あらゆる脅威に自律対処する自己学習型AI

免疫システムアプローチで

セキュリティ人材不足を解消

あらゆる脅威に自律対処する自己学習型AI

免疫システムアプローチで

セキュリティ人材不足を解消

あらゆる脅威に自律対処する自己学習型AI

免疫システムアプローチで

セキュリティ人材不足を解消

　サイバー攻撃は日進月歩の勢いで進化を続けている。特にランサムウエアの進化は目を見張るものがある。顧客や取引先、同僚、上司を装うだけでなく、メールでのやり取りの経緯を流用するなど様々なソーシャルエンジニアリング手法を駆使して標的型攻撃を仕掛ける。

　しかも、ダークネットではランサムウエアを売買する「RaaS（ランサムウエア as a Service）」のマーケットが確立している。その気になれば誰でも攻撃者になれるわけだ。小さな投資で成功すれば大きなリターンを得られることから、攻撃に手を染める人が後を絶たない。働き方改革やコロナ禍によるテレワークの拡大により、守るべき対象が社内外に広がったことも対策を難しいものにしている。

　その攻撃は悪質で執ようだ。システムやデータを“人質”にして身代金を要求するだけでなく、要求に応じなければ搾取したデータを公開すると「二重恐喝」してくる。多くの企業はファイアウオールをはじめとする入口・出口対策、アンチウイルスなどのエンドポイント対策を講じているが、手口は巧妙化し、侵入を100％阻止することは難しい。組織内に侵入され、ランサムウエア攻撃を受けたらひとたまりもない。

　大切なのは、侵入されることを前提に、脅威の存在や活動状況、影響範囲などをいち早く把握し、効果的な対策を打つこと（図1）。それが被害の拡大を食い止め、ビジネスへのダメージを極小化する。

　その実現にはネットワークやデバイスの監視、インシデント対応や事後対処、原因や影響調査などを迅速に行えるセキュリティ運用体制の構築が欠かせない。こうした作業は多くの人手と労力を要するが、その役割を担うセキュリティ人材は圧倒的に不足している。人を増やしたくても増やせないのが実情だ。

　いかにマンパワーに頼らないセキュリティ運用体制を構築するか――。この実現に向けてダークトレースが提供しているのが「Darktrace Immune System」だ。同社は2013年に英国ケンブリッジで創業した自律型AIセキュリティのリーディングカンパニー。世界で初めてAIをサイバーセキュリティに大規模適用した会社として急成長を遂げ、今年4月末にはロンドン株式市場に新規上場。また、TIME誌の2021年版「世界で最も影響力のある100社」にサイバーセキュリティ業界から唯一選出されている。

　Darktrace Immune Systemは、同社が独自開発した自己学習型AI技術を実装した製品プラットフォーム。コアスイッチに接続し、ポートミラーリングで稼働するため、インストールが非常に容易。「組織固有の定常状態を自己学習し続けて検知力を高めていくため、ルールやシグネチャに依存せず、あらゆる脅威に自動対処できます」とダークトレース・ジャパンの鈴木 真氏は強みを述べる（図2）。 　Darktrace Immune Systemは3つの製品群で構成される。

　まず「Enterprise Immune System」は、人間の免疫システムに着想を得て開発された自己学習型AI技術を実装するダークトレースの旗艦製品である。「自己の正常な状態」を常時学習し、それと異なる不自然な挙動を自動的かつリアルタイムに検知する。「教師なし機械学習によりAIが自ら学習し改良を重ねるため、時間の経過とともに精度が向上し、理論上はどんな未知の脅威も検知可能」と鈴木氏。オンプレミス、各種のクラウドやSaaS、IoT、OT（制御・運用技術）環境に幅広く対応し、学習対象となる接続の様子や検知されたアラートは、Webブラウザ上で利用できる独自の3D可視化インタフェースであるThreat Visualizerで完全可視化できる。

　次に「Darktrace Antigena」はEnterprise Immune Systemと連動し、異常を検知すると、定常からの逸脱度に応じて通信の遮断や感染端末の隔離などをリアルタイムに自動実行する。既存のセキュリティ対策との統合で連携を取りながら自動対処することも可能だ。さらに、Eメールの送受信者の挙動や外部連絡先との関係性を常時機械学習することで、ゲートウェイ製品をすり抜けてしまう怪しいEメールを自動識別する「Antigena Email」により、サイバー攻撃の端緒となる標的型メール攻撃に対しても未然に自律対処できるため、世界各国でユーザーが急増している。「例えば『通常は付与しないURLリンクが記載されている』『いつもと違う時間帯にメールが送られてくる』『URLリンクや添付ファイルを開くように促す』など警戒を要する内容を検知し、配信保留や無害化を自動実行します」と鈴木氏は説明する。

　自動対処の実行レベルは自社のセキュリティポリシーに合わせてカスタマイズ可能だ。遮断を自動実行するほか、脅威検知のアラートを通知し、遮断の実行は人が判断・選択するといった設定も選べる。

　こうした情報の確認や操作はモバイルアプリで行えるため、24時間365日の監視と運用が可能になる。「会社にいない休日や夜間でも安心して運用を任せられます。適切な対処はマシンが自動実行するため、人はより戦略的な業務に集中できるようになります」と鈴木氏はメリットを述べる。

　そして最後の「Cyber AI Analyst」は、人間のアナリストが脅威を調査・分析する際の数百万におよぶ思考パターンをAIに学習させたソリューションで、自動検知した異常やアラートの相関関係を瞬時に文章化し、日本語を含む8カ国語でインシデントレポートの生成までAIに一任できるという。

　「『怪しい挙動はどのポートを使って、どこと通信しているか』『感染が疑われる端末やEXEファイルはどれだけあるのか』『どの端末がスキャニングされ、どこに脅威が拡散していったか』といったことを自律的に分析します。また、調査結果は瞬時に文章化され、分かりやすい日本語の脅威レポートを自動作成します」（鈴木氏）。自社のリスク状況を即座に把握できるのはもちろん、レポートを作成する必要がなくなるため、調査結果の役員への報告、現場への注意喚起などの作業も省力化できる。

　調査・分析はセキュリティ運用の中でも特に人手と専門スキルを要する作業である。セキュリティ人材の確保が難しい中、これを自動化できるメリットは非常に大きい。同社はCyber AI Analystを「AIセキュリティ人材提供サービス」と位置付けている。

　「サイバーセキュリティの重要性がますます高まる一方で、セキュリティ人材の不足は深刻な課題です。攻撃は人手が手薄な休日や夜間に仕掛けられることも少なくありません。24時間365日休みなく働くことができ、退職リスクもない“AIセキュリティ人材”を派遣することで、この課題解決を支援していきたい」と鈴木氏は意気込む。

　こうしたメリットが評価され、Darktrace Immune Systemは世界100カ国以上で5500社を超える組織に導入されている。日本でも大塚製薬、Pascoブランドの敷島製パン、京阪ホールディングス、キッセイ薬品工業、楽天証券など業種・企業規模を問わず幅広く利用され、140社近くに導入実績がある。

　最近では、「自社での導入効果を検証してみたい」という要望も増えている。そのため、同社ではDarktrace Immune Systemの無償トライアルも実施。ハードウエア・ソフトウエア一体型のアプライアンスを提供し、専任のサイバーアナリストによる脅威分析も行うというもの。検知結果は週次でレポーティングする。もしサイバーセキュリティ対策で悩んでいるなら、この機会にあらゆる異常に自律対処するAIセキュリティの実力を体感してみてはいかがだろうか。