AIがセキュリティの自動化、分析、対応にどのように役立つか

人工知能 (AI) は、チャットボットから自動運転車まで、あらゆるものを説明するために使用できる幅広い用語です。マーケティング担当者は、時流に乗って波に乗り、自社製品を販売するのが大好きです。

[[184025]]

この記事では、AI、機械学習、ディープラーニングの定義と説明、そしてそれらが情報セキュリティに与える予想される影響について説明します。さまざまなシステムを、伝統的に人間の認知機能と関連付けられる機能として参照することは一般的ですが、一歩下がってこれらの用語が実際に何を意味するのかを調べることは役に立ちます。

サイバーセキュリティ能力の問題

企業のサイバーセキュリティへの対応方法は改善しており、次の 3 つの段階で検討できます。

1. 予防 – わずか 10 年前、企業はハッキングの回避という予防に注力していました。企業は敵を締め出すために障壁を築き、ネットワークを強化します。

2. 検出 – 攻撃の規模と高度化が進んでいるため、企業は潜在的に悪意のある脅威が防御を突破したときに警告を発する検出システムを実装しています。

3. 対応 – 防止システムと検出システムは両方とも自動化され、高速です。しかし、これまで組織は、これらの製品によって生成されたアラートの判定を人間に頼っており、脅威が本物か偽物か、良いものか悪いものかは手動で判断することを期待していました。その結果、対応が遅くなり、繰り返しになり、インシデント対応チームはアラートに圧倒され、進化する脅威の状況に対応する機会がなくなります。

インシデント対応の問題とサイバーセキュリティ人材の不足が相まって、サイバーセキュリティ能力の問題が生じます。 Nuance Communications の CISO である Doug Graham 氏は次のように述べています。

「ツールを購入し、アラートを増やし、それらのアラートを関連付けるために一生懸命努力しても、必要なアクションの量が膨大であるというサイクルに陥るのは簡単です。組織は、このサイクルから抜け出し、アラートの数を減らす方法を見つける必要があります。なぜなら、すべてのアラートを処理するのに十分な人員は決していないからです。」

脅威の規模とそれに対応するアラートに対応する唯一の方法は、セキュリティの自動化であり、人工知能はセキュリティ自動化テクノロジーの重要な部分です。

用語の定義

ウォール・ストリート・ジャーナルの記事で、フェイスブックの人工知能研究ディレクター、ヤン・ルカン氏は「人工知能の次なる展開は何か？」と問いかけた。

記事にはこう書かれている。

人工知能の従来の定義は、機械が人間のようにタスクを実行し、問題を解決する能力です。写真内の物体の認識や車の運転など、私たちにとっては単純に思えるタスクも、AI にとっては非常に複雑です。機械は、チェスをするなど、人間よりもはるかに優れた能力を発揮しますが、これらの機械はプログラミングの人工的な性質によって制限を受けます。30 ドルのガジェットはボードゲームで人間に勝つことはできますが、それ以外のことはできないし、学習もできません。

記事ではその後、AI、機械学習、ディープラーニングについて説明し、これらのテクノロジーがキャリア、経済、人間とコンピューターの相互作用の基盤にどのような影響を与えるかについても説明します。人間の認知に伝統的に関連付けられている機能にさまざまなシステムを導入することは一般的ですが、一歩下がってこれらの用語が実際に何を意味するのかを調べることは役に立ちます。

人工知能とは何ですか?

Wikipedia では AI を次のように定義しています。

人工知能（AI）とは、機械によって発揮される知能のことです。コンピュータ サイエンスでは、理想的な「インテリジェント」マシンとは、環境を認識し、あらゆる目標を達成する成功の可能性を最大化するためのアクションを実行できる、柔軟で合理的なエージェントです。簡単に言えば、「人工知能」という用語は、機械が最先端の技術を使用して、「学習」や「問題解決」などの人間の心の「認知」機能を実行または模倣する状況に当てはまります。

合理的な主体の定義:

経済学、ゲーム理論、意思決定理論、人工知能において、合理的なエージェントとは、明示的な好みを持ち、変数の期待値または変数の関数を通じて不確実性をモデル化し、利用可能なすべてのアクションから常に最良の期待結果を生み出すアクションを選択するエージェントです。合理的なエージェントとは、意思決定を行うことができるものであれば何でもよく、通常は人、会社、機械、ソフトウェアなどです。

