もはや企業のDXに欠かせないツールとなりつつある生成AI。既に情報の検索、文書や議事録、画像の作成などに広く利用されているが、こうした状況はリスクと隣り合わせでもある。まず懸念されるのが「シャドーAI」だ。事業部門や個人が会社の許可を得ずに勝手に利用を始めてしまうと、情報システム部の管理下にないため統制が利かない。その結果、生成AIにインプットする情報の中に、会社の重要情報やID/パスワード、顧客の個人情報などを不用意に提供してしまうことがある。意図せず、重大な情報漏えいにつながるリスクがあるわけだ。
生成AIが提供する情報も100%安全とは言い切れない。有意義な情報を提供してくれる一方、なかには悪性コンテンツへのリンクも含まれている。うっかり“地雷”を踏めば、これも情報漏えいにつながってしまう。意図しない情報流出や悪性コンテンツの混入はシャドーAI特有のリスクではない。会社が許可したAIでも起こり得るため、警戒が必要だ。
セキュリティリスクはこれだけではない。攻撃者がAIを新たな武器として活用し始めているのだ。侵入から情報窃取までの時間は、2021年は平均9日だったが※1、2024年にはその時間が大幅に短縮。5件に1件はデータ流出までの時間が1時間を下回っていたという※2。脆弱性を見つけたり、情報を搾取する手順が生成AIによって効率化されたりしたことで、大量の重要情報が瞬く間に抜き取られてしまう。「従来型のセキュリティ機能では検出できないゼロデイが増えていくことが想定されます」とパロアルトネットワークスの和田 一寿氏は警鐘を鳴らす。
一方で、防御側の対応時間も短縮傾向にはあるものの、攻撃者のスピードには追いついていないのが実情だ。2024年には攻撃者が検出されずに被害者環境に潜伏している期間は平均7日間と、前年の13日間から約半分に短縮された。これは2021年の26.5日から継続的に短縮されていることを示しており※2、攻撃の迅速化が顕著に進んでいることが分かる。防御側も対応の迅速化を進めてはいるが、依然として侵入から情報搾取までのスピードには追いつけておらず、変容するサイバー攻撃に対抗するには不十分な状況だ。
※1 Unit 42 Incident Response Report 2024
※2 Unit 42 Incident Response Report 2025
AI特有のセキュリティリスクに対抗するためには、守る側も対策をアップデートする必要がある。その取り組みは大きく3つの戦略が重要になる。
1つ目は「AI利用のガバナンスを強化すること」。「ユーザーのAIアクセス状況に加え、AIにインプット/アウトプットされるデータを適正に管理する必要があります」と和田氏は指摘する。
2つ目は「既存のセキュリティ対策にAIを実装していくこと」。攻撃者はAIを使って手口を巧妙化させ、より早く、より大量に攻撃を仕掛けてくる。守る側もAIを活用して防御力をより強靭化・効率化する必要がある。
3つ目は「セキュリティ運用の自動化」だ。AIで進化する攻撃はその質も量も従来とは桁違いだ。また、複数領域を狙う多面的な手法が増加し、包括的な防御が求められている。これでは、ログやイベントの解析は人海戦術では追い付かない。「守る側もAIを使って効率化を図るわけです。これにより、迅速・確実な脅威の検知と阻止が可能になり、影響範囲の特定や分析もよりスピーディに行えます」と和田氏は説く。
AIで変容するセキュリティリスクに対応するため、パロアルトネットワークスはこの3つの戦略に沿ったアプローチを展開しているという。
まず1つ目のAI利用のガバナンス強化には、効率的で実効性の高いAIアクセス管理が欠かせない。そこで生成AIのリアルタイム可視化、アクセス制御、包括的なデータ保護を実現する多様なソリューションを提供している。「誰が、いつ、どの生成AIを利用しているか」というリアルタイムの利用状況を可視化し、非認可生成AI利用のブロックや、セキュリティポリシーの遵守を促す。どんなデータが使われているかを監視し、社外秘のデータに該当すれば、警告を発したり利用を抑止したりすることも可能だ。
2つ目の既存セキュリティ対策のAI実装も進めている。昨今は攻撃者がAIを活用することで、マルウエアの亜種を容易に作成できるようになった。今まで人が思いつかなかったようなやり口やコードをAIで生成し、守る側を欺く攻撃もある。そこで機械学習、ディープラーニング、生成AIを組み合わせたソリューションをネットワークセキュリティに組み入れた。これにより、守る側を欺く新種や亜種のマルウエアも瞬時に解析することが可能だ。
最後に3つ目のセキュリティ運用の自動化を推進する中核ソリューションが「Cortex XSIAM(コーテックス エックスサイアム)」である。アナリティクスやインシデント対応の自動化、アタックサーフェスマネジメントといった機能を統合。ここに様々なソースのデータをまとめ、それをAIが分析・処理する。これにより、膨大なイベントの中から、本当に対策が必要なインシデントを絞り込んでいく作業を自動化できるという。
Cortex XSIAMのデモ動画
各種ソースから集約されたデータがAIによって処理され、自動で解決されるインシデント、人の判断が必要なインシデントに振り分けられる様子が確認できる
