ネットワークセキュリティ運用保守サービスにおける人工知能の応用

近年、国内外のサイバーセキュリティ情勢はますます複雑化しており、従来のモデルでは国民経済の生命線に関わる重要な情報インフラを効果的に保護することができません。ネットワークセキュリティ運用保守サービスは、「プロの警備員」として、重要な情報インフラの総合的な防御力の構築に努めています。しかし、人工知能、ビッグデータ、クラウドコンピューティング、5G、モノのインターネット、エッジコンピューティングなどの新技術の発展と応用により、大量の重要な情報が膨大なデータの中に埋もれ、発見して有効活用することが困難になっています。そこで、私たちは人工知能を出発点として、人工知能がネットワークセキュリティ運用・保守サービスにどのように力を与え、スマート運用のための新しいアイデアを生み出し、実際の運用・保守サービスプロセスにおけるインテリジェンスや自動化などの問題を解決できるかを研究しています。

[[315442]]

習近平総書記は「4月19日」の演説で、「ネットワークセキュリティに対する正しい認識を確立し、重要情報インフラのセキュリティ保証システムの構築を加速する必要がある」とし、「我が国の重要情報インフラのセキュリティを確保するために、綿密な研究を行い、効果的な対策を講じなければならない」と明確に指摘した。我が国のネットワークセキュリティ状況の継続的な発展に合わせて、レベル保護2.0も保護対象、保護内容、標準システムなどの面でアップグレードされました。

デジタル経済の急速な発展とビッグデータ技術の徹底的な応用により、デジタル資産は企業や国家にとって新たな成長の原動力となり、また世界各国にとっての「戦場」にもなっています。サイバーセキュリティはデジタル経済の礎となり、その礎が信頼できるかどうかは、サイバーセキュリティの全体的な運用・保守サービスに新たな要求を投げかけることになるでしょう。人工知能、クラウドコンピューティング、ビッグデータ、エッジコンピューティングなどの新技術の継続的な開発と応用により、サイバー攻撃はより多様化し、知能化や自動化などの特徴を備え、攻撃のターゲットは純粋に個人的な「技術力を誇示する」ことから経済的、政治的利益の追求へと変化しました。これは従来の「製品提供」モデルに疑問を投げかけ、「購入セキュリティ目標」に対する新たな要件を提示します。

5G の適用により、あらゆるもののインターネットが現実のものとなりました。ネットワーク侵入はデジタル世界に影響を与えるだけでなく、あらゆるものを接続するデバイス、メディア、ソーシャル プラットフォームにも大きな影響を及ぼします。企業情報システムの強い相関関係と結合により、ネットワーク侵入は点から面へと急速に広がります。したがって、単一点保護から点対面の組み合わせおよび総合保護への拡張が急務となっています。上記の分析は、デジタル駆動力の重要性、技術開発の多様性、および関連する影響の広範さに基づいています。製品の納品によって建設を完了するという従来のオフラインモデルは、急速に発展する情報化社会をサポートするにはもはや不十分です。新しい時代の納品能力と目標に基づく全体的な運用および保守サービスモデルに適応することがトレンドになっています。包括的、多レベル、全次元のネットワークセキュリティ運用および保守サービスシステムを構築することによってのみ、企業のネットワークセキュリティを保護することができます。

01ネットワークセキュリティ運用保守サービスの隠れた危険性

ネットワークセキュリティの運用・保守サービスと能力構築は、システムのライフサイクル全体とビジネスセキュリティのニーズを起点として行われます。フロントエンドでは、企業のセキュリティニーズに基づいてセキュリティの計画と設計を行い、同時に計画に従ってセキュリティの開発、構築、テスト、評価を実行します。評価は実際の運用保守サービス段階に入り、セキュリティインシデントの監視、セキュリティインシデントの処理、セキュリティインシデントの分析と予測、セキュリティ監査の追跡などを実施します。同時に、企業のセキュリティ技術者のセキュリティスキルとセキュリティ意識を向上させるために、セキュリティ技術認定トレーニングを実施します。

前述のネットワークセキュリティ運用保守サービスシステムアーキテクチャでは、運用保守フェーズで手作業による処理が必要となる作業が大量に発生し、膨大な量のセキュリティデータをタイムリーに分析・処理する必要があります。技術者だけに頼って手動で分析や処理を行った場合、最善の防御の機会を逃し、攻撃と防御のバランスが完全に侵入者側に傾き、企業の重要な情報インフラに深刻な脅威をもたらします。以下では、ネットワーク セキュリティ運用保守サービスが直面する課題のいくつかを 3 つの側面から分析します。

