サイバーインテリジェンス セキュリティマネジメント Summit 2024 Summer Review
先進企業に学ぶ、DX時代・生成AI時代のサイバーリスクとの向き合い方
クラウドストライク

防御力/対応力の強化に生成AIを活用
SOCの業務を強力に支援する

生成AIは、セキュリティーの世界に光と闇の両方をもたらした。企業・組織のサイバー攻撃対策強化に大きく貢献する一方で、攻撃者が悪用するケースも登場しているからだ。クラウドストライクは、AIネイティブなセキュリティーソリューション「Falcon Platform」に、独自の生成AIアシスタント「Charlotte AI」を実装。運用の効率化を図りつつ、巧妙化するサイバー攻撃への防御力の向上、調査・対応の迅速化などを支援している。

サイバー攻撃者による
悪用例も増えている生成AI

クラウドストライク合同会社 セールスエンジニアリング部 セールス・エンジニア 本 貴之氏
クラウドストライク合同会社
セールスエンジニアリング部
セールス・エンジニア
本 貴之
 悪質化・巧妙化が一段と加速するサイバー攻撃。クラウドストライクの本 貴之氏は、企業情報セキュリティーの現状について次のように語る。「警察庁から公開された『令和5年におけるサイバー空間をめぐる脅威の情勢等について』によれば、ランサムウエア攻撃の手法ではVPN機器などの脆弱性を突いたものが全体の80%を占めていました。弊社グローバル脅威レポートによると、マルウエアを用いない攻撃も増えているほか、初期侵入から水平展開までにかかる時間(ブレイクアウトタイム)も大幅に短くなっています」。

 多くの企業・組織が様々なソリューションを組み合わせて対抗しているが、攻撃者優位の状況を変えるまでには至っていない。実際、被害報告を見ても、ウイルス対策ソフトを導入していたにもかかわらず脅威を検出できなかった例が多く見られたという。

 しかも昨今では、生成AIをサイバー攻撃に悪用する動きも現れている。例えば、通常の生成AIサービスに実装されている不正利用防止機能を外した「ダークLLM」を用いれば、特別な知識を持たない人でも簡単にマルウエアを作成することが可能だ。

 「生成AIの進化により文章の不自然さがかなり解消されたことで、標的型メール攻撃のフィッシングメッセージも巧妙化しています。加えて、極めて危険なのが生成AIによるエクスプロイト開発です。生成AIが自らゼロデイ脆弱性を探し、そこを突く攻撃コードをつくる。このような攻撃が増えると、防ぎきることは非常に難しくなるでしょう」と本氏は警鐘を鳴らす。

Charlotte AIがチャットベースの
指示を基に作業を代行

 しかし、うまく活用しさえすれば、生成AIは守る側にとっても大きな力になる。特に生成AIが得意とするのが、過去に学習した内容を基に「まとめる」「探す」「つくる」作業だ。これを応用すれば、インシデント時のアラート情報の要約、トレンドレポートの取りまとめ、脆弱性を持つサーバーや攻撃の痕跡情報(IoC)の捜索、調査に用いる検索文やIoCを削除するためのスクリプトの作成といったことが可能になる。「人手では多くの時間と手間が掛かる作業を任せることで、効率的なセキュリティー運用を実現できるというわけです」と本氏は言う。

 この方向性のもと、クラウドストライクが2023年から提供しているのが、独自開発の生成AI「Charlotte AI」である。

 これは同社のセキュリティープラットフォーム「Falcon Platform」が組み込まれた会話型のAIアシスタントで、先に述べたような様々な作業を人に代わって処理する。例えば、「ある攻撃者グループが狙っている脆弱性をリストアップしてほしい」「PowerShellを実行したサーバーの一覧表を作成するための検索文をつくってほしい」といった内容をチャットベースで指示すると、すぐに結果を返してくれるという。

 「もともと当社は、Falcon Platformを提供開始した2011年から、その基盤にAI/機械学習技術を組み込んできました。10年以上にわたるノウハウを注ぎ込んだものがCharlotte AIです」と本氏は紹介する。

防御/調査・対応の両面で
SOCの業務を強力に支援する

 Charlotte AIは、セキュリティー運用の司令塔となるSOCにとって強力な味方になるだろう。

 SOCの役割は大きく次の2つに分けられる。1つは、攻撃の対象になるアタックサーフェスを削減し、防御力を高める「プロアクティブセキュリティー」。もう1つは、内部に侵入した攻撃者による侵害を迅速に検知し、調査・対応する「リアクティブセキュリティー」だ。生成AIは、これら両面に対して大きな効果をもたらすという。

 まずプロアクティブセキュリティーでは、脅威インテリジェンスの効果的な活用が挙げられる。「例えば、『自組織を狙う可能性のある攻撃者の一覧を出力』『その組織が攻撃に使うIPアドレスとドメインを一覧化』『カスタムIoCをFalcon Platformに登録する方法を教えてほしい』といった具合に、会話を繰り返していくだけで必要な対策を実施できます」(本氏)。

 また、特定の脆弱性の概要を回答させた後、その脆弱性に該当するホストを重大度順に並べ、さらにインターネットに公開されているものを絞り込んでアラートの有無を確認するといったことも可能だ。「これまで数十分から1時間以上を要していたような作業を、数分程度で済ませることができるでしょう」と本氏は強調する。

 リアクティブセキュリティーにおいては、調査の迅速化に大きな効果を発揮する。「アラートで使われているPythonスクリプトの内容を解読」「そのスクリプトを用いてアクセスされたIPアドレスを一覧化」「そのうち過去48時間以内のもののアクセス元を表示」「修復用のスクリプトを記述」といったことを順番に質問するだけで、迅速なインシデント対応を実現できる。

 「もっとも、注意するべき点もあります。現状の生成AIはあくまでアシスタントレベルであり、アナリストと呼べるレベルには至っていないということです。また、SOCやCSIRTの活動を強力に支援できることは確かですが、それには適切なプロンプト(質問文)が必要です。生成AIに完全に頼り切ってしまう姿勢だと、適切なインシデント対応は難しいでしょう」と本氏は語る。

 今求められるのは、まずは生成AIを実装したセキュリティーツールを日ごろから利用し、AIに慣れることだ。今後も生成AIはさらに進化し続けていくだろう。セキュリティーの現場でも当たり前のように使われるようになっていくことが予想される。その時に備えて、今からAIへの質問力を磨いておくことが大切だ。

 「同時に、外部の運用・監視サービスを併用することも検討すべきです。社内人材を一から専門家に育て上げるのは並大抵のことではないため、自前で頑張るよりも、外部の力を積極的に使うのが効率的だからです」と本氏。クラウドストライクは、世界的に評価の高いMDRサービス「Falcon Complete MDR」を提供している。このようなサービスの活用も視野に入れ、自社にとって最適な体制構築を目指すことが望ましいだろう。

 生成AIの活用においては、光と闇の両方の側面を正しくとらえた上で、サイバーリスクを最小化するための環境を整えることが肝心だ。Charlotte AIを搭載したFalcon Platformを活用することが、そのための手段の1つとなる。
TOPへ
関連リンク
お問い合わせ
クラウドストライク合同会社 URL:https://www.crowdstrike.com/ja-jp/