。
ただし、機械なので動物や人間と異なり、経験から類推するといったことはできませんので稀にしか現れないようなパターンを含む大量のデータから多様性を学習させる必要があります。

ビジネス事例としては、画像認識による異常の検知、つまり製造過程で利用され不良品を検知する技術だったり、自然言語処理を行うチャットボットだったり、翻訳機能だったりと身近な事例は多くあります。

回転すしの某社でも需要予測にAIを使っているそうです。

セキュリティ対策での実例

機械学習によりマルウェアを学習させ、マルウェアなのか否かを判定する仕組みは既に市場に存在しています。
これは過去のマルウェアのファイルの特徴を学習させ判定させる仕組み、つまり教師ありの機械学習をもとにファイルがマルウェアなのか否かを判定しています。
そのため、特徴抽出プロセスを解析されてしまうと回避手段を攻撃者が発見できるという事態も発生しています。
実際に2019年に文字列への強い依存とバイアスを分析するという特徴抽出プロセスを解析したことで、有害ファイルの末尾に特定の文字列を追加すれば、AIエンジンの評価スコアを大幅に改変し、検出を回避できるという手法が公表されています。

その後この回避方法はメーカー側が対処したそうです。
また別のディープラーニングを基にした製品は、マルウェアも正常なファイルもすべて取り込み、特徴量を自ら検出し、予測モデルを作成、さらにこの予測モデルによるファイルスキャンと振る舞い検知を組み合わせることで高精度なマルウェア検知を実現しています。AIによるマルウェア検知の技術もますます発展していくことと思われます。

話はずれますが、マルウェア対策の効果的な手段としてはポリシーベースのアクセス制御、つまりセキュアOSと呼ばれる20年ほど前にNSAが設計した仕組みがいまだに強力な防御手段です。
ただし、この仕組みはセキュリティを考慮していない多数のアプリケーションのアクセスも制御してしまいますので、ポリシー設定を行う時間が必要になります。

Linuxのプログラマならご存じかもしれませんが、面倒なので止めてしまうSELinuxというモジュールのことです。
その他WindowsでもI/OのAPIをフックしてアクセスの許可/拒否を判定するという仕組みも存在しています。
ユーザフレンドリーではないので市場には普及していないようです。

ネットワーク監視での実例

組織の基幹スイッチに接続するアプライアンスの形態でAI技術を使ったサイバー攻撃検知の製品がいくつかあります。
AIにとって大量のデータが無ければ学習が出来ません。
ネットワーク上のパケットの量はかつて電話のハンドセットを組み合わせて使う音響カプラの時代から飛躍的に増加しています。
そういえば、1980年代にドイツのハッカーが音響カプラを使って某国立大学にハッキングしたというニュースを思い出しました。
それはさておき、IPパケットを解析することで、デバイスとそのユーザの日常の活動をまずは学習し、異常な活動を自動的に検出する仕組みを教師なしの機械学習を使って実現している製品があります。

さらにこの製品が収集した結果をもとにディープラーニングや機械学習による分析プラスサイバーアナリストの直感や特殊技能を学習させた機能を自動分析機能として組み合わせています。
収集した様々なログをもとにセキュリティの専門家が脅威の分析を行うには早くても30分はかかると言われていますから、それを自動的にシステムが分析してくれるのは革新的です。
１Gbpsの帯域で24時間通信したとしたら数テラオクテットのデータ量になります。
数か月もすればビッグデータと呼ばれる数百テラのデータ量になるでしょう。
見当もつかないデータ量ですが、米国議会図書館の2,000万冊以上の蔵書データが10テラバイト程度と言われていますので、人間がパケットモニタリングするということが如何に非現実的かわかります。
サイバー攻撃に要する時間は数分程度ですので、自動的にシステムが対応しないと間に合わないことが多々あることと思われます。

AIによる社会変革

セキュリティ対策にAIが活用されるように、サイバー攻撃にもAIが活用されています。
例えば従来のセキュリティ対策製品の回避方法を見つけるとか、DDos攻撃時にボットをAIが統制するとか、従来の製品では対応できない、手動による対処では間に合わない、さらには悪意を持った内部ユーザにも対応できません。

出張先でマルウェアに感染し、会社に戻ったらハッカーに社内侵入を許したとか、アクセスが許可されている立場の人が会社の重要な情報資産をクラウドストレージにアップロードしているとか、外部内部の攻撃者への対応はもはやAIに頼らないと間に合わない状況でしょう。
新たなサービスを提供して成長している企業の多くは基盤としているテクノロジーをマッシュアップの手法で利用しています。
自社開発のシステム基盤ではないため脆弱性の発見もまた外部のセキュリティ対策システムに頼ることになると思います。

実際のサイバー攻撃をもとにペネトレーションテストを行うTLPTという手法は金融業界がいち早く取り出していますが、攻撃する側（レッドチーム）に対して防御側（ブルーチーム）の大きな支援を前述のAIを利用したセキュリティ対策製品が担ってくれるでしょう。

2025年には既存の暗号化アルゴリズムが量子コンピュータによって解読されるようになるという危惧もあります。
AI、量子コンピュータという技術の進化は多大な変革をもたらすと思われますが、その反面サイバーセキュリティの課題も増えるという事態に備えることも重要と思われます。