「生成AI」と「脅威インテリジェンス」はセキュリティの現場をどう変えるのか：「現場の頑張り」はもう限界

サイバー攻撃者はその手法を高度化させており、当然のように生成AIも活用し始めている。そうした中、企業が大切な資産を保護し、事業を守るためには何が必要なのか。 Google Cloud のセキュリティイベントからその答えを探る。

[PR／＠IT]

PR

　日々の報道からも分かる通り、サイバー脅威はますます深刻さを増している。もちろん、守る側も対策しており、サイバーセキュリティを経営課題と捉えて対策を強化しようとしている企業は増えている。一方、なんとかしてサイバー攻撃者の先を行こうとあの手この手を使い、現場が歯を食いしばって被害を食い止めている企業もある。

　問題は、“現場の頑張り”に頼るのは限界に近いということだ。そうした中、 Google Cloud は「敵」に関する膨大な知見と生成AI（人工知能）技術を組み合わせることで、より少ない労力で効果的にセキュリティ対策を講じる必要性に着目し、その実現に取り組んでいる。その一端を、2023年12月に東京で開催されたイベント「Security Summit ‘23」のセッションから見てみよう。

高度化するサイバー攻撃の実態

　Google 傘下のセキュリティベンダーMandiantでチーフアナリストを務めるジョン・ハルトキスト氏は、「多額の金銭が動くというインセンティブに加え、地政学的なリスクも相まって攻撃者のスキルは上がり、高度化しています」と説明している。

Mandiantのジョン・ハルトキスト氏

　長年にわたって脅威の動向を分析してきたハルトキスト氏は、幾つかのポイントを解説した。

　1つ目は「脅威のグローバル化」だ。日本にいると「日本を狙う脅威」ばかりが目に入るが、サイバー攻撃者はグローバルに活動しており、「幾つかのターゲットの中に日本が含まれている」といった状態であることに留意する必要がある。つまり、世界で起きている事象を把握することで、相手に先んじて手を打つことも可能になる。

　2つ目は、「攻撃者のエコシステムが構築されていること」。高いレジリエンス（復元力、回復力）を備えるようになっており、一連の攻撃チェーンを構成するグループのどこかをダウンさせても、すぐに代わりが登場するという。

　「1つのランサムウェア（身代金要求型マルウェア）攻撃には『アクセス権限を入手し転売するもの』『そのアクセス情報を利用してシステムに侵害するもの』『ランサムウェアを開発するもの』といった具合に複数のグループが関与し、得られた利益を山分けしています」（ハルトキスト氏）

　3つ目は「サイバー攻撃のさらなる巧妙化」だ。ファイル転送サービスなど、複数の企業が利用するソフトウェアの「ゼロデイ脆弱（ぜいじゃく）性」を見つけ出し、悪用することで、同時に数百もの組織に影響を与えるケースもある。厄介なことにこの攻撃手法は攻撃者にとって効率が良く、ハルトキスト氏は「この先、さらに多くのグループがゼロデイ攻撃を始めるであろうことは容易に想像できます」と言う。

　4つ目は「攻撃者の成長」だ。ハルトキスト氏によると、特に注意すべきは、中国や北朝鮮を本拠地とする攻撃グループだ。昔のように、荒削りな日本語で書かれ、すぐに見抜けるフィッシングメールを送ることはほとんどなくなった。代わりに、インターネットに露出しているセキュリティ機器やルーターといったエッジデバイスの脆弱性を悪用し、侵害を試みるようになっている。攻撃手法も多様で、ランサムウェアはもちろん、サプライチェーン攻撃や生成AIを活用したソーシャルエンジニアリングなども用いられているという。

　ホームルーターを侵害してbot化し、それを踏み台にして攻撃を展開することでトラフィックを偽装したり、ターゲットの環境にもともと存在する機能やツールを用いたりする「環境寄生型攻撃」を用いて検知を免れる手法も一般的になってきた。EDR（Endpoint Detection and Response）の検知を回避するなど、自身の活動を隠蔽（いんぺい）するさまざまな試みを行うことから、「インテリジェンスを活用し、検知方法を変えていかなければなりません」とハルトキスト氏は述べる。