コンピュータ システムの分野における人工知能には、次のような人間の認知プロセスを模倣した問題を解決し、タスクを実行できることが求められます。

問題の範囲を理解する

問題解決に役立つ情報源がどこにあるかを知る

外部ソースからデータを取り込む機能

データ分析能力

データ分析に基づいてどのような行動を取るかを決定する

これらのアクションによって問題が解決されたかどうかを判断する

上記のプロセスで明らかになったことが他の場所でも適用できるかどうかを分析する

ネットワーク セキュリティの自動化と分析処理に関連する各側面を見てみましょう。

サイバー脅威の範囲を理解する

サイバー脅威を調査、評価、軽減するために設計された自動化システムは、脅威の範囲と広さも理解できる必要があります。問題の大きさを理解しなければ、そのようなシステムでは問題を完全に解決することはできません。

人間のネットワークアナリストの観点から、一般的なインシデント対応シナリオを見てみましょう。

FireEye などの検出システムが既知の悪意のある IP アドレスに関するアラートをネットワーク アナリストに送信すると、アナリストは次の論理的な手順を実行します。

1. ネットワーク内のどのマシンが悪意のある IP に接続されているかを確認します。

2. エンドポイントをチェックして、IP アドレスに接続されているマシンにマルウェアが存在するかどうかを確認します。

3. 修理措置を講じて機械を清掃し、何も残っていないことを確認します。

4. 他のマシンが IP アドレスにアクセスできないようにファイアウォール ブロック ルールを追加します。

これら 4 つのステップで当面の問題を解決できます。言い換えれば、アナリストは仕事を完了したことになります。ただし、AI とセキュリティ自動化を使用するシステムでは、追加の手順が必要です。

1. ネットワーク リソースを照会して、ネットワーク上で IP アドレスにアクセスした (またはアクセスしようとした) 他のマシンを見つけます。

これらのマシンで追加の調査を自動的にトリガーして、プロセスを強制終了し、ファイルを隔離し、メモリからその他の悪意のあるコンテンツをクリーンアップします。

3. 各調査の結果を修復システムに送り返します。

多くの場合、単一のアラームはより大きな問題の兆候であり、AI システムは全体像を把握できなければなりません。

問題解決に役立つ情報源がどこにあるかを知る

上記の悪意のある IP アドレスに関する FireEye アラートの例を続けると、AI システムはネットワーク リソースを照会して、他のどのマシンも悪意のある IP アドレスにアクセスしたかを判断できることがわかります。このステップだけでも、システムは AI と見なされるためには一連の必要な複雑な操作を実行する必要があります。

システムは追加のネットワークリソースにアクセスする場所を知る必要がある

これらのリソースが何に使用され、どのようなデータが含まれるべきかを知っておく必要があります。

関連する実行可能なアクションを見つけるためにデータを解析する能力が必要です

システムは、関連する発見事項を適用して、発見事項を一連の後続のアクションに変換できる必要がある。

これらすべてのステップは意味があり、私たちの脳がそのように機能するため、人間にとって基本的なものです。しかし、問題を解決するために追加情報を検索するというこの意思決定プロセスをプログラムできることは非常に複雑であり、人工知能の特徴です。

外部ソースからデータを取り込む機能

機知に富むことは人間が生まれながらに持つ特性です。一日のうちに何回外部の情報源を探すか考えてみてください。天気をチェックしたり、人工知能に関する記事を読んだりするなど、私たちは意思決定に役立てるために外部ソースからデータを頻繁に取得しています。

サイバーセキュリティの世界では、既知の脅威に関する最新情報を入手することは、あらゆるセキュリティ ツールが機能するために不可欠な基本機能です。脅威の規模と高度化に伴い、大規模な攻撃を阻止するには、ウイルス シグネチャや脅威インテリジェンス フィードなどを継続的に更新する必要があります。

AI インシデント対応システムが検出したすべてのサイバーアラートを評価するには、さまざまな脅威インテリジェンス フィードに頻繁にアクセスする必要があります。このようにして、システムは常に最高レベルの信頼度で潜在的な脅威を通知または無視することができます。

データ分析能力

人工知能システムによるデータの分析は、コンテンツ、コンテキスト、意味を判断することによって実現する必要があります。

コンテンツ – 簡単に言うと、何を見ているのか？アラートの場合、システムは次のアクションを実行するためにどのようなデータを探す必要があるのか​​？データの例としては、潜在的な脅威の IP アドレスや地理的位置などがあります。

コンテキスト – これはどのようなタイプのアラートですか? ウイルス対策? DLP? SIEM?

