世界は絶えず変化している。無人店舗が増え、人がやっていたことをロボットが代わりにやるなどDXが進むことによって産業間の境界を超える革新的な変化が続いている。もはや現実と仮想の区分ができないぐらいのレベルになって、現実でのみできると思っていた様々なことがますます仮想化、つまりサイバーの世界に一つ二つ実現されている。そしてその中心には人工知能(AI)と自動化である。いつの間にか、我々の生活の中に染み込んでいる人工知能技術は、映画でしか見られなかったことが現実になり、自動化を基盤として向上した生産性と共に、これまでできなったかことを渇望することになり、実現に向けた開発に進む革新の好循環環境を造成するきっかけになった。 知能型セキュリティ

セキュリティ業界はどうだろうか。セキュリティの役割は、サイバー世界で発生する不法アクセスの試み、内部情報漏洩などの多様な悪意的な行為から情報資産を安全に保護することにある。従って、悪意的な行為に対して認識し、防御し、処置することがが一番基本的で重要な要素である。このようなプロセスに人工知能と自動化が組み合わさり、自ら保護し、予防し、検知し、対応し、さらに処置までできるようになったら理想的ではないだろうか。今、変化の中心にある人工知能と自動化がセキュリティ業界にどのような影響を及ぼしているのかについて見てみようと思う。

01. セキュリティ監視の変遷史

現在、一般的なセキュリティ監視サービスは予防、検知、分析、対応、管理という一連のプロセスから行われる。企業及び機関は日々進化しているサイバー攻撃に対応するため、多くのセキュリティ機器を購入し活用している。そして、このような機器が提供している数多くの情報に対して処理することの難しさと、管理不備から発生しうるインシデントを防ぐためにセキュリティ監視を利用して対応している。

セキュリティ監視は高度化しているサイバー攻撃に歩調を合わせてその方法も変わってきた。攻撃ポイントの増加と攻撃タイプの多様化、被害対象の拡大など情報セキュリティの範囲が広がり、監視方法も自然に変化してきた。初期のセキュリティ監視は単位的にセキュリティシステム基盤のイベントを分析し、攻撃有無を判断した。攻撃と疑われるIPがあればファイアウォールから遮断するなどの対応が一般的だった。その後、情報インフラの規模が拡大し、攻撃がさらに多様になった2世代セキュリティ監視は統合的なセキュリティ監視体制に進化した。それぞれの単一機器から発生するイベントと、システムから発せられるログを収集し、実際の攻撃に対する判断の正確性を高めた。また、単一イベントアラートに依存した初期の方法からイベントとログを統合的に相関分析する方法に代わり、より詳細な分析が行われた。

しかし、ネットワーク中心の監視に対する限界が明らかになり始めた。極めて正常な行為のように装い内部に浸透する巧妙で知能的な攻撃が増えたためである。これにより、ネットワーク中心の境界セキュリティは崩れ、内部・外部の区分なく、インフラ全体を監視を行う必要性ができ、3世代セキュリティ監視は範囲を大きく拡大した。ビックデータ基盤のSIEMを活用して攻撃を迅速に検知し、主要集中モニタリング監視を区分するようになり、サービスだけではなく使用者の異常行為まで監視対象に含まれた。

【▲ 1世代単位セキュリティ監視、2世代統合セキュリティ監視、3世代ビックデータセキュリティ監視】

02. 知能型セキュリティ 監視の必要性

3世代セキュリティ監視は監視ポイントが内部・外部に拡張されることで処理すべきイベントが既存1世代、2世代の時と比べて幅広く増加した。あるセキュリティ監視センターによると、攻撃イベントの処理量が2017年以降、約2倍近く増加していることが確認できたという。これは境界や境界内のデータを保護するためのイベント中心の手動的な監視から、外部攻撃者と内部使用者を巻き込む先制的監視への変化を触発するものとなり、それを必要とするきっかけになった。さらに知能化された攻撃に対応するために導入するセキュリティ機器が増え、それによりそれぞれの機器から発生するイベントとログは幾何級数的に増加した。

【▲ 年度別イベント処理量推移】

それでは今はどうだろうか。DXが加速化されている中、新たなセキュリティ脅威が大きく増えており、これに合わせて増加しているセキュリティ機器とイベントなど、今の業務範囲はセキュリティ専門家が処理できる数を超えている。ネットワーク攻撃が主であった2000年代の初期と違って、使用者をターゲットにした攻撃が流行り、アウトバウンド(Outbound)とインバウンド(Inbound)トラフィックはもちろんIoTやOTのようなシステム間の通信の脆弱性を狙う攻撃も台頭してきており、確認が必要な情報の量が大きく増え、専門人力、時間、資源が絶対的に足りない状況に直面している。そしてこのような問題は4世代セキュリティ監視であり、人工知能を中心にする知能型セキュリティ監視への転換のきっかけになった。

03. 知能型セキュリティ 監視の特徴

セキュリティ監視分野の中、人工知能の一番大きい役割は各箇所で新たに発生するサイバー攻撃を検知、分析、そして対応することによってセキュリティ業務の効率性を高めることである。リアルタイムに流入される攻撃イベントをセキュリティ専門家が直接対応すると一般的にイベントが作成される時間の順番で分析が行われる。しかし、人工知能が組み合わさった知能型セキュリティ監視でイベント分析を行う前に流入されたイベントに対する深刻度と予測を基に、優先で処理すべき危険度の高いイベントを選別することができ、膨大なイベント分析の所要時間を短縮することができる。攻撃の退部によるシナリオ基盤のデータと、インシデント処理履歴などのデータを教師あり学習で学習させることで、イベント処理の効率性を高め、攻撃に対する先制的な対応が可能になる。

