■脅威に対抗するためのAI
AI/AIエージェントを悪用した攻撃は、規模・スピード・洗練度のあらゆる面で従来の攻撃を凌駕する。より多くのターゲットに簡単に到達できる上、シグネチャーが作成されるよりも早く攻撃を仕掛けてくるため既存の防御が通用しない。「今後はすべての攻撃がゼロデイ攻撃になりかねません。AIのパワーで『盾』の防御力を高めることが肝心です」と久國氏は説く。
同社によれば、防御側のAIに求められる要素は「リアルタイム性」「場所や経路を問わない一貫した体制」だという。
例えば、今後はたとえ未知の脅威でも、リアルタイムに中味を識別してブロックできることが重要になる。できるだけ大量かつ多種多様なデータを継続的にAIに学習させることで、高精度なAIモデルをつくり上げることが肝心だ。
また、どれだけ強力な防御機能があっても、それが一部の経路や領域でしか働かないのでは意味がない。あらゆる場所で「盾」の威力を発揮できることが不可欠になる。
「これらを満たす環境を実現するのが、当社の『Precision AI』です。機械学習、ディープラーニング、生成AIを組み合わせた独自のAIで、最大54億件/日以上の新しいイベントを分析・学習しています。これが当社の様々なソリューションと連携しながら、1日に309億件以上の攻撃を遮断しています」と久國氏は説明する。AIを実装していない従来型のセキュリティーソリューションでは、脅威に気付くことすら難しい時代になっている。
■AIによるセキュリティー運用のシンプル化
これまでのSOCの運用には属人的な作業が多く、専門のアナリストが様々なツールを使い分けて対応することが一般的だった。これでは担当者が疲弊してしまう上、「人の100倍高速」と言われるAI攻撃にも対処できない。
「AI駆動型セキュリティー運用プラットフォーム『Cortex XSIAM(コーテックス エクサイアム)』が、この状況を抜本的に変革します。これまでアナリストが手作業で行っていた監視分析やトリアージ、調査といった作業を、AIと自動化によってリアルタイムに処理します。アナリストはすべての情報が整った状態から作業を開始できるため、数時間から数日ほどかかっていた対応時間を、1時間から数分にまで短縮できます」と久國氏は紹介する(図1)。
様々なデータソースからデータを取り込んで分析を行うという点で、Cortex XSIAMのアプローチはSIEM(セキュリティー情報イベント管理)に近いものといえる。しかし、SIEMではデータ取り込みや分析検知ルールの作成などのプロセスを人手でつくり込む必要がある。Cortex XSIAMにはデータ取り込みから相関分析、検知までを自動化する事前定義された分析AIが搭載されている。そのため、データソースにつなぐだけですぐにAIによるリアルタイム分析・検知が行えるという。
分析AIには独自の機械学習モデルも搭載。外部脅威だけでなく内部不正のリスクにも対応可能だ。また、SOARエンジンによる運用自動化に加えて、検知後の対応プロセスを支援・代行するAIエージェントも提供される。
「増えすぎたセキュリティー製品を削減し、AIを軸としたシンプルな体制にシフトできます。SOCの運用を変革し、MTTR(平均修復時間)をリアルタイムに近づけることができるでしょう」(久國氏)