意味 - コンテンツとコンテキストに基づいて、システムは次に何を行うべきでしょうか?

データ分析に基づいて行動方針を決定する

AI システムが必要な分析を実行したら、プログラムされたロジックに基づいて次に何をすべきかを判断できなければなりません。同様の調査プロセス フローを複数のアラートに適用できますが、修復プロセスは大きく異なる場合があります。以下にいくつか例を挙げます。

フィッシング メール - 送信者は誰ですか? 添付ファイルは何ですか? 誰かが添付ファイルをクリックしましたか? 実行可能ファイルをダウンロードして実行しましたか? 資格情報を渡しましたか? これらの質問に対する回答に基づく修復アクションは条件に依存しており、高度な決定ロジックが必要です。

悪意のある IP アドレス – ネットワーク上のデバイスが悪意のある IP アドレスにアクセスした場合、次に何が起きますか? IP アドレスはエンドポイントでのマルウェア感染の単なる症状ですか? マルウェアの種類は何ですか? IP アドレスに接続してファイルを暗号化するランサムウェアですか? IP アドレスに接続している他のマシンは何台ですか? エンドポイントの根本原因が解消された場合、他のマシンが IP にアクセスできないようにファイアウォール ブロック ルールを自動的に追加することは理にかなっていますか?

ウイルス対策アラート - システムがラップトップ内のトロイの木馬に関するアラートを受信し、ウイルス対策 (AV) ソフトウェアが悪意のあるファイルを正常に削除したと表示された場合、これは本当に修復が成功したことの兆候でしょうか。それとも、トロイの木馬が悪意のあるプロセスを拡散し、その後 AV が検出できない別のものに進化するための単なるポータルではないことを確認するために、システムは完全なチェックを実行する必要がありますか。

潜在的な脅威が特定された後に何をすべきかを知ることは、間違いなく AI サイバーセキュリティ ソリューションの最も重要な機能です。このサイクルを厳密に検査、修復、保守する方法を知ることが、AI ソリューションの価値です。

実行したアクションによって問題が解決されたかどうかを判断する

実行されたアクションによって実際に全体的な問題が解決されたかどうかを評価することは、アラートの確認と修復ワークフローの重要な最終ステップです。一部の製品とプロセスは修復フェーズ中に一時停止する場合がありますが、どの AI システムでも修復アクションが成功し、追加のアクションが必要ないことを確認できる必要があります。

前の AV の例を続けると、AI ベースのサイバーセキュリティ ソリューションは、AV 製品が感染源であったファイルとプロセスを適切にクリーンアップしたことを確認し、メモリに残骸がないかチェックし、並行調査を開始して横方向の移動があったかどうかを判断した後、これらの手順によって環境全体で感染が完全に修復されたことを確認するために再調査を行います。

結果を他の場所に適用する

最後に、AI ベースのサイバーセキュリティ ソリューションがアラートから修復、確認までのエンドツーエンドのワークフローを完了したら、その結果を他の場所に一般化できる必要があります。たとえば、検出システムからのアラートが未知の脅威であると判断された場合、システムはサンドボックス内の疑わしいエンティティをトリガーして動作を調査し、観察された特性に基づいてそれを有罪と判断するか無視するかを選択できる必要があります。脅威が脅威インテリジェンス フィードに含まれていないからといって、調査プロセスを終了する必要はありません。新たな脅威が発見されると、AI システムは新たに発見した知識をネットワーク内の他のすべてのシステムに適用し、その脅威またはその種類の脅威を示す他のマシンが存在するかどうかの証拠を見つけるための調査を開始できます。