サイバーセキュリティにおける人工知能の役割と6つの製品オプション

現代の IT 環境では、サイバー脅威がますます顕著になっています。サイバーセキュリティとその製品における AI の最も一般的な 6 つの役割について説明します。

現代の IT 環境におけるセキュリティ対策を支援するために、人工知能テクノロジーを導入する企業が増えています。 21 世紀のあらゆるビジネスにとって貴重な資産であるデータ、デバイス、処理能力、アルゴリズム、ネットワーク システムの急激な増加には、新たなリスクと脆弱性が伴います。調査会社ガートナーは、2018年12月に発表したレポートで、データセキュリティ、インフラストラクチャ保護、クラウドセキュリティがセキュリティ支出の最も急成長している分野であり、世界中の企業が2019年にサイバーセキュリティリスク管理に約1,370億ドルを費やすと予想されると述べています。

[[284962]]

この現実に直面して、多くの組織は、事後対応策を講じるだけでは不十分であり、脅威対応計画を拡張して自動化するだけでなく、事前対応策も開発する必要があることに気付きました。

AI 機能は、機械学習、ディープラーニング、コンピューター ビジョン、自然言語処理などのさまざまなテクノロジーを活用し、パターンを検出して推論を行います。サイバーセキュリティの分野において、サイバーセキュリティにおける人工知能の役割は、ユーザー、データ、デバイス、システム、ネットワークの動作パターンを識別し、異常と正常を区別することです。また、管理者が大量のデータを分析し、新しい種類の脅威を調査し、脅威に迅速に対応して対抗するのにも役立ちます。

ここでは、Kaleido Insights によるサイバーセキュリティ市場とベンダーの調査と分析に基づいて、一部のベンダーが次世代のサイバーセキュリティ製品への道を切り開いている 6 つの一般的なユースケースを紹介します。

1. セキュリティアナリストとセキュリティオペレーションセンター（SOC）の強化

サイバーセキュリティにおける AI の最も一般的な使用例の 1 つは、アナリストのサポートです。結局のところ、AI が経験豊富なセキュリティアナリストに取って代わる可能性は低いでしょう。ビッグデータの分析、人間の疲労の解消、日常的な作業からの解放など、機械が優れている分野では、創造性、ニュアンス、専門知識など、より複雑なスキルを人間に提供することができます。場合によっては、アナリストの増強には、セキュリティ オペレーション センター (SOC) ワークフローに予測分析を組み込んで、分類を実行したり、大規模なデータ セットを照会したりすることが含まれます。

Darktrace の Cyber​​ AI Analyst は、優先度の高いインシデントのみを表示することでアナリストをサポートするソフトウェア プログラムです。同時に、膨大な量のデータを照会し、ネットワーク バックボーン全体にわたって調査の背景情報を収集し、調査を実施して優先度の低いケースを整理します。 Cyber​​ AI Analyst は、Darktrace のアナリストがアラートを調査する方法を分析して数千の展開にわたって開発されたデータセットでトレーニングされ、複数の機械学習、ディープラーニング、数学的手法を使用して n 次元データを処理し、マシン速度で数千のクエリを生成し、すべての脅威を並行して調査します。

2. 新たな攻撃の特定

マルウェアやその他の種類の脅威の検出は、通常は疑わしいコードをシグネチャベースのシステムと照合することによって何年も前から行われてきましたが、AI は現在、新しい種類の攻撃を予測するための推論に向けてテクノロジーを進化させています。 AI テクノロジーは、大量のデータ、イベントの種類、ソース、結果を分析することで、新しい形式や種類の攻撃を識別できます。他のテクノロジーが進歩するにつれて攻撃手法も進化し続けるため、これは非常に重要です。

FireEye は、MalwareGuard 製品で攻撃識別の新しい例を提供しました。機械学習アルゴリズムを使用して、シグネチャがまだ作成されていない、またはまだ存在しない新しい攻撃、変形された攻撃、または高度な攻撃を検出します。このエンジンは、約 1,700 万の導入済みエンドポイント セキュリティ エージェント、100 万時間を超える攻撃対応時間に基づく攻撃分析、グローバルかつ多言語のセキュリティ分析ネットワークを通じて収集されたインテリジェンスなど、プライベートおよびパブリックのデータ ソースを活用します。

