※本ブログは米国時間2025年4月24日に公開されたA10本社ブログの日本語訳です。原文はこちらからご覧ください。
サイバーセキュリティとは、巨大な壁を築くことではありません。脅威の進化よりも速く適応できる、よりスマートなシステムを構築することです。
サイバーセキュリティは機能不全に陥っています。しかし、修復不可能なわけではありません。脅威の進行は加速し、攻撃対象領域は広がり続けています。そして、悪意を持つ者たちは、もはや単なるパーカー姿のハッカーではありません。彼らは組織化され、自動化を進め、多くの場合、AIを駆使しているのです。
それでは相手と同じ手段で対抗するにはどうすべきでしょうか?
答えは人工知能(AI)です。流行語としてでも、ベンダのプレゼン資料のチェックボックスとしてでもありません。サイバー脅威の検知、対応、そして軽減の方法を変革する、現実的で機能的、そして進化し続けるツールとしてのAIです。
私(Jamison Utter)の活動をフォローしている方、あるいはRSA、Black Hat、あるいは様々なブログで私の講演を聞かれた方は、私が万能薬を信じていないことをご存知でしょう。しかし、レバレッジ(影響力)は信じています。そしてAIは、かつてないほどのレバレッジをもたらしてくれます。事実、戦略、そしてAIがサイバーセキュリティの状況をいかに変革しているのか、実例を交えて解説します。
従来の手法:静的な防御
従来のサイバーセキュリティツールは、過去の脅威に対応するために構築されています。ファイアウォール、アンチウイルス、SIEM などは、いずれも事後対応型です。何か悪いことが起こるのを待ち、その混乱を収拾しようとします。しかし、攻撃者はもはやそうしたルールに従って行動していません。彼らは自動化、ポリモーフィック型マルウェア、AIを活用した偵察を駆使し、機械のようなスピードで行動しています。そして、もしあなたの防御システムが依然として静的なルールとシグネチャに依存しているなら、ただではすみません。
もっと早く動き、賢く考えるためにAIが必要なのです。
検出:パターンマッチングから振舞いインテリジェンスへ
従来のモデルでは、シグネチャベースの検知が行われていました。ファイルが既知のウイルスパターンに一致するとフラグが付けられたのです。これは単純であり、そのため回避も容易でした。AIはこのモデルを根本から覆します。既知の脅威を探すのではなく、AIは未知の振る舞いを探します。ユーザ、デバイス、ネットワークごとに、「正常」とはどのような状態かというベースラインを構築し、そこからの逸脱を監視します。一時的な異常だけでなく、時間の経過とともに変化するパターンも監視します。よりスマートで、より早い、動的で適応型の検知手法です。そしてサイバーセキュリティにおいては、スピードこそがすべてです。
実例:
あるユーザが午前9時にニューヨークからログインしたとします。そして10分後、モスクワからログイン試行がありました。従来のシステムでは見逃してしまう可能性があります。AIはこの不一致を検知し、デバイスフィンガープリンティングと相関関係を検証し、被害が発生する前にアカウント乗っ取りの可能性としてフラグを立てます。これはSFの世界の話ではありません。まさに今、現実に起こっているのです。
レスポンス:即時対応のための自動化
検知能力は素晴らしくても、対応が遅ければ意味がありません。
AIはリアルタイムの自動対応を可能にします。脅威が検知されると、AIは以下のことを実現します。
- 影響を受けたエンドポイントを隔離
- 悪意のあるプロセスを停止
- 侵害された資格情報の取消
- フルコンテキストでSOCに警告
分単位でも時間単位でもなく、すべては秒単位で行われます。
これは人間をループから外すことではありません。人間が有利な状態でスタートするためのものなのです。
実例:
AIシステムが社内ネットワークにおけるラテラルムーブメント(水平展開)を検知します。アナリストがコーヒーを飲み終わる前に、AIは侵入されたマシンを隔離し、攻撃者のIPをブロックし、詳細なインシデントレポートを生成します。
これは自動化のための自動化ではなく、大規模な運用効率化です。
緩和策:あらゆる攻撃から学ぶ
AIが真価を発揮するのは、まさに緩和策です。AIは単に反応するだけでなく、学習するからです。あらゆるインシデントがデータポイントとなり、あらゆる対応がフィードバックループとなります。AIモデルは時間の経過とともに、より鮮明になり、より正確になり、より状況に応じたものになります。こうして、リアクティブからプロアクティブへ、防御からレジリエンスへと移行していくのです。
あらゆる攻撃を阻止することが目的ではありません。影響を最小限に抑え、回復を最大限におこなうことが目的です。
人的要因:依然としてミッションクリティカルな部分
AIはセキュリティチームに取って代わるものではありません。AIは、コンテキスト、創造性、そして批判的思考をもたらす力の増幅装置です。AIはスピード、スケール、そして一貫性をもたらします。これらを組み合わせることで、適応性が高く、インテリジェントで、持続可能なセキュリティ体制を構築できます。注意すべき点としては、AIはトレーニング、調整、そして信頼を得る必要があることです。つまり、チームはAIが何をするのかだけでなく、どのように機能するのかを理解する必要があります。セキュリティリーダはスキルアップに投資する必要があります。アナリストはAIの出力を解釈する方法を学ぶ必要があります。そして、AIは魔法の杖ではなく、ツールのひとつであることを誰もが理解する必要があります。
AIが有利な分野
- 金融サービス:取引行動に基づくリアルタイムの不正検出
- ヘルスケア:患者の記録への不正アクセスの監視
- 小売業:エッジでのクレデンシャルスタッフィングとボット攻撃を阻止
- 政府機関:分散環境全体にわたる内部脅威と国家レベルの攻撃者の検出
これらはパイロットプログラムではなく、実稼働環境へのAI導入が既に行われています。
次は何か:未来はもうやってきています。
サイバーセキュリティは既に新たな時代の幕開けを迎えています。今後の展開は以下のとおりです。
- 自律型SOC:AIで稼働し、人間が監視役を務めるSOC
- AIによるデセプション:攻撃者を誘い込み、システムに情報をフィードバックする偽のアセット
- 自然言語による脅威分析:フィッシングメール、ダークウェブでのやり取り、ソーシャルエンジニアリングの試みをリアルタイムで読み取るAI
- 敵対的AI防御:攻撃者が機械学習モデルを操作しようとしていることを検知するシステム
確かに攻撃者もAIを利用しています。しかし、だからといってAIを恐れる必要はありません。むしろ、AIを活用するべきです。マシンスピードの脅威に対抗する唯一の方法は、マシンスピードの防御、つまりAIを駆使したセキュリティ機能をすぐに使える状態にすることだからです。データサイエンスチームは必要ありません。
まとめ:今がその時
サイバーセキュリティとは、高い壁を築くことではありません。よりスマートなシステムを構築することです。直面する脅威よりも速く学習し、適応し、行動するシステムです。
AIは単なる流行語ではありません。攻防の場面での優位性です。そして、AIを活用していないなら、あなたはすでに後れを取っているのです。
前述のように、攻撃者がAIを使用している世界では、防御側はAIを使用しないわけにはいきません。
つまり、AIがサイバーセキュリティ戦略にふさわしいかどうかが問題ではなく、問題はAIをどれだけ早く統合できるかです。攻撃者は待ってくれません。
