高度なランサムウェア攻撃によりAIによるサイバー防御の必要性が浮き彫りに

Deep Instinct の CIO である Carl Froggett 氏は、2024 年に予算の重点がランサムウェア防止テクノロジーにシフトすることについてインタビューで語りました。同氏は、AI、特にディープラーニングがビジネス プロセスにさらに統合され、ワー​​クフローを自動化し、職場のエクスペリエンスを形成すると予想しています。

ランサムウェア攻撃の新たな傾向と、企業はどのように AI テクノロジーを活用してそれに備えることができるのでしょうか?

Deep Instinct の新しいデータによると、2023 年にはランサムウェアの被害者の総数が大幅に増加しました。驚くべきことに、2023 年前半のランサムウェア攻撃の被害者の数は、2022 年全体よりも多くなりました。この増加傾向について報告しているのは私たちだけではなく、FS-ISAC のような評判の高い非営利企業もこの問題のある傾向を認めています。

これは、業界として、現在の体制が失敗しており、変化する脅威の状況に対処するために再び変革する必要があることを明確に示しています。ランサムウェアは「検出して対応する」アプローチの目標を変えます。対応が速すぎることと、新しい亜種に追いつけない古い手法が組み合わさって、被害者が増加している理由の 1 つとなっています。

攻撃者の手法は進化しており、今年の Zimbra や MOVEit のエクスプロイトで見られたように、ランサムウェア攻撃は、多数の被害者に同時に影響を及ぼす大規模なキャンペーンとして実行されるようになっています。悪意のある人物が AI を急速に採用するにつれて、これまで以上に洗練されたマルウェアが継続的に開発されることになるでしょう。

AI の高度な機能のおかげで、ランサムウェアやその他のサイバー攻撃を検出して対応するだけでなく、予防できるようになりました。証拠が示すように、対応だけではもはや十分ではなく、予防第一の考え方に戻り、AI を使用してインフラストラクチャ、ストレージ、ビジネス アプリケーションのさまざまなポイントに予防機能を組み込む必要があります。これは、特にディープラーニングなどの AI 脅威に対抗するために、より洗練された形態の AI を活用することによって、企業が高度なランサムウェアや脅威から真に身を守る唯一の方法です。

ランサムウェアの脅威を識別して軽減する場合、ディープラーニングは標準的な機械学習モデルとどう違うのでしょうか?

すべての AI が同じように作られているわけではありません。これは、ディープラーニングと機械学習ベースのソリューションを比較すると特に顕著になります。ほとんどのサイバーセキュリティ ツールは機械学習モデルを利用しています。これは、セキュリティ チームにとって脅威の防止という点ではいくつかの欠陥があります。たとえば、これらの製品は利用可能なデータの限られたサブセット (通常 2% ～ 5%) でトレーニングされており、未知の脅威に対する精度は 50% ～ 70% に過ぎず、誤検知が多く発生します。また、機械学習ソリューションは、人間の介入をかなり必要とし、小さなデータセットでトレーニングされるため、人間の偏見やエラーにさらされます。

対照的に、デジタル ライブラリはニューラル ネットワーク上に構築されているため、その「脳」は生データに基づいて常に自己トレーニングを行っています。ディープラーニング モデルは悪意のあるファイルの構成要素を理解するため、将来の悪意のある動作を予測し、未知の脅威、ランサムウェア、ゼロデイ攻撃を検出して防止できる予測防止ベースのセキュリティ プログラムを実装および展開できます。

デジタル ライブラリを基盤として使用するビジネスとそのサイバーセキュリティ運用の結果は重要です。まず、既知と未知の両方のマルウェアに対して一貫して極めて高い有効性があり、機械学習ベースのソリューションと比較して誤検出率が極めて低いです。ディープラーニングは、これを機能させるには年に 1 ～ 2 回更新するだけで済みます。また、スタンドアロンで実行されるため、継続的なクラウド/ルックアップや情報共有は必要なく、クラウド分析を必要とせず、非常に高速でプライバシーに配慮したシステムとなっています。

ディープラーニング技術はどのようにして誤検知を減らすことができ、企業のコスト削減にどのような影響を与える可能性があるのでしょうか?

