※本ブログは米国時間2025年5月8日に公開されたA10本社ブログの日本語訳です。原文はこちらからご覧ください。
以前のブログ「今日のセキュリティ:AIを活用したプラットフォームアプローチ」では、従来のセキュリティ対策が抱える課題と、3本柱からなる最新のAIを活用したプラットフォームアプローチを紹介しました。今回は、最初の柱である「脅威の予防」について詳しく解説します。
今日のセキュリティの柱その1:AIで強化された脅威予防
組織は、絶えず進化するサイバー脅威に先手を打つために、事後対応型から予防型セキュリティ対策へと転換する必要があります。過去の攻撃パターンを分析し、予測インテリジェンスを活用することで、組織は脅威が顕在化する前に予測し、無力化することができます。攻撃を未然に防ぐことで、ゼロデイ対策への依存を軽減し、混乱、経済的損失、そして風評被害を最小限に抑えることができます。事後対応型の緩和策はゼロデイインシデントの封じ込めに不可欠ですが、予防型の対策は、既知および未知の攻撃に対するより強力で高いレジリエンスを実現します。
人工知能(AI)は、過去データとリアルタイムデータを活用して包括的な脅威プロファイルを構築し、攻撃パターンを事前に予測することで、プロアクティブな防御を強化します。膨大なデータセットを継続的に統合するAIの能力により、予測インサイトは常に適切なものとなります。
セキュリティ情報イベント管理(SIEM)システムにAIを導入することで、その有効性が向上します。この組み合わせにより、正確で実用的なインサイトが得られ、進化する脅威に適応できます。Gartner社は2023年に「組織は依然としてスキル不足に直面しており、リソースを大量に消費するサイバーセキュリティ業務の自動化の機会を模索している」と指摘しており、生成型AIは脅威インテリジェンスの統合と分析において重要な役割を果たしています。
AI は収集されたインテリジェンスを継続的に分析することでセキュリティ戦略を強化し、新たな脅威にも対応できる堅牢な防御と運用の継続性を維持する、レジリエンスと適応性に優れた保護モデルを実現します。
サイバー攻撃の予防
シナリオ
あるグローバル金融機関は、DDoS攻撃、OWASPの脆弱性、そして不正取引を組み合わせた巧妙な煙幕攻撃(smokescreen attack)に見舞われました。攻撃者は大量のDDoSトラフィックをオンラインバンキングシステムに送り込み、既存の防御を圧倒することで、Webアプリケーションの脆弱性を悪用し金融取引を操作しようとする同時的な攻撃を隠蔽しようとしました。従来の監視では攻撃部分を区別することが困難で、対応が遅れ、システム侵害のリスクが増大しました。
リスク
金融取引が活発な時期にサービスがダウンすると、業務に支障が生じ、顧客満足度の低下、経済的損失、そして規制当局の監視につながります。DDoS攻撃は混乱を引き起こし、OWASPベースのエクスプロイト(Exploit)は機密データを侵害し、攻撃者はセキュリティ上の欠陥を悪用して取引を不正操作します。トラフィック量の増加は手動による介入を困難にし、既存のDDoS防御に過負荷をかけるリスクがあり、攻撃者がその影響を拡大させる可能性があります。
ソリューション
DDoS 特有のインテリジェンスと脅威データを統合することで、新たな脅威が拡大する前にプロアクティブに検出して無効化する多層防御アプローチが可能になります。
- DDoS 脅威インテリジェンス フィード- リアルタイムで実用的なDDoS固有の脅威インテリジェンスでセキュリティ運用を強化し、悪意のあるIPアドレスをプロアクティブにブロックし、大規模なボリューム型攻撃を未然に防ぎます。
- OWASP エクスプロイト検出シグナル- 過去の攻撃パターンを活用して、既知のWebアプリケーション層の脆弱性エクスプロイトが実行される前にブロックします。
- 不正行為防止- AI駆動型システムは、取引やエンティティの特性を継続的に学習し、悪意のある取引や行動を積極的に特定して、悪意のあるボットによる不正な金融操作を削減します。
- リアルタイムのコンテキストのためのSIEMとの統合- 脅威インテリジェンスはSIEMツールと統合され、セキュリティイベントの可視性を高め、アラートを優先順位付けして応答時間を短縮します。
結果
対象を絞ったインテリジェンスを積極的に活用することで、金融機関は大規模な混乱を防ぎ、煙幕戦術を緩和し、不正行為によるリスクを減らし、継続的なサービスの可用性と規制遵守を確保します。
AIを活用したプラットフォームアプローチは、プロアクティブな脅威防御から始まります。AI主導のインテリジェンス、予測分析、履歴に基づくインサイトを活用し、それらをセキュリティソリューションに動的に統合することで、企業はインシデント発生後の対応に留まらず、攻撃者への先手を打つことができます。