NECは2017年5月8日、AI(Artificial Intelligence)技術を活用して、サイバーセキュリティのアナリストが行う顧客システムの監視業務の高度化・効率化を支援する「脅威分析システム」を開発し、サイバー攻撃対策の運用を支援する中核拠点「サイバーセキュリティ・ファクトリー」に本格導入したと発表した。
「脅威分析システム」は、様々なセキュリティ機器から収集した大量のアラート通知に関係するパケット情報を分析することで、過去に事例のあるパケット情報との類似度を可視化し、アナリストが行う脅威レベルや誤検知の判別を支援する。過去のパケット情報の分析結果とアナリストの判断結果を学習し、対処不要なアラート通知や誤検知を削減することも可能だ。脅威レベルの高いサイバー攻撃を優先的に分析可能になる。
具体的には、ファイアウォールやUTM(Unified Threat Management)、IDS/IPSなどのセキュリティ機器から収集した大量のアラート通知に関係するパケット情報を分析して、過去事例のあるパケット情報との類似度を可視化する。
過去のパケット情報の分析結果とアナリストの判断結果を学習し、アラート通知を分類するためのフィルタリングルールを自動生成する機能を搭載している。脅威レベルが低く対処不要なアラート通知や誤検知を削減可能だ。
分析に必要な情報を1つの画面上で統合的に表示するUI(User Interface)を備えており、アナリストの分析時間を短縮する。
NECは、サイバー攻撃対策の拠点「サイバーセキュリティ・ファクトリー」で、同社および同社グループのセキュリティ専門企業であるインフォセック(現NECセキュリティ)のアナリストが顧客向けの監視サービスを提供している。
同拠点で提供する監視サービスに同システムを試験導入したところ、アナリストが分析対象とするアラート通知の件数が従来の3分の2となり、監視業務の負荷を軽減できたとしている。