• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
ITpro Special
週間WEEKLY ITpro Special ITpro

サイバー防衛の“人材不足”を補うAI活用

 サイバーディフェンス研究所の名和利男氏は自衛隊時代に防空システムのセキュリティに従事していた。現在は民間の立場から、大手企業や中堅企業そして日本政府のサイバーセキュリティにアドバイスをしている。日々サイバー防衛に奔走する中で、日本のサイバーセキュリティに何を見たのか?
 対するインフォメーション・ディベロプメントの黒崎祐三氏は、米大手セキュリティベンダーの日本法人で国内企業のセキュリティ対策を支援してきた。老舗システムインテグレーターのインフォメーション・ディベロプメントに転じてからはサイバーセキュリティ事業を率いる。日本に新しいソリューションを呼び込み目指すものとは?
 2人のセキュリティ対策の専門家が、サイバー防衛の最前線で感じた課題とその解決について語り合った。

名和 利男氏
サイバーディフェンス研究所
専務理事 上級分析官

――最近のサイバー攻撃の動向について、特徴的な傾向はありますか。

【名和】攻撃の対象が変わってきていますね。従来の主要なターゲットは、IT部門が担当する情報システムでした。ところが、IoT関連も含めて、最近は事業部門の主導で構築・運営されるシステムが増えていて、プロフィットセンターのようなところが攻撃にさらされるケースが目立ちます。

 攻撃の手法としては、今はWindows PowerShellを結構多用しますね。(これまでの定義の)マルウエアではなくてExcel、Wordをダウンロードして動かしたところ、VBA(Visual Basic for Applications)が動き、PowerShellのスクリプトが動いて、あろうことか正規のサービス、SNSとか大手ブログ、フリーサービスのSMTPサーバーに入って、それがC2通信になってしまうわけです。

 私はある政府機関の会合でも強く申し上げたんですが、ブラックリストに載る悪意のあるサーバーがC2通信するのではなく、正規なサービス経由なので見つけにくいのです。ブラックリストというのはIPアドレスとURLですが、それを載せてしまうと正規のサービスが受けられなくなってしまいますからね。

黒崎 祐三氏
インフォメーション・ディベロプメント
サイバー・セキュリティ・ソリューション(CSS)部
執行役員 部長

 他にもIoTの脆弱性を狙ったウイルスMiraiの亜種が、いまだに散発的に被害をもたらしています。どこの国とは言いませんが、国家が行っているサイバー攻撃も続いています。

【黒崎】私は顧客の相談に乗る中で多いのは、パターンマッチングでは対処できないマルウエア対策ですね。機械学習とかAIとか、様々なセキュリティ対策ソリューションが出ていて、乱立しています。機能やコストも含めてどれがいいのか難しいところです。

 攻撃手法に関していえば、標的型攻撃やランサムウエアが急増しています。幸い深刻な被害に至った顧客はいませんが、ランサムウエアに関してはバックアップがあるので、被害前まで戻すということが多いようです。

【名和】ランサムウエアがほかのマルウエアに比べると異常に発達しているのは、エコサイクルあるいはマーケットが出来上がっているからですね。金儲けに偏重しています。

――このようなサイバーセキュリティの脅威に対してどのような対処をしていけばいいのでしょうか。

【名和】大規模情報流出のような個人情報の漏洩は、ほとんどが脆弱性を突いたものなので、適切な脆弱性管理をしていけば対処できると思います。

 一方、ランサムウエアの場合は、企業に1000人、2000人利用者があって誰か1人感染すると、そこから横展開していく特性があるので、規模がすごく広がりやすいというところでは違います。100%というわけにはいかないのが難しいところです。

【黒崎】企業によって濃淡はありますが、こうしたサイバー攻撃に対する危機意識も高まっています。例えば、当社は標的型攻撃への対策ソリューションの1つとして「標的型攻撃メール訓練」のメニューを用意しています。これに対するニーズが非常に高まっています。ユーザーに疑似的な標的型攻撃メールを送り、不用意にURLリンクをクリックしてしまったユーザーがどの程度いたか、その後の対処は適切だったかといったテストを行うサービスです。こうした標的型攻撃メールに引っかからないよう教育し、社員全体のリテラシーを高めることが重要です。大規模な組織になると、問題の発生をゼロにすることはできません。当社としては被害にあったあとの対応に関するサービスと一緒に、お客様に提案するようにしています。企業は、SOC(Security Operation Center)やCSIRT(Computer Security Incident Response Team)を構えて対処していくことになりますが、なかなか人材をそろえることが難しいのが現状です。

