次にどんな攻撃が来るか分からないのになぜAIを使わないのか 有識者が勧めるセキュリティ自動化：サイバー攻撃の侵害が日常になった今、欠かせない“検知と対応”

サイバー攻撃は業種や業態、企業規模に関係なく、ある日突然やってくる。担当者は懸命にセキュリティ対策をしている。ただ、「国家が主導するような大規模なサイバー攻撃の被害に遭うかもしれない」と本気で考える人は多くないだろう。だが、そうした事態はすでに人ごとではなくなっている。

[PR／＠IT]

PR

　「うちの会社は国家主導のサイバー攻撃の標的なんかにならないから大丈夫」――。日本の企業で、いまだに時折聞かれるせりふだ。米国のセキュリティ企業、ExabeamでCSO（最高戦略責任者）を務めるゴルカ・サドウスキー（Gorka Sadowski）氏によると、米国をはじめ海外でもかつてそんなふうに語るCISO（最高情報セキュリティ責任者）がいたが、今やそのせりふは通用しない状況にあるという。

一般企業がサイバー戦争の巻き添えに？

Exabeamのゴルカ・サドウスキー氏

　サドウスキー氏は複数のセキュリティ企業で経験を積んだ後、調査会社のGartnerでシニアディレクターアナリストとしてSIEM（Security Information and Event Management）やUEBA（User and Entity Behavior Analytics）、SOAR（Security Orchestration, Automation and Response）の市場調査に従事した。その過程でExabeamの製品とチームに魅力を感じ、転職したという経歴の持ち主だ。

　30年にわたってセキュリティ業界に携わってきた経験を踏まえ、サドウスキー氏は次のように振り返る。

　「私がサイバーセキュリティ業界に足を踏み入れた当時、脅威はそれほど洗練されておらず、シンプルな製品でも十分対応できました。しかし今われわれは、悪意を持ったアクター、特に国家やそれに近い組織の支援を受けたアクターによる高度に洗練された脅威に直面しています。敵は豊富な資金とリソースを持つ一方、組織のアタックサーフェスは広がりつつあります」

　こうした状況を裏付けるセキュリティインシデントも数年前から発生している。

　例えば2017年7月に起こった、デンマークの大手海運企業A.P. Moller - Marskへのサイバー攻撃。同社はランサムウェア「NotPetya」に感染し、情報システムが利用できない状態に陥った。業務は数週間にわたって混乱し、最大3億ドル（約330億円）の損失が報じられた。実はこの被害は、ロシアがクリミアへの軍事侵攻と相前後して、混乱を招くことを目的にウクライナの金融機関に仕掛けたサイバー攻撃の“巻き添え”を受けた形だ。

　サドウスキー氏はもう1つ、サイバー攻撃が決して人ごととは言えない理由を挙げた。それは「サプライチェーン経由の攻撃の増加」だ。2014年に米国の小売大手Targetで約4000万件のクレジットカード情報と約7000万件の個人情報が流出する事件が発生した。きっかけはTargetの自社システムではなく、同社の店舗に空調設備を提供している企業のシステムが侵害されたことだった。攻撃者は多額の個人情報を入手するという目的を達成するために、直接Targetを狙うのではなく、規模が比較的小さく守りも手薄な調達先を狙ったのだ。

　サドウスキー氏はこうした例を踏まえ、「不幸なことに、今や誰もが潜在的な被害者となり得ます」と指摘する。日本の企業や組織も同様だ。「それも金銭的なリスクだけではありません。アジア太平洋地域における地政学的緊張の高まりに伴い、リスクも高まっています」（サドウスキー氏）

「検知と対応」へのシフトがなぜ重要なのかを実感

　こうした変化を背景にサドウスキー氏は「敵が内部にいる前提でサイバーセキュリティを考えなければなりません」と指摘。具体的には、Protection＆Prevention（保護と予防）からDetection＆Response（検知と対応）へのシフトが重要だという。

　サドウスキー氏自身のキャリアも、「保護と予防」から「検知と対応」へのシフトを体現したものだ。「組織をもっと保護しなければならない」と考え、当時最も広く使われていたネットワークセキュリティ製品を提供していた企業に転職し、さまざまな組織を守ろうと取り組んだ。「しかしそこで私は、『どれだけ保護に努力を払おうとも、敵は内部に侵入する方法を見いだす』ことを学び、保護だけではあまり効果的ではないことが分かりました」とサドウスキー氏は語る。

　もちろん保護や予防も重要だが、それに加えて検知と対応が欠かせない――。そう認識し、ログ管理やSIEMといった分野に携わり、そして今、TDIR（Threat Detection Investigation Response）の領域を重要と捉えている。

ゼロトラストとTDIR、どちらにも不可欠な3つの要素

　サドウスキー氏によると、検知と対応のアプローチとして、重要なコンセプトが2つあるという。1つは「ゼロトラスト」。もう1つがTDIRだ。

　「ゼロトラストとは『最小権限の原則』に基づき、各ユーザーに対して一日を通して継続的にリスクをスコアリングし、その組織やリソースにアクセスしてもいいかどうかを確認していく方法です。実は昔からの常識に基づくものです」（サドウスキー氏）