3. 行動分析とリスクスコアリング

行動分析テクノロジーは、広告などのそれほど重要でない分野ではすでに主導権を握っており、現在は ID 認証や詐欺防止における重要なユースケースへと移行しています。ここで、AI アルゴリズムは、ユーザーとデバイスの行動パターン、地理位置情報、ログイン パラメーター、センサー データ、および膨大なデータ セットの膨大な配列をマイニングして、ユーザーの真の ID を導き出します。

Mastercard の NuData Security は、多要素ビッグデータ分析を活用してリスクを評価し、エンドポイントとユーザーのセキュリティに関する各イベントの動的プロファイルを作成するプラットフォームです。同社は機械学習とディープラーニングを使用して、次の 4 つの領域を分析します。

• 行動データ:ブラウザの種類、トラフィックの変化、閲覧速度、ページ滞在時間。
• パッシブ生体認証:ユーザーのタイピング速度、デバイスの角度、キーストローク、圧力。
• デバイス インテリジェンス:特定のデバイスの既知および新しい接続、場所、ネットワーク インタラクション。
• Behavioral Trust Alliance:人口レベルで数十億のデータ ポイントを分析する Mastercard のビッグ データ リポジトリ。

4. ユーザーベースの脅威検出

内部からの脅威から、ハッカーによる権限の乱用や管理権限の乱用まで、人間はサイバーリスクの重大かつ多様な媒介者です。そのため、IT 環境でのユーザーのやり取り方法の変化を検出し、攻撃環境でのユーザーの行動を特徴付ける人工知能テクノロジーが登場しました。

LogRhythm は、次世代 SIEM プラットフォームである CloudAI を使用して、ユーザーベースの脅威検出を実行しています。具体的には、同社はさまざまなユーザー アカウント (VPN、仕事用メール、個人用クラウド ストレージ) と関連する識別子 (ユーザー名やメール アドレスなど) を実際のユーザーの ID にマッピングし、包括的な行動ベースラインとユーザー プロファイルを構築します。さらに、CloudAI は、現在および将来の脅威検出のために時間の経過とともに進化するように設計されています。アナリストは通常​​の調査の過程でシステムをトレーニングし、脅威トレーニングのためにプラットフォームの拡張顧客ベース全体からデータを収集します。 CloudAI は、人間の介入なしに継続的な調整を通じて自己修復するようにモデルを構成することもできます。

Vectra AI は、攻撃ライフサイクルを分析することで、このユースケースに対して差別化されたアプローチを採用しています。約 60 の機械学習モデルを使用して、リモート アクセス ツール、隠しチャネル、バックドア、偵察ツール、資格情報の不正使用、情報の流出など、攻撃ライフサイクル中に攻撃者が実行する可能性のあるすべての動作を分析します。同社は、Cognito プラットフォームが従来のユーザーベースの脅威検出アプローチを破壊し、防御側に攻撃者を検出する複数の機会を与えると主張している。

5. エンドポイント終端チェーン全体にわたるデバイス上の検出

企業におけるモバイル デバイスの普及により、サイバー セキュリティの脅威の新たな時代が到来し、エンドポイント セキュリティの性質が変化しました。企業は通常、ラップトップなどの従来のエンドポイントを管理しますが、今日のモバイル「システム管理者」はエンドユーザーです。従業員、消費者、ハッカーのいずれであっても、ダウンロード、アプリケーション、通信チャネル、ネットワーク相互作用などのサービスを採用しています。さらに、アプリケーションは独自のコンテナ内にあることが多いため、従来のパッチ管理が制限されます。この根本的に異なる構成は、攻撃者の目的がルート アクセス エクスプロイトを提供することで存続し、デバイス全体を危険にさらしながら企業ネットワークを効果的に回避することであることを意味します。したがって、モバイル エンドポイント保護では、アプリやネットワークを偽装するフィッシング攻撃からさまざまな種類の悪意のある攻撃まで、キル チェーン全体を保護する必要があります。ここでは、管理者は攻撃ベクトルごとに異なる検出システムを導入するのではなく、各攻撃ベクトルに機械学習を適用して、特定の時点で相互作用する脅威によるシステム乗っ取りの可能性を予測します。

