2024年1月19日、NetOne Valleyにて実施したAIをテーマにしたイベント内容の一部をこのブログで記載させて頂きます。

イベントの内容につきましては
NoP Partner　Forum2023 ～AI編～

https://solution.netone-pa.co.jp/blog/494

こちらをご覧いただければと思います。

------------

近年サイバー攻撃がますます活発化し、企業が被害に遭ったというニュースを度々報道で目にするようになりました。そうした中で、セキュリティ対策の分野で脚光を浴びているのが、AI技術の活用です。シグネチャベースという従来のセキュリティ対策手法だけで脅威を発見することが難しくなったいま、具体的にセキュリティ技術はどのように進化しているのか。最新の動向をご紹介します。 

AI技術を用いたマルウェア攻撃 

サイバー攻撃の脅威はかつてないほどに高まっています。その背景にあるのが攻撃の容易化ではないかと考えています。ダークウェブ上には、「Malware as a Service（MaaS）」というサービスが存在しており、いまや自らゼロからマルウェアを作成する必要がなく、高度な専門知識を持っていなくともサイバー攻撃が可能になってきています。サイバー攻撃を実行するためのITスキルのハードルが下がっているともいえます。 

 
また、攻撃の仕方そのものもが巧妙化しています。脆弱性などを糸口に侵入したマルウェアは、すぐに攻撃を行わず、侵入したIT環境内で潜伏、偵察を行い、水平移動（ラテラルムーブメント）して感染拡大行為を行っていきます。そして、最終的にデータの窃取や大規模システム停止を狙います。 
 
さらに気をつけるべきなのが、サイバー犯罪者はAI技術を活用した攻撃も検討しているいうことです。生成AIを活用して新しいマルウェアを作成したり、暗号化されたトラフィックなどを用いて回避攻撃テクニックも高度化を図ったりすることに注目しています。こうした新しい攻撃手法に対して、ポートやプロトコル単位でのアクセス防御、ハッシュ値、シグネチャによる検知といった既存の手法では限界があります。 
 
AIを活用した攻撃に対し、人の手作業に依存したセキュリティではもはや対応が困難な状態になってきています。しかし、攻撃者がAI技術を使うなら、もちろん防御する側もAI技術を使うことができます。今後は、AI対AIの構図を想定したサイバーセキュリティを強化することが重要となると想定しています。

セキュリティ全体を俯瞰した場合 、どこで活用すればいいのか 

それでは、セキュリティ全体を俯瞰した場合、どこにAIを活用するのがいいのでしょうか。
よく用いられるのは、以下の4つの領域です。 

• ネットワークセキュリティ 
• エンドポイントセキュリティ 
• セキュリティ監視（SOC） 
• クラウドセキュリティ 

システム全体で、AI技術を活用するのがベストな状態だと考えています。

 
もし、AIを活用しなれば今後は多くの課題を持つことになるでしょう。
まず多様化を続けるサイバー攻撃に対して検知率が低下することになります。
またAI技術を活用しなければ、多数存在するセキュリティ対策ポイントに対して、統合的なデータ分析と対策が複雑化してしまい、セキュリティ運用が困難となるため、ポイントごとの対応にとどまってしまう可能性があります。
さらに、検知した何らかのイベントに対して、セキュリティの専門家が手動で対応しなければならない状態では、即座に検知することができず、イベントやアラートも取りこぼしてしまいすぐに人材不足に陥ることになると思います。

シグネチャモデルからディープラーニングへ

脅威の検知には、今後AI技術が欠かせなくなると推測していますが、ここでセキュリティ対策における技術の進化を整理しておきましょう。 
 
AIが存在する前の脅威検知の手法として一般的であったのが、シグネチャモデルです。予め登録されている情報と突合して脅威を判定するというこの方法では、変異したマルウェア、未知の脅威に対応できないことが課題でした。 
 
次に登場した機械学習では、大規模なデータセットを調査・学習することで、そこから共通となる特徴を見つけて脅威と思わしきものを推定し判定していきます。既知のマルウェアの亜種を発見するのに最適な手段となります。 
 
今日のAI技術を支えるディープランニングは機械学習をさらに発展させたものです。人間の脳を模したニューラルネットワークという数理モデルを使用してデータをいくつかの層に分け、データの特徴や関係を解釈し検知する方式です。未知の悪意ある活動を発見するのに役立ちます。 

AIを活用するリスクも認識する 

AI自体も進化を続けています。将来的には、人間のように感じ・考える力を持つ「AGI（汎用人工知能）」と、AGIがさらに進化し、人間を超えたレベルの知能を持つ「ASI（人工超知能）」が登場していくことが示唆されています。同じく、AIによるサイバー攻撃がさらに高度化されることも予測されるため、今からAIを活用したセキュリティ対策に着手しておくのが必要です。 
 
ただ、1つ勘違いしないように注意いただきたいのは、AI技術は万能ではないということです。
AI技術の活用は重要ですが、あくまで人が適切に把握、判断する必要があります。 
 
AIを活用することで生じうるリスクには、
「人が想定できない動作を行うことがある」
「完全な回答を提示しない」
「AI自体のセキュリティ対策が必要」
の3つが考えられます。 
 
その中でも「AI自体のセキュリティ」に関しては、防御に活用するAI自体が攻撃され、システム停止や、誤った情報を提供する可能性もあるので特に注意が必要です。AIが稼働するプラットフォーム自体のセキュリティ対策が必要ですし、APIセキュリティなども考慮した方がいいでしょう。 
 
今後のセキュリティエンジニアは、「AIとのコミュニケーション能力」が非常に重要になっていくと考えています。AIとコミュニケーションするには技術進歩に合わせ、セキュリティ動向の学習も引き続き重要です。AIが分析・解析しても最終的に判断するのは人になるので「判断力」も求められるでしょう。 

次回、AI技術を積極的に活用しているPalo Alto Networks社のセキュリティ機能をご紹介いたします。

※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。