さらに、知能型セキュリティ監視は正常の経路から流入される攻撃に対するアノマリー検知を適用した監視を行うことができる。教師なし学習を活用したアノマリー検知は通常発生されているトラフィックとは異なる異常トラフィックや、既定されていない通信のような異常行為をより早く識別できるため危険な脅威に発展しうる未知の攻撃を事前に予防することができる。

【▲ 知能型セキュリティ監視ソリューションSPiDER TM AI Edition】

最近SOAR(Security Orchestration, Automation and Response、セキュリティオーケストレーション自動化及び対応)と呼ばれ、自動化されたセキュリティ戦略が次世代セキュリティ対策として注目されている。監視要員の力量による不定的な対応品質、多数の人材が単純に繰り返す業務に投入されることによって発生するリスクなど、既存セキュリティ監視の問題点とされていた大体のことをSOAR基盤の自動化したセキュリティ監視なら改善できるものとみられる。

SOARは多様なセキュリティソリューション間の連携により、反復的で目的が確実な攻撃事象に対する処理を自動化し、攻撃発生時、各タイプごとに標準化されたプロセスに従って対応することで、脅威検知から対応まで至る過程を実質的に短縮することができる。また、国内・海外の脅威情報を収集·分析する脅威インテリジェンスプラットフォームとの結合により、事前に脅威を識別して対応することができ、さらに高度化したセキュリティ監視実現することができる。SOARの重要点は標準化された対応プロセス、プレイブック(Palybook)である。作成されたプレイブックが多ければ多いほど、また正確であればあるほど、攻撃への対応効果が大きく変わる。

【▲ セキュリティパラダイムの変化】

04. 知能型セキュリティ 監視適用のための事前条件

知能型セキュリティ監視を構成する２つの大きな軸、人工知能と自動化について見てみた。完璧なセキュリティはないと言っているが、セキュリティ監視プロセスに二つの技術がうまく適用されれば、このようにかなり効果的なセキュリティ体系実現ができると思われる。しかし、今すぐ人工知能を導入し、SOARを構築するとしても、一日で想像している理想的な監視プロセスの完成ができるのか。いくらいい材料を持っているとしても砂の上に立てるとすぐ崩れてしまう。つまり、知能型セキュリティ監視の実現のためには、丈夫な基盤になる事前条件を備えられなければならない。

01) 正確な検知ポリシー樹立と現況把握

人工知能導入による攻撃の検知する正確性を高めるためにはまず、人工知能に正確なデータを学習させる必要がある。日々数多い攻撃イベントが発生し、また収集されている現時点では資産に対して実際に脅威になるデータを正確に分類することが大事である。
また、何の検証もなく多様なセキュリティ機器から発せられる全てのアラートイベントを脅威として判断し、対応するのは望ましくない。各機関及び企業のインフラ環境に実際的に影響があるような攻撃ポイントの有無を1次的に判断し、これを基にして各イベントごとに危険度や対応有無を決定すべきである。そしてこのように選別されたイベントを人工知能の学習データで提供することで有効攻撃のイベント検知率を高めていくのがなにより大事だと思う。

一番簡単な例としてWindowsサーバだけで運用されているある企業にUnix系の攻撃イベントが発生していると想定した場合、該当する攻撃全てをクリティカルな攻撃として取り扱って検知ポリシーを管理すると間違ったポリシー管理になる。また、特定の運用環境から運用されていない資産関連攻撃イベントが発生したと想定したら、これも有効な攻撃として判断するのは難しい。このように攻撃ポイントに対する正確な識別が実施されていないと正確な攻撃検知ポリシーの樹立は難しく、これは誤検知率の増加に繋がるため、知能型セキュリティ監視を導入しても満足するような効果はでないはずである。

また、各機関及び企業から持っている資産現況について正確な把握も要求される。現在持っている情報システムがどのような用途で使用されていてネットワーク構成上どこに位置しているか、重要システムと個人情報など敏感な情報を処理するシステムはきちんと区別されているのかなど、資産に対する現況管理と制限が必要である。攻撃が発生していると想定する場合、攻撃の対象さえ把握もできない、安易に重要システムと一般システムを同じネットワークに構成しておいるとなると知能型セキュリティ監視をて適用しても迅速な対応が難しく、その判断も鈍るだろう。

02) 攻撃イベント対応プロセスの樹立

SOARの重要点は標準化された対応プロセスであるプレイブック(Playbook)である。これは言い換えればSOAR基盤の自動化を実現することに一番重要なポイントは、単純に繰り返す業務に対して明確な分類を事前して実施すべきということである。既存セキュリティ監視では攻撃イベントが流入された時間順で処理する順次的対応になる。情報分析、判断、遮断に至る一連の過程を自動化するためにはグループ化による業務の分類が必要である。例えば頻繁に入る攻撃に対してはシグネチャー分析時、確実に分析だと判断ができるイベントに対しては即時遮断ができるように攻撃のタイプをその特性に合わせてグループ化し、標準化する過程を経てこそ、自動的に対応ができるだろう。

05. 最後に

実はこれ以外でも知能型セキュリティ監視の成功的な構築のために前もって準備すべき条件は多数存在する。機関及び企業のビジネス分析、環境診断、そしてこれに最適化された運用プロセス及び攻撃対応プロセス、知能型セキュリティ監視に対する高い理解度を持っている使用者など、導入前にしっかり運用できる条件が整えられていれば、なんの準備もなく導入をすると、より効果的な定着ができる。知能型セキュリティ監視が日々進化いしているセキュリティ脅威と幾何級数的に積もるセキュリティ情報に対抗できる代案として注目されているほど、これに相応する万全の準備も要求されていることを心に刻んで、発展した技術が与えるメリットを最大限活用できる日が来ることを期待する。​