　このゼロトラストと補完関係にあるのがTDIRだ。従来の保護と予防を補う形で組織や企業の保護を支援するという。

　ゼロトラストとTDIRには共通項がある。セキュリティ市場ではさまざまなマーケティングメッセージが飛び交い、時には「この製品を買えばゼロトラストが実現できます」といった売り込みがなされることもある。だが、サドウスキー氏は「そんなに簡単な話ではない」と指摘。ゼロトラストもTDIRもツールではなく、人とプロセス、テクノロジーを組み合わせたアプローチなのです」と説明している。

　ゼロトラストに取り組むに当たっては、まず適切な“プロセス”を整備し、最小権限の原則を徹底する必要がある。プロセスを確立したら、次にプロセスを回すための“人”を用意する。同時に、できるだけプロセスを自動化してポリシーを適用させるための“ツール”（テクノロジー）を利用するという順番になる。ツールから始めるのではなく、「まずプロセスからスタートすべきです」とサドウスキー氏は力を込める。

　TDIRも同様だ。TDIRは、セキュリティの運用監視を担うセキュリティオペレーションセンター（SOC）のプロセスを確立し、SOCアナリストやSOCエンジニアを用意し、そしてSOCのプロセスを自動化、最適化してSOCを支援するツールを活用することで実現できる。

　Exabeamが提供する製品は、こうした構図の中に位置付けられる。「Exabeam製品はSOCのプロセスの各フェーズを最適化し、自動化するツールです。AIエンジンを用いて『どのデータソースから、どのデータを収集すべきか』をレコメンドした上で必要なデータ全てを収集し、AIエンジンも含めた複数の検知エンジンを並行して走らせます。AIエンジンは、隅々から収集したアラートの中から相関性を見いだし、エンリッチメントする他、SOCが担う調査タスクも支援します。さらに、高度な分析エンジンによってインシデント対応のプロセスも支援します」（サドウスキー氏）

　AIが今のように注目される前からUEBAを「発明」し、10年にわたって強化してきたことも特徴だ。「組織内で起こっている接続や認証、アクセスといった動き全てを把握した上で、何か通常の動きから逸脱したことがあれば、AIモデルをリアルタイムにアップデートし、サーバやアセット、エンティティ、ユーザー、アイデンティティーのリスクスコアを動的に再計算します」（サドウスキー氏）

　かつてサドウスキー氏がログ管理の分野に足を踏み入れた当時は、一定のしきい値を定め、それを超えたらアラートを発するといった静的な制御ツールが大半だった。

　「相関分析は重要な検知メカニズムですが、それだけでは不十分です。ここで考えるべきなのは『どのように攻撃されるか分からないからこそ、何百万通りもの攻撃の可能性に備えなければならない』ということです。 ただ、“レガシーな検知”は、相関分析のルールやしきい値のルールを人の手でプログラミングする必要があり、限界があります」（サドウスキー氏）

　AIはこの状況を一変させた。「AIは、マシン間の通信も含め、組織内のあらゆるエンティティ、あらゆるユーザーの振る舞いを把握します」とサドウスキー氏は説明している。AIは、定義した正常な状態を踏まえ、もし攻撃者によって何らかの動きがあれば自動的にリスクスコアを引き上げ、アラートを出す。

Exabeam Japanの光山 慶氏

　「もはや、ルールを手動でプログラミングする必要はありません。数百の機械学習モデルを使用することで、数百万通りの攻撃に対しても優れたカバレッジを得られるのです。UEBAとAIによって、検知、さらにはSOCのプロセスに含まれる全てのフェーズに革新が起こるでしょう」とサドウスキー氏は語る。

　Exabeam Japanの光山 慶氏（カントリーマネージャ　日本統括責任者）は、「行動分析エンジンとAIエンジンによってチューニングを自動化することに加え、セキュリティ運用の支援にフォーカスしている点がExabeamの特徴です」と話す。

　「ログ管理やSIEMというと、機器のログを集めて監視するIT運用管理から話が始まるケースが多い傾向にあります。しかしセキュリティの運用には、それだけでは足りません。ExabeamではSOCに必要な機能を提供します」（光山氏）

　日本国内においては、行動分析エンジンやAIエンジンを活用してルールのチューニングを自動化することで、SOC業務を外部委託から内製に切り替える動きを支援するという。

10年育ててきたAIを生かし、あらゆる規模のSOCを支援

　今、「ChatGPT」に代表される生成AIが注目を浴びており、Exabeamも、ユーザーとツールをつなぐ部分で自然言語による検索などに活用できないかどうかを検証している。一方で、長年AI開発に携わってきた立場から、AIが実用レベルに達するには多くの時間と学習が必要になると考えている。

　「Exabeamはこの10年間、行動分析、機械学習というエンジンによってそれぞれのID、ユーザーアカウントやサービスアカウントの行動を分析し、日々ルールをメンテナンスするノウハウをため、実運用レベルに落とし込んできました。生成AIを試してみて多くの可能性を感じますが、やはり実用に至るにはまだまだ課題があると思います。その点、ExabeamのAIには一日の長があり、導入から2週間で稼働できるほど実用性が高いものになっています」（光山氏）

　10年かけて育ててきたAIエンジンを組み込んだTDIRツールを通じて、「SOCがあってもなくても、あるいは1〜2人しかいないような小さなSOCでも数百人の人々が働くような大きなSOCでも、あらゆるセキュリティ運用を支援します」とサドウスキー氏は語った。