セキュリティマネジメント Summit
Summer 2021 - Review -
マイクロフォーカスエンタープライズ

進むAI・機械学習の活用
検知が難しい未知の脅威と内部不正に対応

広範な分野で活用が進むAI・機械学習は、セキュリティにおいても有効な技術となる。特に期待が大きいのが、従来の方法では検知が難しい未知の脅威と内部不正への対応だ。マイクロフォーカスの提供する「ArcSight Intelligence」は、まさにそのためのソリューション。数百のモデルを活用して複眼的な視点でログを相関分析し、いつもとは違う異常値を見つけることで未知の脅威や内部不正を検知する。チューニングレスという特長も備えており、多くの企業のセキュリティ強化に役立つ。

事業や社会の継続性を脅かすサイバー攻撃

マイクロフォーカスエンタープライズ株式会社 プリセールス統括本部 情報セキュリティ&ガバナンス技術部 プリセールスコンサルタント 石尾 尚二郎氏
マイクロフォーカスエンタープライズ株式会社
プリセールス統括本部
情報セキュリティ&ガバナンス技術部
プリセールスコンサルタント
石尾 尚二郎
 サイバー攻撃の手口の巧妙化とスピード化が顕著だ。脅威が侵入してから情報を窃取するまでにわずか15分しかかかっていないケースが多いという。攻撃数自体も大きく増加しており、今も増加傾向が続いている。

 「質と量の両面からリスクが高まっている上、守る側の企業は慢性的なセキュリティ人材不足に陥っているということも大きな問題です」とマイクロフォーカスエンタープライズの石尾 尚二郎氏は指摘する。

 例えば、最近では米国最大のパイプラインがサイバー攻撃により5日間の操業停止を余儀なくされ、国民の生活にも大きな影響を及ぼした。サイバー攻撃は、もはや事業や社会の継続性を阻害する主要な原因となっている。

 しかも、コロナ禍による働き方改革の進展でビジネスの現場ではクラウドやモバイルデバイスの利用が加速しているほか、IoTの活用によってデータの発生源も保管場所も分散が進むなど、企業のシステム環境も複雑化している。もはや、ファイアウオールの内側を安全と定義してきた従来の境界防御だけでは守りきれない。

 「これらの状況を踏まえると、企業は『脅威の侵入を防ぎきるのは困難』『脅威は侵入してしまうもの』ということを前提とし、侵入後の脅威の活動を速やかに捉え、影響を最小化して事業活動を維持するための体制の実現、すなわち『サイバーレジリエンス』の強化を強く意識すべきです」と石尾氏は言う。

期待が高まるAI・機械学習による
セキュリティ強化

 そこでセキュリティ強化に役立つ技術として注目が集まっているのがAIおよび機械学習である。

 一般的に脅威は4つに大別でき、次のような特徴や対策上の課題がある。  1つ目は「既知の脅威」。既存のセキュリティ対策で多く採用されているパターンファイルによるシグネチャマッチングで検知しているのがこの脅威だ。

 2つ目は「類似の脅威」。いわゆる既知の脅威の亜種である。既知の脅威と挙動が似ていたり、侵入後のマルウエアの通信先が同じだったり、既知の脅威と類似する部分が多く、シグネチャマッチングだけでは検知できない場合もある。「EDR(Endpoint Detection and Response)、SIEM(Security Information and Event Management)といったソリューションで対応します」(石尾氏)。

 既知の脅威と類似性を持たない、あるいは類似性が低い、いわば新しく登場した脅威が3つ目の「未知の脅威」だ。攻撃対象に合わせて手法をカスタムする標的型攻撃の多くがこのタイプに属し、あらかじめセキュリティシナリオを想定しておくことが難しい。

 そして、4つ目の脅威が従業員や関係者などが機密情報を持ち出す「内部不正」だ。その行動が不正か業務の範囲かを判断するのは非常に難しい。検知するには、その企業の業務を深く知る必要がある。つまり攻撃パターンを一般化して参照するような検知手法は通用しづらい。

