1分で分かるかも?「セキュリティーとAI」

~AIはセキュリティーエキスパート!?~

  • 1分でふんわり分かるかも?

2022年08月24日

さぁ、やってきました1分でふんわり分かるかも?略して分分(ふんわか)シリーズ!今回は「セキュリティーとAI」!
 
市場にはAI(人工知能)技術を使っているという製品が溢れています。それはセキュリティー製品も例外ではなく、さまざまなベンダーがさまざまな文脈でAIというキーワードを活用しています。AIというと、特定の技術を指すというよりも機械が人間の代わりをしてくれるという抽象的な表現が含まれるため、ユーザー側の期待も高まりがちで、時にはAIは間違いなく完璧にやってくれるといったイメージも存在しそうです。それではセキュリティーの世界において、AIはどういった使われ方をしているのか見ていきたいと思います。

プログラムのふるまい分析

主にエンドポイントで観測される異常なふるまいにより、悪意ある第三者の侵入を検知するものです。通常使用しないツールが使われた、通常アクセスしない外部サーバーにアクセスした、通常実行されないようなコマンドが実行されたなど、あらゆる異常な行動の相関性を分析することにより、既知の悪意あるプログラムだけではなく、未知の悪意あるプログラムも検知することができます。ソリューションの例としてはEDR(Endpoint Detection & Response)やNGAV(Next Generation Anti-Virus)などです。

ネットワークトラフィックのふるまい分析

主に組織内のネットワークトラフィックで観測される異常なふるまいにより、悪意ある第三者の侵入を検知するものです。通常は発生しないエンドポイント間で通信が発生した、通常ではありえないほどの大量のデータを送信した、通常は通信しない国との通信が発生したといった異常な通信を検知します。
ソリューションの例としてはNTA(Network Traffic Analysis)、NDR(Network Detection & Response)、NBA(Network Behavior Analysis)などで、これらは呼び方が異なるだけで同じソリューションを指していることがあります。

人間のふるまい分析

ここでは2つのソリューションを紹介します。一つはユーザー(従業員)のデジタル上のふるまいを分析することによって、異常なふるまいを検知するものです。通常とは違う場所からアプリケーションにログインしたり、通常とは違う時間帯にアプリケーションにアクセスしたり、通常よりも大量のデータをダウンロードしたりといった異常な行動を検知します。ソリューションの例としてはUEBA(User & Entity Behavior Analytics)などです。
 
もう一つはデジタルデバイスで、ユーザーの物理的な行動パターンや癖からユーザー認証を行うものです。PCのキーボードタイピングの癖から本人を認証する、スマホでスワイプの癖から本人を認証する、スマホの加速度センサーで歩き方の癖から本人認証をするといったものです。ソリューションの例としてはBehavioral Biometricsがあります。

プログラム自体を分析

ダウンロードされたファイルを分析することにより、それが悪意あるソフトウエアを含むかを検知するものです。一般的なアンチウイルスソフトウエアの場合、既知のウイルスデータベースとマッチするかというチェックを行っていますが、それでは未知のウイルスはすり抜けてしまいます。ファイルの中身を見て、データベースとはマッチしないがファイルの作りが今までの悪意あるソフトウエアと似ているかどうかを判定できれば、未知のウイルスを捕捉できる可能性も出てきます。Deep Learningを活用しているソリューションはこのような機能を提供している可能性があります。

e-mailを分析

受信したe-mailを分析することにより、それが詐欺メールではないかどうかを見分けるものです。BEC(Business Email Compromise:ビジネスメール詐欺)と呼ばれる悪意のある第三者が取引業者を装って偽の振込先を伝えることで振込金をだまし取る詐欺が問題になっています。これまでのセキュリティー製品ではBECを防ぐことは難しかったのですが、e-mailの中身を分析することで、これが正当なものか詐欺メールであるかを判断するようなソリューションが登場しています。現在は欧米を中心にこのようなソリューションが出てきており、言語の壁もあるためまだ日本では広がっていませんが、今後日本語に対応したソリューションも徐々に増えてくると思います。
 
 
 
いかがでしたでしょうか?これらはAI技術を活用したセキュリティーソリューションの一部ですし、中には「これがAIなの?」というものも含まれていたと思います。時代によってAIの定義は変わっていきますし、人によっても解釈がわかれるところだと思いますのでご容赦いただけますと幸いです。
 
冒頭の話に戻りますが、AIは完璧に対応してくれるでしょうか?現状は例えば「99%以上の確率で検知します」「99%以上の確率で認証します」といったものです。通常、100%に近づくほど0.1%の確率を高めるために莫大な投資が必要となります。つまりAIに任せていればそれでOKという世界ではないのが現状です。
 
ではなぜ多くのベンダーはAIに取り組むのでしょうか?それは、そもそも人間のセキュリティーエキスパートであってもミスは起こるので、AIにしっかり学習させることによりエキスパート以上の知能が備わるという可能性があること、さらには大量のデータを素早く処理することができること、またエキスパートのように疲れないため、常に一定の品質で仕事ができることなどが理由としてあり、AIに過大な期待を寄せず、特性を理解した上で上手に活用することにより、確実にサイバーレジリエンスを高めることができます。 

松尾

IT ANNEX+

お問い合わせ

お客さまの立場で考えた、
最適なソリューションをご提供いたします。
お気軽にお問い合わせください。