【名和】セキュリティ意識の高い企業はあると思いますが、全体を見るとまだまだ不十分です。企業だけでなく、行政機関も含めて日本全体の課題です。政府が策定した「日本再興戦略2016」ではセキュリティ対策の重要性が指摘されていますし、経済産業省と独立行政法人情報処理推進機構(IPA)による「サイバーセキュリティ経営ガイドライン」は多くの企業に浸透しつつあります。また、電力、鉄道、航空、通信などそれぞれのインフラ業界向けに所管官庁からセキュリティのガイドラインが整いつつあります。

 こうした取り組み自体は望ましいものです。しかし、政府がセキュリティの重要性を声高に訴えるようになったのは、もうすでにそうせざるをえないほどサイバー攻撃を受け、被害が深刻化していることを意味しているように思えます。

――日本におけるサイバーセキュリティ対策は前進しているように見えますが、課題はどこにありますか。

【名和】サイバー空間の脅威が年々増大している中で、様々な問題が起こりつつも、何とかもちこたえてきたのは現場の人たちの努力の結果です。他の分野でもいえることかもしれませんが、日本人は極めて優秀です。しかも、自分の担当以外のことにも積極的に関与します。ITベンダーも、顧客のためにとことん頑張ります。現場のハードワークが、組織上の課題を覆い隠してきた面は否定できないでしょう。しかし、こうした対応の仕方はもはや限界に達していると思います。

【黒崎】セキュリティ人材の不足は切実ですね。経済産業省の調査によると、2020年には19万人超が不足すると推定されています。

【名和】数百人いないと見られないような状況をたった数人でやっていて、もう限界にあるのです。なかなか人事部門に頼んでも人を増やせないのです。経営者は現実に目をそむけていると思います。セキュリティ人材の拡充と調達予算の拡大といった意思決定は、経営者にしかできません。

――セキュリティ人材の不足が喫緊の課題とされる中で、最近はAIをセキュリティ対策に活用する手法が、ベンチャー企業を含めた様々な企業によって開発されています。

【名和】増大する脅威や人材不足、あるいはAI関連の技術進化を考えると自然な流れでしょう。セキュリティ対策が必要なエリアが拡大している中で、従来通りのやり方ではとても対応できません。単位時間当たりの対処能力を高める上で、AI活用というアプローチは有効だと思います。

【黒崎】同感です。セキュリティ人材だけでなく、いま様々な分野で人材不足が顕在化しています。あらゆる産業において、AIやロボットの導入による効率化、あるいは働き方改革が進行中です。セキュリティ分野におけるAI活用は、今後広く浸透していくものと考えています。

 当社は2017年4月、米Seceon(セキオン)社との提携に基づき、同社が開発したAI・機械学習を活用したセキュリティソリューション「Seceon OTM」の販売を開始しました。Seceonは2015年に生まれたベンチャー企業ですが、すでに金融機関や小売など幅広い業種の50社以上に導入されています。

 Seceon OTMは簡単にいうと「SOC in a box」です。システムやネットワークを監視するSOCの技術者が不足している中、セキオンを導入したハードウエアを設置することで、SOCにかわり自動で監視するソリューションです。

【名和】「SOC in a box」というのは賛成ですね。日本の組織にマッチしています。経営者の多くは今も、機密情報に関連したデータをクラウドにアップすることへの抵抗感が残っています。また、調達のルールが製品の購入をベースにできている企業も多いので、オンプレ型の製品は受け入れられやすいのではないかと思います。

 冒頭で、サイバー攻撃の対象の広がりを指摘しました。2020年の東京五輪に向けて、社会インフラの整備が進み、その多くがネットワーク接続される。いわば、社会全体でIoT化が進むことになります。一方で、セキュリティ人材は不足している。しかも、政府機関や企業の事業部門にはセキュリティに詳しい人材が少ない。攻撃側から見れば、狙いやすいターゲットといえるでしょう。こうした脅威に対抗し、現場の切実な課題を解決する上で、AIには大きな貢献が期待できると思います。

<Seceon OTM製品紹介>

 Seceon OTMは従来SOCが監視していた社内ネットワークの様子を、ハードウエアとしてネットワークに設置し、SOCに代わって自動で監視するもの。フローデータやファイアウォールのシスログなどの収集したデータは、最先端のAI技術と機械学習で分析し、インシデントに対して分かりやすいアラートメッセージを出す。導入時も柔軟なインストールができる。高度な監視と使いやすさを備えている。

お問い合わせ
  • 株式会社 インフォメーション・ディベロプメント

    サイバー・セキュリティ・ソリューション(CSS)部

    TEL:03-3262-9171

    URL:http://www.idnet.co.jp/

    メールでのお問い合わせはこちら