[Sponsored]

2024年6月21日(金)

セキュリティ対策においてもAIの活用が加速

　ビジネスにおいて急速に活用が広がりつつあるAI（人工知能）。特に近年では、OpenAIが公開した「ChatGPT」に代表されるような「生成AI」に対する期待は大きく、チャットボットをはじめ、マーケティング調査や企画、文書生成、さらにはコーディングなど、様々な業務での利用が進められ始めている。

　ビジネス利用だけでなく、セキュリティ対策でもAI活用が拡大している。AIの利用がセキュリティ対策強化の有効策として着目されている背景には、サイバー攻撃の高度化・巧妙化がますます加速し、既存のセキュリティ対策では検知や対応が困難になっていることが挙げられる。加えて、企業・組織において浮上しているセキュリティ人材の不足や運用負荷の上昇といった様々な課題を解決するものとして期待されているからだ。

　ここで改めて、AIの定義と、セキュリティ分野で活用される技術について整理しよう。

　そもそもAIとは、人間の認知機能を模倣するコンピュータシステムの能力のことであり、学習を通じて、様々な問題解決を行うものである。その派生機能は、主に以下に分類される。

①機械学習(Machine Learning)：データの数学的モデルを使用することにより、直接的な指示をせずともコンピュータが学習できるようにするもの。セキュリティ分野では、既知および未知の攻撃に対する監視や特定、検出などが主な活用例だ。

②深層学習（Deep Leaning）：画像認識のような複雑な目標を達成するために、人間の脳の生物学的神経ネットワークの「深い」層にインスパイアされた、計算量の多い機械学習モデルを使用するもの。機械学習同様に、AIが既知／未知の攻撃を予測・検知、防御を行い、より高度なセキュリティ対策を実現する。

③生成AI（Generative AI）：アルゴリズムとテクニックの活用により、新たなデータの生成を可能とするものである。OpenAIのChatGPTのほか、 Google Gemini等が知られている。セキュリティ分野では、多種多様な脅威に対する情報の管理や分析の支援、さらにはツールの開発など、幅広い場面での活用が期待されている。

　これまでセキュリティ対策では、AIがどのような機能で活用されてきたのか、NIST（米国立標準技術研究所）が定義したコンピュータセキュリティインシデント対応ガイド「NIST SP800-61」に照らし合わせながら、さらに詳しく見ていこう。

　NIST SP800-61では、セキュリティ対策に必要な項目について、「準備」「検査と分析」「封じ込め・根絶・復旧」「事件後の対応」として定義している。その中でも実施にITの活用が主軸となる「検査と分析」に焦点を当てた場合、図中に示した「攻撃手法」「インシデントの兆候」「前兆と兆候のソース」「インシデント分析」「インシデントの文書化」「インシデントの優先順位」「インシデントの通知」の７つのフェーズが対応項目として示されており、これらを強化する手段としてAIの利用が期待されている。

　Splunk Services Japan合同会社 セキュリティ・ストラテジストの矢崎誠二氏は、「例えばランサムウェアに感染した場合、EDR等によって通知が行われますが、重要なことは感染前にインシデントの兆候を掴むことです。つまり、ふるまい検知ロジックをより強化してインシデントの発生に事前に対応できるようにする。そのための機能強化がAI活用の一例として挙げられます」と説明する。

　「インシデントの分析・文書化においても、発生した複数のセキュリティイベントの関係性を分析するにあたってAIが大きな効果を発揮します。セキュリティインシデントの発生時には、単一のホストで発生する疑わしいイベントの数は膨大な量になるケースが多く、これをひとつひとつ人間が分析を行い、対策の優先度を決め、レポート化するのは現実的ではありません。そこで、生成AIが各イベントにおける重みづけを実施したり、要約を行ったりすることで、セキュリティ対策の優先度を定めたり、レポート化したりするのを支援してくれます」（矢崎氏）

　その一方で、AIの活用が難しいケースも存在する、と矢崎氏は強調する。

Next: AIを用いたセキュリティ対策の課題とは