モバイル エンドポイント セキュリティを専門とする企業である Zimperium は、機械学習を使用してモバイル キル チェーン全体にわたるデバイス上の検出を提供し、すべてのマルウェア、フィッシング、デバイス、アプリケーション、ネットワークのやり取りを監視します。現在、デバイス上で機械学習モデルは実行されていませんが、Zimperium はクラウドベースのディープラーニング技術から派生した機械学習ベースの検出技術をデバイスに導入しています。この技術は 7,000 万台以上のデバイスで使用されています。この技術は、あらゆるマルウェア、フィッシング、デバイス、アプリケーション、ネットワーク インタラクションのあらゆるベクトルからの匿名データを監視し、クラウド コンピューティング技術を使用して特定の攻撃パスを分析し、信号からノイズを識別し、テスト シナリオを実行し、分類子を導入してロジックとアルゴリズムを改善し、その後デバイス上の検出に適用します。このループは、攻撃や永続的な乗っ取りが行われる前に、現在の脅威タイプと新しい脅威タイプを（キル チェーン全体で）検出するために重要です。

6. 切断された環境でのプロアクティブなセキュリティ

データとデバイスが物理的な世界に浸透するにつれて、保護能力と平均検出および応答時間の短縮が接続性と計算能力の問題になります。テクノロジー インフラストラクチャがますます複雑化するということは、その運用のセキュリティと効率性に対する需要が高まることを意味します。これにより、航空、エネルギー、防衛、海事などのミッション クリティカルな環境でデータの価値を実現できます。より計算集約的な AI アプリケーションはこれらの環境ではまだ初期段階ですが、スクリプト、ファイル、ドキュメント、マルウェアの機械学習ベースの分析をネイティブにサポートすることでセキュリティを促進できる新しいテクノロジーが登場しています。

セキュリティ企業ではなく AI 企業であると自称する SparkCognition は、切断された環境で使用されるアプリケーションをサポートしています。地域の 911 通報センターは、アプリケーションを使用して、ホストする機密情報を管理します。 SparkCognition の DeepArmor は、オンサイト管理コンソールを通じて実行されます。具体的には、DeepArmor は機械学習を使用して、約 20,000 個の固有のファイル機能に対して静的ファイル分析を実行し、数秒で悪意のあるアクティビティの可能性を判断します。これらの環境では管理者がモデルの更新を手動で実行する必要がありますが、DeepArmor には署名要件がないため、毎日の署名スキャンは必要ありません。

サイバーセキュリティにおけるAIの役割は拡大している

もちろん、機械学習とディープラーニングをサイバーセキュリティのニーズに適用する小規模なユースケースは他にもあります。たとえば、次のようなケースです。

• ビッグデータクエリの生成と分析
• 脅威の拡散と拡散の検出
• 自律応答
• 他のセキュリティツールへのエージェントの統合と展開
• 脅威ブロックの自動化
• マルウェアの分類
• 攻撃の分類（不明、内部、持続）
• 誤検出の削減
• 製品の自己修復
• 機械データの理解（800 種類以上のデバイスタイプ）
• 暗号化されたトラフィック分析
• ポリシーコンプライアンス分析
• サイバーリスク保険
• 強化されたサイバーリスクデューデリジェンス（合併・買収前）

機械学習は大きな可能性を秘めていますが、万能薬ではなく、単なるツールにすぎません。人工知能はデータの品質に依存しており、セキュリティに関しては、それは単にビッグデータを意味するのではなく、複数の言語でのリアルタイムデータ、そして最も重要なのは良質なデータを意味します。成功するには、セキュリティの専門家とデータ サイエンティストの連携が必要です。

マーケティングでは大げさに主張されていますが、現実には、企業のセキュリティ環境は広大で動的なネットワークであり、管理者は持続的で予測不可能な内部および外部の脅威ベクトルに基づいて、常に監視、監査、更新する必要があります。 AI は脅威の検出、調査、対応能力にさまざまな強化をもたらしますが、進化するセキュリティ環境におけるあらゆる種類の脅威を真に管理できるのは、人とテクノロジーの組み合わせです。