パロアルトネットワークスでは、Cortex XSIAMを自社SOCに活用。1日900億に及ぶ、人海戦術では対応し切れない膨大なイベント処理を自動化し、最終的に本当に対処が必要なインシデントを75にまで絞り込み、そのうち10を完全自動化、残り65も部分自動化した。これによりSOCメンバーの人数はそのままで、従来より増加したインシデント数を適切に処理し、その対応時間も大幅に短縮。年間ベースで約65人月分のコスト削減につながっているという(図1)。
図1 パロアルトネットワークスにおけるSOC運営のイメージ
パロアルトネットワークスのSOCではCortex XSIAMを活用することで精密な脅威の把握と運用の自動化を実現。1日あたり900億ものデータを13名のアナリストでカバーしている。しかもセキュリティインシデントの平均検出時間は7分、セキュリティインシデントに対する最初の応答にかかる時間は平均わずか1分だという
進化する脅威への対抗力は3つの戦略を駆使することで高まっていくが、注意すべきポイントもある。それは「シングルポイントのソリューション導入では効果は限定的になる」という点だ。機能やデータがバラバラなプロダクトを導入し続ければ、セキュリティ環境が「個別最適」の状態に陥ってしまう。これでは一貫性のあるポリシーで守ることは難しい。
「データや運用がバラバラだと、運用の負荷が上がり、脅威検出やインシデント対応の時間も長引いてしまう。プロダクト間の機能の重複や運用ベンダーが増えていくことで、過剰投資になり、コスト負担も増大しています」と和田氏は指摘する。
これを回避するには、AIを活用することに加え、個別最適になりがちなセキュリティ環境を全体最適に変えていく必要がある。この実現に向けて、パロアルトネットワークスは「Platformization」という独自のアプローチを推進している。
「これは『必要なセキュリティ機能を1つに統合し、すべてをプラットフォーム化していく』というコンセプトに基づくもの。シングルポイントソリューションを個別に提供していくのではなく、多様なソリューションをプラットフォームとして提供し、包括的なセキュリティ対策を実現します」と和田氏は説明する。この考え方に基づいて、多様なセキュリティ機能を「ゼロトラストプラットフォーム」や「SASEプラットフォーム」に、運用自動化の支援機能を「SecOpsプラットフォーム」に統合し、プラットフォーム化を進めている(図2)。
図2 Platformizationの全体イメージ
各プラットフォームに実装された先進のAIセキュリティ機能があらゆる環境を包括的に防御する。収集されたデータもAIで分析することで、被害や影響範囲の特定、復旧作業などを効率化・自動化できる
以前は社内ネットワークを守るセキュリティ対策が主流だったが、近年はクラウド利用やハイブリッドワークが進んだ結果、守るべき領域が社外にまで広がり、複雑・多様化している。シングルポイントソリューションの組み合わせでは導入も運用も煩雑化する。設定や更新に漏れがあれば、そこが脆弱ポイントになる。
Platformizationはデジタル化に歩調を合わせた新たなセキュリティアプローチでもある。「新たな脅威が発生した際は、その機能をプラットフォームに組み込む。お客様は新たなツールを個別に導入する必要がなく、統合的な環境で守りを強化し、運用も効率化できます」と和田氏はメリットを述べる。
セキュリティに関するデータ活用を高度化できるのもPlatformizationの大きなメリットだ。すべてのユーザー、トラフィック、アプリケーションに関するデータを統合されたプラットフォームで収集可能になるからだ。その中で徹底的にAIを活用していく。「これにより、脅威発見のスピードを上げるとともに、被害や影響範囲の特定・分析、迅速かつ適切な報告、復旧作業なども効率化・自動化できるようになります」と和田氏は続ける。

なぜパロアルトネットワークスがこうした独自の戦略がとれるのか。それは以前から積極的なM&A戦略を展開し、先進的なテクノロジーやセキュリティソリューションのプラットフォーム化を進めてきたからだ。「製品ポートフォリオを拡充することだけに終始せず、企業セキュリティ強化と運用の効率化をいかに最大化するか。そのための投資と開発を推進してきました。Platformizationはその集大成ともいえるものです」と和田氏は話す。
同社が提供するのはソリューションやプラットフォームだけではない。それを自社に最適な形で使いこなし、その効果を最大化するためのサポートも行っている。その一環として、3年後、5年後を見据えたセキュリティのあるべき姿やそれに向けた変革へのロードマップを顧客と共に描くサポートも行っているという。
外部SOCの利用者であっても、自組織でデータを直接保持・解析し、アクセス可能にすることの意義は大きい。和田氏はその理由を次のように説明する。「外部SOCからの情報だけでは、インシデントの背景理解が不十分で、隔離などの重要な判断が難しくなりがちです。対して、自社で全てのデータにアクセスできれば、状況を多角的に把握し、より確かな判断を下すことができます。また、通常の監視では検知しにくい内部不正といったリスクにも、対処可能になります」。
個別のツールを導入する都度対応では脅威の進化スピードに太刀打ちできない。今後もパロアルトネットワークスは独自のPlatformization戦略を軸に、AI時代を先取りした実効性の高いセキュリティ対策の実現を支援していく考えだ。
お問い合わせ
パロアルトネットワークス株式会社
URL:https://www.paloaltonetworks.jp/