日経ビジネスONLINE Special 週刊日経ビジネスオンライン SPECIAL日経ビジネスオンライン

世界が協調して社会を守るサイバーセキュリティ最前線

サイバー攻撃の高度化・複雑化に伴い、サイバー攻撃を検知するためのログ監視においてAI(人工知能)の活用が注目を集めている。AIでセキュリティ運用はどのように進化するのか。セキュリティ・オペレーション・センター(SOC)の運用にAIを活用するには、どのような課題があるのか。ユーザー企業、メーカーおよびサービス事業者の3人の有識者が議論した。

 今後、AI(人工知能)の活用によって、セキュリティ・オペレーション・センター(SOC)の運用はどのように進化するのかをテーマに、議論が交わされた。

モデレータ:
ディアイティ
クラウドセキュリティ研究所長
河野省二 氏

 初めに、AIの活用はSOC運用にとって、負荷の軽減や質の向上に役立つかとの議題を提示。問題発生に対応するシーサート(CSIRT:Computer Security Incident Response Team)やSOCなどをリクルートグループで立ち上げ、セキュリティ施策を推進しているリクルートテクノロジーズの執行役員エグゼクティブマネジャー、鴨志田昭輝氏は、「多くのセキュリティアナリストは、ログ監視による大量のアラートから不要な情報を排除するのに労力を費やしている。この過程でのAIの活用による負担軽減に期待している」と述べた。

 さらに質的向上の観点で、「大量のログやパケットからインシデント(セキュリティ上の事件・事故)を発見するために、様々な判定ルールを設定しているが、別のアプローチとしてAIを活用し、異常を的確に検知できれば、より深層的な脅威や不正を洗い出すことができるのではないか」と期待を寄せた。

 一方、SOC運用でAIを活かすには、セキュリティとAIのそれぞれに精通した専門家の存在が不可欠となる。独立行政法人 情報処理推進機構(IPA)では、情報処理安全確保支援士を現状の6000人から3万人に増やす計画を発表したが、まだ高度専門人材の教育・育成は喫緊の課題のままだ。

 ジェーシービー グループにおけるサイバーセキュリティ高度化のための施策展開・統括を担当するジェーシービーのシステム企画部次長の齋藤弘一氏は、次のように話す。「必要となる人材は社内におけるCSIRTやサイバーセキュリティ組織の在り方にもよるが、組織において必要となる人材像を見極めることが重要。どのような人材を採用し、どのように育成するか検討を重ねることが不可欠だ。ユーザー企業においては技術の専門家を1人採用すればセキュリティの対応は万事解決という幻想を抱くケースも多いが、実際には技術面に関わる業務だけではなく、現場担当者や社内への説明などにも関与することになるので、セキュリティやシステムに興味があるのはもちろんだが、コミュニケーションやマネジメントの能力も兼ね備えた人材も育成していく必要がある」。

リクルートテクノロジーズ
執行役員エグゼクティブマネジャー
鴨志田昭輝 氏
ジェーシービー
システム企画部次長 システムリスク統括グループ担当
齋藤弘一 氏

懸念すべきはAIへの過度な依存

 AIは、こうした人材不足の課題を解決するとともに、今後ますます高度化・複雑化するサイバー攻撃を検知するツールとして重要性が高まることとなる。その半面、AIへの過信や攻撃者による悪用といった懸念事項があるのも事実だ。企業や個人の機密情報、プライバシー情報といった重要データを目の前にし、これを悪用しようとダークサイドに転落するエンジニアも少なくない。攻撃者がAIを活用すれば、攻撃相手である企業の弱点を見極めた、より効果的な攻撃も可能になるだろう。

 こうした点について、IBMグローバル・セキュリティーのサービスセキュリティー戦略&オファリング担当副社長 ジョン・ウィーラー氏は、IBMで現在、グローバルネットにおいて1カ月あたり1兆件のセキュリティイベントの検知を可能にしているのが、同社のAIであるWatsonだと説明した上で、次のように持論を展開する。「だがAIは、セキュリティアナリストの代替にはならない。セキュリティアナリストの能力を拡張、補完するものだ。現在も将来も、人がいて、機械があって、AIがそれを補完する世界を私は描いている」。

IBMグローバル・セキュリティー
サービスセキュリティー戦略
&オファリング担当副社長
ジョン・ウィーラー 氏

 また、AIの活用について、ウィーラー氏が懸念するのは、悪用ではなく、むしろ過度な依存だという。「セキュリティアナリストがAIに過度に依存すると、向上心が弱まり、悪意ある未知の攻撃などによる異常の検知に対して感覚を磨けない事態になりかねない」。

 AIはセキュリティオペレーションを支援するためのツールに過ぎない。主体はあくまでも人である。「モチベーションやモラルを維持するためにも、セキュリティアナリストは積極的に社外に出ていくべき。イベントやシンポジウム、コミュニティに参加し、交流を重ねることが大切だ。結果的にAIの活用は、セキュリティ運用に必要な情報と知見の共有、コラボレーションにも役立つだろう」。モデレータを務めたディアイティのクラウドセキュリティ研究所長 河野省二氏はこう締めくくった。

日本IBM
https://www.ibm.com/jp-ja/