ダークトレース・ジャパン

自己学習型AIが実現する
死角なきゼロトラストセキュリティ

テレワークの広がりによって、一般的になってきたクラウドサービスの活用。これが新たなセキュリティリスクの温床になっている。この問題を解決するため、オンプレミスとクラウドの両方をカバーした、ゼロトラストネットワーク全体を一気通貫で保護するセキュリティソリューションを提供しているのが、ダークトレースだ。その最大の特長は自己学習するAIを搭載していること。これによって優秀なセキュリティ人材を雇用したのと同じ効果が得られるという。

クラウド活用の広がりが新たなリスクに

ダークトレース・ジャパン株式会社 カントリーマネージャー 鈴木 真氏
ダークトレース・ジャパン株式会社
カントリーマネージャー
鈴木 真
 コロナ禍で世界的にクラウド利用が急速に浸透した。特にコラボレーションツールに関しては、Microsoft 365やZoomの活用が広がっている。「この傾向は攻撃者にとって魅力的な状況を生み出しています」と語るのは、ダークトレース・ジャパンのカントリーマネージャー、鈴木 真氏だ。

 ダークトレースは2013年に英国・ケンブリッジで創業したAIセキュリティ企業。サイバーセキュリティ業界で欧州最速成長企業(英フィナンシャル・タイムズ、2020年)で、TIME誌による2021年版「世界で最も影響力のある100社」に選出され、さらに米有力経済誌ファスト・カンパニーによる「世界で最も革新的な企業」の2022年版AI部門上位10社にもサイバーセキュリティ企業として唯一選出されるなど、いまやAIセキュリティの世界をリードする企業に成長した。現在、世界110カ国でビジネスを展開し、多様な業界で6800以上の顧客を持つ。その中には誰でも知っているような世界的な大企業もあれば、従業員数50人以下の会社もある。

 「なぜクラウド活用にリスクが生じるのか。それはきちんと理解しないで使い始めることで、重大な設定ミスが生じているからです。また、在宅勤務が広がったことで、従業員が何をしているのか見えにくくなり、内部脅威も高まっています。さらに、最近ではLinuxをターゲットにしたマルウエアが増えていますが、クラウドで提供されているサービスの中にはLinuxをベースにしているものが多いため、これも脅威を増大させています。実際にSaaS型のコラボレーションプラットフォームへの攻撃は、400%も増加しています」(鈴木氏)

 このようにオンプレミスだけではなく複数のクラウドサービスを利用する環境では、従来型の防御では限界がある。ほとんどのセキュリティ製品は混在環境を1製品でカバーできないため、複雑な「パッチワーク」になってしまうからだ。「パッチワークの状態では全体をきちんと把握することが難しく、どうしても抜け漏れが発生してしまいます。また、従来のアンチマルウエアのようなパターンファイルによる対応も、未知の攻撃には対処できないため効果は限定的になってしまいます」と鈴木氏は言う。

優秀なセキュリティ人材と同等のAIを実装

 この問題を解決するには、ゼロトラストネットワークに対応したセキュリティを、一気通貫で提供できる製品が必要だ。そのためにダークトレースが提供しているのが「Darktrace Immune System」である。これは「Enterprise Immune System」「Darktrace Antigena」「Cyber AI Analyst」で構成されており、これだけでゼロトラストネットワーク全体をカバーした一貫性のあるセキュリティ対策が可能になっている。  まず「Enterprise Immune System」は、人間の免疫システムに着想を得て開発された自己学習型AI技術を実装したダークトレースの旗艦製品。「自己の正常な状態」を常時教師なし機械学習し、それと異なる不自然な挙動を自動的かつリアルタイムに検知する。機械学習によりAIが自ら学習し改良を重ねるため、時間の経過とともに精度が向上するという。

 次に「Darktrace Antigena」はEnterprise Immune Systemと連動し、異常を検知すると、定常からの逸脱度に応じて通信の遮断や感染端末の隔離などをリアルタイムに自動実行するもの。既存のセキュリティ対策との統合で連携を取りながら、自動対処することも可能だ。