（1）従来のネットワークセキュリティ保護モデルは、ネットワークセキュリティ製品を購入し、セキュリティベンダーが構築と納品を完了するのを待つというものです。シングルポイントネットワークセキュリティ機器は、主にオフラインセキュリティ保護の実装に使用されます。セキュリティポリシーの構成、システムのアップグレード、トラブルシューティングなどは、セキュリティベンダーの技術スタッフに大きく依存しています。ユーザーの技術スタッフは、機器の適応性が低く、過度に機械的な性質のため、タイムリーに対応できません。セキュリティ環境がますます複雑化する中、未知の脅威だけでなく、既知の脅威に対しても効果的かつタイムリーに防御することは困難です。

（2）企業はそれぞれ主な責任と業務を持っており、セキュリティは一般的に情報技術部門の管轄下にあります。専門的なセキュリティ人材は情報技術保守要員のごく一部を占めるに過ぎず、企業が本格的なセキュリティ人材チームの構築に投資することは困難です。そのため、企業内のセキュリティ技術者の数とレベルは限られており、特定のセキュリティ問題しか解決できず、点から面へと体系的に拡張できず、ライフサイクル全体と全次元の運用保守管理を実現できません。

（３）膨大な内部・外部トラフィックデータには、大量の有用なセキュリティ情報が隠されています。手動でのデータ分析は明らかに非現実的です。データ特徴抽出が完了する前に、新たな攻撃の波が来る可能性があります。攻防戦は時間との競争であり、セキュリティデータの効率的なマイニング、分析、活用が不足していることがわかります。データトラフィックの異常を鋭く把握することは不可能であり、セキュリティリスクを効果的に予測、評価、警告、防御することは不可能です。

まとめると、1 つ目は技術者への過度な依存の問題、2 つ目は水平および垂直の運用と保守の完全なカバーの問題、3 つ目は動的に変化する脅威に対処するための適時性の問題、4 つ目は膨大なセキュリティ データの分析と活用の問題です。人工知能は人間の思考を模倣し、自己最適化学習を行うことで人間の欠点を補います。手動操作と比較して、数秒で多くのデータ問題を処理できます。この記事では、人工知能がネットワーク セキュリティの運用および保守サービスにどのように力を与え、インテリジェントな運用の新時代を切り開くことができるかについて説明します。

02AIがネットワークセキュリティの運用・保守サービスに力を与える

人工知能技術のアーキテクチャは図 1 に示されており、基盤、技術、アプリケーションの 3 つの層に分かれています。基本層にはコンピューティング能力とデータリソースが含まれ、人工知能全体の中核となります。技術層にはアルゴリズム、モデル、知識ベース、機能ライブラリなどが含まれます。アプリケーション層は、ネットワークセキュリティサービスと組み合わせた人工知能であり、特定のアプリケーションシナリオに限定されず、運用および保守サービスにおける人的要因などの欠陥によって引き起こされる問題の解決に重点を置いています。

図1

大規模グループの人工知能アーキテクチャには多くの従属ユニットが含まれています。これを垂直に拡張し、集中型の運用と保守を理念として、コンピューティングユニットにパブリッククラウドまたはプライベートクラウドをロードし、グローバルな運用と保守を完全に実現します。以下では、ネットワーク セキュリティ運用保守サービスの 3 つの段階 (事前検出、プロセス中の運用保守、事後分析) で実行する必要がある主要なタスクを具体的に分析します。これに焦点を当て、図 2 に示すように、これらのタスクで人工知能がどのように役割を果たしてインテリジェントな運用を実現できるかを検討します。

図2: ネットワークセキュリティ運用保守サービスシステムアーキテクチャ

2.1 データ資産状況の認識

企業のデータ資産は企業の中核資産です。人工知能を使用して、企業のセキュリティ データの学習システムを構築し、さまざまな種類の企業機器、ソフトウェアおよびハードウェア システム、アプリケーション システム、ビジネス システム、管理システムからデータを自動的に収集します。データは複数の次元で関連付けられ、企業のセキュリティ データ資産の状況認識プラットフォームが作成されます。このプラットフォームは、企業の関連資産の使用状況をリアルタイムで動的に表示し、セキュリティ状況に基づいてセキュリティ製品とセキュリティ プロセスを動的に展開し、セキュリティ制御プロセスを強化し、ネットワークの回復力を向上させ、セキュリティ データのリアルタイムの動的分析を実行できます。関連するセキュリティ アラートが優先順位付けされて推奨され、セキュリティを担当するリーダーが参照して意思決定できるように、企業のフルディメンション セキュリティ レポートが自動的に生成されます。

2.2 自動ソフトウェアモジュール検査

ソフトウェア エンジニアリングの発展とオープン ソース コミュニティ コードの充実により、エンタープライズ レベルのモジュール開発は効率性を向上させる一方で、潜在的なリスクももたらします。オープンソース コードには論理と整合性に関する問題があり、非専門企業には数万行、あるいは数十万行のコードを分析するエネルギーと能力がありません。人工知能技術の使用は、コード内のエラーを特定して分析し、未発見の脆弱性を減らし、既存のソフトウェアとハ​​ードウェアの防御レベルを向上させるのに役立ちます。