セキュリティ オペレーション センター (SOC) チームは、調査が必要なアラートや潜在的なセキュリティの脅威に圧倒されています。従来のウイルス対策ソリューションなどの従来の機械学習ツールを使用すると、どのアラートが本当に調査する価値があり、ノイズではないかをチームが判断するのは困難です。これには多くの理由がありますが、「検出して対応」という理念では大量のデータを収集する必要があり、その保存と維持にはコストがかかり、SOC メンバーなら誰でもわかるように、誤検知率が非常に高くなります。

これは SOC の有効性に影響を及ぼします。企業を保護できなくなるだけでなく、SOC チームを維持する能力にも影響を及ぼします。誤検知アラートへの対応は量が多く、時間がかかるため、セキュリティチームの精神的健康に悪影響を及ぼしており、SOC チームの半数以上が「人員とリソースの制約」により過去 12 か月間でストレス レベルが上昇したと述べています。適切なテクノロジーが導入されていないと、すでに人材不足に悩まされている SOC チームは、日常的な監視タスクに集中せざるを得なくなります。

ディープラーニングを活用したソリューションは、この問題に正面から取り組み、非常に正確なため誤報率が極めて低く、SOC チームが実際の実用的なアラートに集中して、より迅速かつ効率的に脅威を特定できるようにします。実際の脅威に時間を費やすことで、脅威への対応を最適化し、より積極的な脅威ハンティングに取り組むことができ、企業のリスク対応力が大幅に向上します。

企業が 2024 年の予算を準備し始める中、ランサムウェア防止テクノロジーへの投資を優先すべきでしょうか?

CEO の 62% が、過去 1 年間でランサムウェアが最大の懸念事項であったと回答しており、2024 年には企業が予算をシフトし、ランサムウェア、既知および未知の脅威、その他のマルウェアを阻止するための予防技術に投資するようになると考えられます。

業界全体としては、従来、保護を提供するためにエンドポイント検出および対応 (EDR) などの時代遅れのリアクティブ ソリューションに依存してきました。 EDR ツールは後から見れば依然として有用ですが、組織が EDR ツールに投資するだけでは、「侵害を想定」して修復作業が成功することを期待していることになります。証拠から判断すると、このアプローチは脅威の状況の変化により毎年急速に失敗していることは明らかです。これは、シグネチャ ソリューションが最終的に失敗し、同じ転換点にある EDR に頼ったのと同じです。

実際、IDC は最近、企業がより優れた EDR 機能を求め、より効果的なサービスに傾倒するにつれて、エンドポイント保護が一種の復活を遂げると予測しました。 EDR はハネムーン後の段階にあり、予測的予防が完全に機能し、攻撃がネットワークに侵入する前に阻止します。

AI によってもたらされるますます巧妙化する脅威に対抗する唯一の方法は、「侵害を想定する」考え方から、サイバーセキュリティに対する積極的かつ予防的なアプローチに移行することです。セキュリティ チームは、従来のツールでは AI との戦いに勝つことはできません。代わりに、企業は、進化する AI の脅威の量と速度を遅らせるために、ディープラーニング モデルを使用してネイティブに構築されたサイバーセキュリティ ソリューションを必要としています。 2024 年には、セキュリティの回復力を強化し、攻撃が成功する可能性を減らすために、企業が予算に余裕を持って高度な AI テクノロジーをサイバーセキュリティ戦略に統合するようになるでしょう。

今後 1 年間で AI、特にディープラーニング モデルがビジネス プロセスにさらに統合されるようになると予想しますか?

2023 年には AI が登場し、2024 年には AI がビジネス プランニング、プロセス、意思決定の一部となるでしょう。これには、たとえば、ワークフローの自動化、プロセスの最適化、AI アシスタントに表示されるアラートの優先順位付けなどが含まれます。これらの追加機能は、現時点では妨げにはなりませんが、役立つだけです。

さらに、AI が完全に統合されるにつれて、トラブルシューティング、停電、セキュリティ インシデントなどの職場のタスクのほとんどが AI によって自動化されるため、若い世代はこれらのタスクに関して同じ実践的な経験を持たなくなります。リーダーにとっての疑問は、「労働力の基礎を学ぶ機会が奪われた場合、どのようにして人々のスキルとキャリアを開発し、形成し続けるのか」ということになるでしょう。この疑問への答えは来年末までに出ると思います。