人間と機械のコラボレーション: セキュリティ業務における人工知能

商業的な AI の成功のほとんどは、教師あり機械学習 (ML) に関連しています。たとえば、スマートホーム アシスタントの音声言語理解や自動運転車の物体認識は、いずれも複雑なディープラーニング モデルのトレーニングに必要な膨大な量のラベル付きデータとコンピューティングを活用しています。しかし、サイバーセキュリティの分野では、AI はセキュリティ運用チームの効率と規模を向上させるために使用できますが、人間の高度な関与が必要です。そうでなければ、少なくとも現時点では、ほとんどのサイバーセキュリティの問題を解決することはできません。

さらに、企業環境における人間の行動によって生成されるデジタルノイズにより、システム内の異常が日常的になり、それが攻撃であるかどうかを判断することが不可能になります。そのため、人工知能による異常行動検知の効果は理想的ではありません。たとえば、1 日に数十億のリモート センシング データを生成する大企業では、機械学習を使用して脅威を検出します。たとえ精度が 99.9% だとしても、100 万件の誤検知の中から実際の攻撃インシデントを見つけることになります。検出データの不均衡を克服するには、多くの専門知識と多面的な検出戦略が必要です。

しかし、明らかに AI がなければ、状況はさらに悪化するだけでしょう。機械学習の力を活用して運用効率を向上させる方法はいくつかあります。セキュリティ運用チームが考慮すべき 3 つの原則を以下に示します。

1. 人間と機械のコラボレーション

人工知能は人間の知能を補完するものであり、置き換えるものではありません。複雑なシステムにおいて、特に急速に適応するインテリジェントな敵と対峙する場合、アクティブラーニングを中心とした自動化テクノロジーは非常に高い価値をもたらします。人間の主な仕事は、機械学習システムを定期的にチェックし、新しい例を追加し、継続的に調整して反復することです。

2. 適切なツールを選択する

適切な意思決定を行うために AI の専門家である必要はありませんが、前提条件として適切なツールを選択することが重要です。

• まず、異常な動作と悪意のある動作の違いを理解することが重要です。これらは多くの場合、異なるものであり、非常に異なる検出手法に基づいています。前者は、ラベル付けされたトレーニング データを必要としない、教師なし異常検出によって簡単に見つけることができます。しかし、後者には教師あり学習が必要であり、通常は多くの過去の例が必要になります。
• 第二に、これらのシステムは 100% 正確ではないため、セキュリティ運用チームが検出の影響を完全に理解するには、信号対雑音比の高いアラートが不可欠です。
• 最後に、ほぼすべての機械学習技術がネットワーク セキュリティの分野で使用されていますが、大量の脅威インテリジェンス シグネチャを蓄積することは依然として非常に重要です。これらのシグネチャに遭遇すると、攻撃がほぼ確実になり、相関分析作業が大幅に節約されるためです。常に、シグネチャは既知の脅威を検出するための重要なベースラインです。

3. セキュリティ運用には自動化が必要

自動車の運転に AI を信頼しているサイバーセキュリティ専門家の多くが、敵対的サイバーセキュリティにおける AI の役割については懐疑的であるというのは皮肉なことです。しかし、今日では処理すべきデータとアラートの量が膨大であるため、自動化はセキュリティ運用チームの効率を向上させる最も効果的な方法の 1 つであり、基本的に将来的には唯一のソリューションとなります。

自動化により、時間のかかる運用タスクから創造的な思考が解放されます。これは、高度な脅威を検出するときに特に役立ちます。相関分析、優先順位付け、および低リスクの制御手段 (疑わしいファイルの分離やユーザーの再認証の要求など) の自動実行により、セキュリティ運用の効率が大幅に向上し、ネットワーク リスクが軽減されます。

まとめると、少なくとも近い将来においては、人工知能や機械学習が唯一のサイバーセキュリティ戦略になることはできません。膨大なデータの海から手がかりを探す場合、機械知能とセキュリティ専門家の人間的知能を組み合わせることが、最も実用的かつ効果的な技術的手段です。