 AI・機械学習は、このうち2~4つ目の脅威に有効となる。

 2つ目の類似の脅威に対しては、過去の脅威情報、つまり教師データを分析、参照しながら類似性の高いマルウエアを検知して、シグネチャマッチングを補強する。

 次の3つ目の未知の脅威、4つ目の内部不正は、教師データをサンプルにする方法ではなく、普段とは違う「外れ値」を捕捉し、そのイベントが何を示しているのかを解析して、攻撃や不正を検知する。「何か既知の特定事象を見つけるのではなく、集団から外れる異常値を捉えることで、脅威を検出していくという手法です」と石尾氏は説明する。

4つのポートフォリオでソリューションを提供

 マイクロフォーカスは、このような機械学習を活用したセキュリティ対策ソリューションを提供している。

 具体的には、機密性の高いデータの保護を行う「Voltage」、IDやアクセスの管理にかかわるIAM(Identity and Access Management)領域の機能を提供する「NetIQ」、アプリケーションのセキュリティ強化を担う「Fortify」、そして既知および未知の脅威の効果的な検出と検出時の対応といったセキュリティ運用を支援する「ArcSight」という4つのカテゴリでセキュリティポートフォリオを構成している。そして個別の製品ではないが、機械学習エンジンおよび予測分析機能を提供する「Interset」を技術的バックボーンに据え、各製品にその技術を生かしている。

 中でも、前述した機械学習による既知および未知の脅威の効果的な検出を実現するのがArcSightのカテゴリに属する「ArcSight Intelligence」である。

数百のモデルによる複眼的解析で脅威を検出

 まずArcSight Intelligenceは、イベント一つひとつを吟味するというアプローチではなく、組織内のユーザー、あるいはサーバーやファイル、デバイス、アプリケーションなどのエンティティのどこにリスクがあるのかを機械学習で解析。危険度の高い順にユーザーやエンティティを表示して、調査、対処の優先度を明らかにする。

 脅威の検知については、あらかじめ数百の分析モデルが定義されており、自身で分析モデルを設定するようなチューニングは不要。用意されたモデルを基に各種ログの分析を行い、複眼的な視点で普段とは違う異常な行動、つまり未知の脅威による攻撃や内部不正を検知する。相関分析を通じて、そのイベントが正常か異常かを自動で学んでいくため、イベントの意味付け作業を自分で行う必要もない。

 「分かりやすい例を挙げれば、本来、活動時間が朝9時から夕方6時までのユーザーが、夜中の2時に活動している。通常は1時間あたり1回程度のあるサービスへのアクセスが急増し、定期的に数十回のアクセスが発生している。ある時間帯において、過去にはないほどデータ量が急増しているなど、このような行動を異常値としてみなします」と石尾氏は強調する。

 ある企業は、数億円ものセキュリティ投資を行っていたにもかかわらず、従業員によるソースコードの持ち出しという不正を見抜けなかった。「それがArcSight Intelligenceを導入して、過去1年間のログを分析したところ、すぐに不正を発見。さらに、ほかのいくつかの拠点でも同様の不正が発生していることを突き止めることができました」と石尾氏は紹介する。

 脅威の巧妙化や悪質化が進んでいる上、人材難などの課題を抱える企業がセキュリティを強化するには、従来の対策では検知が困難な未知の脅威や内部不正にいかに対応するかがカギを握る。AI・機械学習を駆使することで、その要請に応えるマイクロフォーカスのセキュリティソリューションは大いに注目すべきだろう。
資料ダウンロードはこちら
資料ダウンロードは
こちら
セキュリティマネジメント Summit
Summer 2021 - Review -
TOPへTOPへ
資料ダウンロードはこちら
資料ダウンロードはこちら
お問い合わせ
マイクロフォーカスエンタープライズ株式会社 URL:https://microfocus-japan.com/forms/contact/