「AI＋人」の組み合わせが強靭化のカギ
共存型サイバーセキュリティーの可能性

　IPA（情報処理推進機構）が公開する「情報セキュリティ10大脅威」によれば、注意すべきサイバー脅威のトップは5年連続でランサムウエアが占める。サプライチェーン攻撃も直近3年でランサムウエアに次ぐ脅威となっており、こちらも注意が必要だ。

　被害は自社だけにとどまらず影響範囲も大きいことから、グループの親会社や取引先から「サイバー攻撃を速やかに検知・遮断する対策」が求められる。そのソリューションとして注目されているのが「EDR（Endpoint Detection and Response）」や「XDR（Extended Detection and Response）」である。

　アンチウイルスをはじめとするEPP（Endpoint Protection Platform）はマルウエア攻撃を水際で防ぐことを目的としている。そのため、潜り抜けてしまった脅威は検知が難しい。組織に侵入されると攻撃者の活動を許し、重要情報を搾取されてしまうリスクが高まる。

　EDRやXDRは脅威の侵入後の対策である。侵入後のできるだけ早い段階で脅威を検出・遮断し、被害を最小限に抑える。EDRは各デバイスやサーバーなどエンドポイントに侵入した脅威や不審な挙動を検出し、封じ込めを行う。XDRはこれを拡張したもの。エンドポイントだけでなく、ネットワーク、アプリケーション、サーバー、データセンターなど複数のレイヤを対象とする。

　しかし、その導入・運用には課題もある。「システム導入後は継続的な監視が不可欠で、アラートの分析や対応には高度なスキルやノウハウが求められます。そのためのセキュリティー人材の確保・育成も必要です」とイーセットジャパンの曽根 禎行氏は指摘する。自社リソースのみでの対応はハードルが高いため、EDR／XDRの必要性は感じつつも、導入を躊躇する企業も少なくない。

　EDR／XDR導入・運用のハードルをどう乗り越えるか。最近はEDR／XDR製品において、新たな機能実装が進んでいる。それがAIの活用だ。

　イーセットでもAIを実装した監視サービス型XDRソリューション「ESET PROTECT MDR」を提供している。脅威の可能性があるリスクを自動で検知し、リアルタイムに通知する。人が行っていたシステムやネットワークの監視、振る舞い分析などの作業をAI実装ツールが行う仕組みだ。

　「AIは学習によってその能力を高めていくため、検知力が非常に高い。業界トップクラスの脅威ブロック率を誇り、他社に比べて大幅に低い誤検知率をマークしています。これにより、セキュリティーの監視・運用業務も大幅に効率化できます」と曽根氏は語る。

　2024年には生成AIベースのアシスタント機能「ESET AI Advisor」の提供も開始した。チャット形式の対応により、インシデント解説と推奨対応を日本語で分かりやすく提示する。「リスクの識別や分析、その対応方法を適切に把握し、作業できるようになるため、セキュリティースキル不足を補い、重大インシデントに対する対応方針の意思決定を迅速化します」と曽根氏は続ける。

　なぜESETはこうした機能を実現できるのか。同社はスロバキア共和国に本社を構える1992年創業のセキュリティーベンダー。セキュリティー業界で30年以上の実績と経験があり、グローバルで40万社以上の法人顧客を持つ。日本でも長年にわたり事業を展開しており、国内納入実績は累計58万件を超える。ユーロポール（欧州刑事警察機構）の中でサイバー犯罪対策の活動を行う「EC3アドバイザリーグループ」の一員であり、サイバー空間の安全と健全な発展のための活動にも継続的に取り組んでいる。

　この知見とノウハウを生かし、AIや機械学習の活用も早くから進めてきた。1997年にニューラルネットワークを使用した製品提供を開始して以降、新たな学習データでモデルのファインチューニングを継続。AIを活用して検知したデータから相関分析を行い、重要度の高いインシデントを検出する高度な技術を開発した。そこにLLM（大規模言語モデル）を搭載することで、インシデントに対して対話形式でユーザーをサポートするESET AI Advisorを実現したわけだ。「AIはデータが命といわれます。技術のブラッシュアップを重ね、そこに国内外の多くの導入実績から得られる膨大なデータを掛け合わせることで、深いインサイトを創出することができます」と曽根氏は強みを述べる。

　AIはセキュリティー監視を半自動化し、より早期での脅威検知が可能になる。メリットは大きいが、運用プロセスのすべてをAI任せにできるわけではない（図1）。過検知や誤検知もゼロではない。「AIでのアラート検知後、人による精査は現時点では避けられないプロセスです。最終的には人による意思決定が不可欠です」と曽根氏は主張する。

　EDRやXDRの価値を最大限に引き出すには人による運用が不可欠だが、肝心の人的リソースやスキルセットが足りない。こうした課題を抱える企業も少なくないだろう。この課題解決を支援するのが、ESET PROTECT MDRだ（図2）。 　ESET PROTECT MDRの販売のみならず、マネージドサービス型の監視運用・サポートを提供し、ESET PROTECT MDRによる「AI＋人」の共存型対策をトータルで支援する。「2003年よりESET製品の国内総代理店として活動しており、その中で培った経験・ノウハウを惜しみなくサービスに投入しています。サポート窓口は日本国内に設置しており、24時間365日、日本語での対応で安心のサポートを提供します」とキヤノンマーケティングジャパンの井上 弘紀氏は語る。

　セキュリティーエンジニアが24時間365日ユーザー企業の環境を監視し、平時は定期レポートを提出する。インシデント発生時は直ちに連絡し、初動対応を提言する。「ビジネスインパクトの大きい重要インシデントはお客様の判断を仰いだ上で、ネットワーク隔離や脅威の駆除を実行し、復旧支援まで責任を持って行います。一連の対応はレポートで詳細に報告します」と井上氏は説明する。

　セキュリティーの監視や運用といった煩雑な作業はキヤノンマーケティングジャパンが代行するため、利用企業はインシデント対応の意思決定に専念できる。「限られた人的リソースでも『AI＋人』の共存型対策を実現し、侵入前提の対策を強化できる。これこそが当社の提供するマネージドサービスの最大のメリットです」と井上氏は力を込める。

　AIの活用で脅威検知力は大幅に強化されるが、運用プロセスには人による精査・判断・実行が欠かせない。「AI＋人」の共存型対策は、AI時代の“新しい戦い方”といえそうだ。