AI時代のサイバーセキュリティーには
アイデンティティの包括的な保護が有効

　多くのサイバー攻撃者がAI技術を活用し始めている。従来の手法よりも早く、効率的にターゲット企業の脆弱性を見つけ出して攻撃できるようになるほか、自己学習で進化するマルウエアも登場。中にはアンチウイルスソフトの検出を回避するものもある。人物の映像や音声を模倣するディープフェイクで詐欺を誘発したり、偽情報の拡散で混乱を招いたりする攻撃も増えている。フィッシング攻撃も、ターゲットの行動パターンや個人情報をAIで解析することで、より精緻なメッセージを生成することが容易になっている。

　「攻撃自体もより簡単に行えるようになっています。誰もが使えるAIツールが普及したことで、攻撃者の参入障壁が低くなり、デバイス／アカウントへの侵害成功率が高まっています」とOkta Japanの板倉 景子氏は警鐘を鳴らす。

　国内でも生成AIを用いたサイバー攻撃の事例が登場している。2024年には生成AIを使ってランサムウエアを作成した男に有罪判決が下されたほか、生成AIで携帯電話大手のシステムに不正ログインし、回線契約を行った中高生3人が逮捕された。攻撃のすそ野が一気に拡大していることが分かるだろう。

　「さらに近年の傾向として、多くのデータ侵害がIDやパスワードなどのアイデンティティ攻撃に関連することが明らかになっています。大半のパスワードを1分以内にクラッキングできるAI『PassGAN』なども登場しており、既存の防御策だけで守ることは困難になっています」と板倉氏は言う。

　アイデンティティは自社のオンプレミスシステムだけでなく、SaaSや取引先システムなどにも存在する。クラウドやリモートワークの普及によってネットワークアクセスが多様化している今、攻撃者はAIなどの高度な手法を使ってアイデンティティを不正に入手し、あたかも正規のアクセスと見せかけて情報を窃取しようとしてくるのだ。

　AI技術を活用した攻撃に対し、企業はどのように備えるべきなのか。これについてOktaは、複雑化した環境を包括的に保護するアプローチを提唱している。

　「認証を行う瞬間だけでなく、アイデンティティが生まれてからなくなるまでのライフサイクル全体を守る視点が不可欠です。アクセス管理やガバナンス、特権管理、脅威の検出といった施策を自動で連携するようにし、アイデンティティを守る仕組みを実現するのです」と板倉氏は述べる。Oktaのプラットフォームを利用することで、これを実現できるという（図1）。 　同時に、個別の対策も必要だ。一例としてOktaが提案するのが「Okta FastPass」である。

　これはユーザー認証に公開鍵暗号を使用することで、パスワードなしの認証を可能にするソリューション。パスワードの漏えいにかかわるリスクをなくすほか、認証時の手間も削減することが可能だ。

　「Okta FastPassでは資格情報をドメインと関連付けているため、別のドメインを持つ偽サイト、フィッシングサイトでは認証が成功しません。認証はスマートフォンやセキュリティーキーなどの認証器に基づいて担保します」（板倉氏）

　さらに、高度化する攻撃に備える上で重要なのが、守る側もAIを活用するアプローチである。目には目を、「AIにはAIを」というわけだ。

　例えば、自社アプリケーションをリリースする前の脆弱性診断にAI技術を活用すれば、攻撃者の狙い目になる脆弱性を、効率的かつ網羅的に見つけ出して修正できる。マルウエア対策においても、従来のシグネチャベースの検出だけでなく、AIの振る舞い分析や強化学習を活用することで、検出精度を大幅に高めることができるだろう。

　「ディープフェイクに対しても、ディープフェイク検出AIやブロックチェーンと組み合わせた改ざん検出などで不審なものを早期に見つけられるようにします。脅威を検出したら、AIを用いて自動修復を行い、次の攻撃への対策を強化するのです」と板倉氏は話す。

　Okta自身も社内でAI技術を積極的に活用しているほか、ソリューションへの実装も進めている。一例が、2024年にリリースした「Identity Threat Protection with Okta AI」（以下、Okta AI）だ。認証に成功したデバイスを継続的に監視し、IPアドレスの変化や連携する他社製SASEなどから得られる情報を基に不審な動きを検知する（図2）。 　「高リスクなアクションがあった場合は、アプリケーションへのアクセス権を無効化するなどの対応を行います。これにより、認証時だけでなく、認証後を狙った攻撃にも対応することが可能です」と板倉氏は強調する。

　この認証後の攻撃を防ぐことは、アイデンティティ保護の世界で近年、重要度を増している取り組みだ。なぜなら、一度認証したユーザーやデバイスに対しては、監視の目をゆるめる企業・組織が多く、そこが攻撃者の狙い目になっているからだ。

　「しかし油断は禁物です。例えば、インフォスティーラー（Infostealer）というマルウエアを使って、ブラウザに保存されているセッショントークンを盗み出す事例が確認されています。またフィッシング攻撃により、攻撃者が制御する透過プロキシ経由でサインインをさせて、セッショントークンを傍受するケースもあります」（板倉氏）。このような手口から情報を守るには、認証後のセキュリティーも強化するOkta AIが有効だという。

　なお、AIによるセキュリティー対策が重要であることが分かっても、プライバシーやコンプライアンスの観点で、AI活用に懸念を感じる経営層は多いだろう。これについてもOktaはソリューションを提供している。

　「AIを正しく、安全に活用する上でも、アイデンティティがカギを握ります。例えば、強力なアクセス制御によってAIへの不正なアクセスをブロックする。あるいは、誰がいつアクセスしたのかのログを可視化して、監査性を担保する。このような仕組みもOktaで実現できます。ガバナンスを利かせたAI活用を具現化できるはずです」と板倉氏は語る。

　またチャットボットなど、生成AIを組み込んだサービスを外部提供する企業の場合は、AIを安全に実装するためのノウハウやテクノロジーも必要になる。このニーズに対しては、顧客ID統合ソリューション「Auth0」を用意。生成AIをサービスに安全に組み込み、アイデンティティを保護しながら活用できるようサポートしているという。

　攻撃者が新たな手法を次々と生み出し、従来の防御策では対処が難しくなっている今、企業はセキュリティーリスクをリアルタイムで把握し、適切な対策を講じる必要がある。特に狙われやすいアイデンティティの防御に向けては、包括的な可視化とコントロールを実現するOktaのプラットフォームが、強力な武器になるだろう。