 そして最後の「Cyber AI Analyst」は、人間のアナリストが脅威を調査・分析する際の数百万におよぶ思考パターンをAIに学習させたソリューションで、自動検知した異常やアラートの相関関係を瞬時に文章化し、日本語を含む8カ国語でインシデントレポートの生成までを丸ごとAIに任せることができる。

 「特に注目していただきたいのは、アラート内容をAIが自己分析し、レポートまで自動作成できること。そのためこの製品自体が、優秀なセキュリティ人材のような役割を果たせるのです。ここまでAIを育て上げるのに、実に3年もかかりました。ダークトレースにはサイバーアナリストが100人以上もいるのですが、彼らがアラートをどう処理しているのかをAIに学ばせた結果誕生したのが、現在のCyber AI Analystなのです」(鈴木氏)

 Darktrace Immune Systemにおける検知・遮断・調査分析の適用対象は、オンプレミスシステムだけに限定されない。IaaSやSaaSでも同様に機能する。これも重要なポイントだ。

 「IaaSの管理システムは静的かつサイロ的であり、そのままでは従業員の挙動を学習・予測することは困難です。そこでダークトレースでは独自センサーを用意し、クラウド全体と各仮想サーバーの両方のレベルで、学習を行えるようにしています。一方SaaSではアプリケーションレベルの監査ログが存在するため、各アプリケーションからオーディット情報をもらうことで従業員の行動パターンを学習しています。このようにIaaS/SaaSそれぞれの特性に合わせた学習方法を確立することで、クラウドをブラインドスポットにすることなく、ITインフラ全体をリアルタイムに防御できる仕組みを実現しています」と鈴木氏は話す。

ネットワークトポロジー全体の 可視化も可能

 それでは、Darktrace Immune Systemはどのように機能するのか。簡単に見ていきたい。

 まずCyber AI Analystのデフォルト画面には、左側にサマリー情報、右側に分析情報が表示される。これを見ることで、ITインフラ全体で何が起きており、それにはどのような可能性があり、いかに対処すべきかが分かるようになっている。

 サマリーの表示にマウスオーバーすると、その事象に関するユーザーの状況やタイムライン上でのイベントを表示。この事象に対して推奨される対応方法も記載されている。事象がセキュリティインシデントであるとAIが判断した場合には、Darktrace Antigenaによる自動遮断が行われる。ログの中にはそのことも明記されているため、適切な対応が行われたのかどうかも分かる。  「デジタルインフラ全体でユーザーの動きを監視しているため、ネットワークトポロジーも自動的に学習し、可視化できるようになっています。また、サブネット間でのデータの流れや、各サブネットにどのような端末が接続されているのかも把握できます。さらにネットワークで遅延が発生した場合も、どこでパケットが多く流れているのかといったことを、簡単に検知できます。セキュリティ製品でありつつ、このようなネットワークを可視化する機能も、ユーザーから高く評価されています」(鈴木氏)

 ここまで可視化できる能力があるため、実にきめ細かい対応が可能だ。

 「例えば多くのアクセスコントロール製品には、通常はユーザーがいないロケーションからのアクセスを検知し、遮断する機能を持っています。しかしこの機能は、巧妙な攻撃者であれば簡単に回避できてしまいます。これに対してダークトレースではログインロケーションだけではなく、そのときのIPアドレスや時刻、その後の行動パターンまで含めて分析するため、一般的な製品では見つからない攻撃も発見可能です。また、電子メールを使った特定社員へのスピアフィッシング(突き刺すように標的を定めて行うフィッシング攻撃)や、工場などのOT環境でのIoTデバイスの異常検知などにも対応しています」と鈴木氏は説明する。

 ここまで検知・分析できるのであれば、前述のようにセキュリティ人材を派遣しているのと同じようなものだ。「日本におけるサイバーセキュリティの人材提供サービス会社を目指しています」と鈴木氏は語る。

 なおダークトレース・ジャパンでは「Proof of Value(価値の検証)」呼ばれる、1カ月の無償トライアルも用意している。アプライアンスを設置し、コアスイッチにミラーポートを設定するだけで利用開始でき、すぐにAIの学習が始まるという。興味のある方は、ぜひ一度試してみるとよいだろう。
TOPへ
関連リンク
お問い合わせ
ダークトレース・ジャパン株式会社 TEL:03-5456-5537
E-mail:japan@darktrace.com