2.3 高度な持続的脅威（APT）への対抗

企業が直面している最も深刻な脅威は、組織的かつ目的を持って慎重に計画された APT 攻撃です。既知の脆弱性については、ファイアウォールや IDS などの成熟した製品で対処できますが、未知の脆弱性の脅威については、当然ながら手動によるデータ分析に頼ることはできません。 APT 攻撃の複雑さと攻撃者のステルス性が組み合わさると、攻撃者に関する手がかりを発見して追跡するために、大量の内部および外部トラフィック データの取得、およびデータ マイニングと相関分析が必要になります。同時に、ネットワーク セキュリティ運用保守エンジニアは、人工知能技術とリバース エンジニアリングを使用してシステムを改善し、同様のインシデントの再発を防ぐことができます。

2.4 動的システム強化

インフラストラクチャが情報ベースになるほど、攻撃に対して脆弱になり、スタッフ不足や技術的制限というジレンマに直面することになります。人工知能の自動認識技術を活用して、情報システムやソフトウェアの運用上の抜け穴や欠陥を検出し、パッチを設計、生成、実行し、抜け穴をリアルタイムで修復し、真の自動防御機能を実現し、システムの動的な強化を実現します。

2.5 異常な動的検知と攻撃への迅速な対応

攻撃と防御のゲームは動的なプロセスです。ネットワーク攻撃の方法はますます多様化しています。セキュリティ運用保守チームは、関連するテクノロジーを継続的に最適化および調整することによってのみ、継続的な異常と脅威に対応できます。しかし、攻撃側は暗闇に潜む剣士のようなもので、いつ、どんな「技」で攻撃してくるかは誰にもわかりません。不確実性に満ちており、攻撃側と防御側は時間的にすでにバランスを崩しています。人工知能と機械学習を活用し、アルゴリズムと履歴データを通じて合理的なモデルを構築し、さまざまな異常イベントを信頼性の高い方法で分析します。継続的な学習とトレーニングにより、オペレーターが最も必要とする情報を把握し、攻撃が発生したときに攻撃をブロックするための関連する重要な情報をタイムリーに提供できます。また、運用および保守エンジニアが異常イベントに対応するためのソリューションを提供し、攻撃対応プロセスを大幅に短縮し、損失を最小限に抑えます。

2.6 自動トラブルシューティング

大規模なグループ企業を例にとると、本社部門、支社、子会社などの傘下機関では日々大量の業務データやセキュリティデータが生成され、さまざまな障害が頻発しています。一般的な障害を解析して対処するために多数の保守担当者を必要とする場合、運用と保守の集中化にはつながらず、それをサポートする人的資源と物的資源が不足します。この時点で、企業が日々生成するさまざまな種類のネットワーク セキュリティ障害データとソリューション データを分析して保存し、障害イベント機能ライブラリを確立して、ルール ベースとナレッジ ベースを形成し、ネットワーク アラーム データに対して適切なソリューションを自動的に選択して、通信ネットワークとビジネス システムの正常な動作を確保できます。人工知能技術を使用して論理的推論を実行し、潜在的なセキュリティ脅威を分析および判断し、早期警告を提供します。

2.7 全体的な安全保障状況は引き続き提示され、予測されている

企業の通信ネットワーク、ハードウェア、ソフトウェア、システム アプリケーション、ビジネス アプリケーション、およびセキュリティ アプリケーションは、一貫性のないデータ構造と関連する相関関係を持つ大量のセキュリティ データを生成します。セキュリティ運用・保守の専門家がどれほど経験豊富であっても、セキュリティ データを継続的に分析して提示し、セキュリティ データ間の関係性を発見することは不可能です。人工知能アルゴリズムを使用してセキュリティデータの相関分析を行うことで、現状の包括的な評価と傾向予測を生成でき、継続的な状況監視と未知の脆弱性リスクの予測が可能になります。

03 結論

本稿では、データ資産の重要性、新技術の多様性、システム結合の脆弱性から出発して、ネットワークセキュリティ運用保守サービスの重要性と必要性​​を分析します。ソーシャルエンジニアリングの観点から、運用保守サービスにおける人間の限界を分析し、運用保守サービスにおける人工知能の応用を革新的に探求します。インテリジェントで効率的なネットワークセキュリティ運用保守の新しいアイデアを形成し、攻防戦における受動防御の不利な状況を変え、重要な業界の重要インフラのセキュリティを保護します。次のステップでは、アルゴリズムの研究とモデルの構築、特定の問題の分析と解決に重点を置きます。