脅威の滞留時間をいかに短縮するかが対策の鍵に

　続いて Google Cloud のティム・マンリー氏が、どのような方針でセキュリティ対策に取り組むべきかについて説明した。

Google Cloud のティム・マンリー氏

　Google の脅威分析部隊Threat Analysis Group（TAG）によると、国家組織などを背景に高度な攻撃を仕掛ける「APT」（Advanced Persistent Threat）は1年で3倍に増加している。日本をターゲットとしたAPTも確実に増加しており、その数は92団体にも上るという。

　「日本を含むアジア太平洋地域は、他地域に比べて“脅威の滞留時間”、すなわち組織のネットワークへの侵入を許してから検知するまでの時間が長いという特徴があります。この時間を短縮し、ランサムウェア攻撃の発動やデータの窃取といった目的を達成する前に検知して、事業に損害を与える確率を減らす必要があります。そのためには『こういった悪意あるアクターや攻撃がある』という実情を認識し、先んじて手を打たなければなりません」（マンリー氏）

　APTの攻撃は高度化、巧妙化しているが、彼らのアタックチェーン（攻撃の流れ）はおおむね同じような過程をたどる。まずターゲットのシステムに関する情報を偵察、収集し、フィッシングメールを送ったり脆弱性を突いたりして初期侵入を果たす。次に、システム内に潜伏し、横展開を進め、データ窃取など最終的な目的を達成するという流れだ。

　「敵はこの一連の動きを非常に短時間のうちに実施します。こうした敵の動きを早い段階で検知し、阻止することが重要です」（マンリー氏）

　マンリー氏はセキュリティ対策で重要な3つのポイントを挙げた。

　1つ目は、攻撃を受ける可能性があるセキュリティの不正露出面とセキュリティポスチャー（状態）を把握することだ。

　「セキュリティポスチャーはどんどん変化しますが、それを把握することでどこに盲点があり、どこが狙われるかが分かります。攻撃者がその盲点をついて侵入してくる前に、専門のツールや診断サービスを用いて弱点を把握した上で、その部分に迅速に、かつ継続的に手を打っていくべきです」（マンリー氏）

　2つ目は、準備を整えておくことだ。どれほどセキュリティ製品を導入していても、インシデントは必ず起きるものだ。そのため、日頃から「もしものとき」にどう対処すべきかを決めておき、繰り返し演習を実施して練度を高めることが重要だ。それには、机上訓練で侵害時の対応プロセスに不備がないかどうかを確認したり、実際の攻撃に対して自社の防御能力が有効に機能するかどうかを検証したりするレッドチーム演習などが有効だ。また、「『Mandiantアカデミー』のようなトレーニングプログラムの活用も有効だ」とマンリー氏は述べる。

　3つ目は、攻撃を受けたときにすぐ把握できる体制を整えることだ。高まる脅威と技術の進化を踏まえ、ここで重要になるのが「セキュリティ運用のモダナイゼーション」だ。 Google はセキュリティ運用プラットフォーム「Chronicle」でこの取り組みを推進しているが、その主要な要素となるのが脅威インテリジェンスとAIだ。

　攻撃は多様化し、常に変化している。脅威を早期に検知して適切に対応するためには、実際に起きている攻撃を把握し、リアルな脅威状況を運用に組み込むことが必要だと同社は説明する。セキュリティ運用の一連の対応を最適化し、できる部分は自動化し、効率化していかなければ、持続可能なセキュリティ運用は不可能だ。マンリー氏は「今考えるべきはセキュリティの在り方を変革することです」と訴える。

脅威インテリジェンスと生成AIでセキュリティを変革し、現場の課題解決を支援

　足元に目を向けると、セキュリティ対応の現場では苦戦が続いている。サイバー脅威の拡大と深刻化が加速する中で、運用負荷の増大と人材不足の問題は依然として大きな課題だ。 Google Cloud のカスタマーエンジニア、古澤一憲氏は「生成AIがこうした課題を解決する大きな手助けになる」と話す。

Google Cloud の古澤一憲氏

　サイバー攻撃者は手法を高度化させており、当然のように生成AIも活用し始めている。Mandiantの予測レポートでも、生成AIによってソーシャルエンジニアリングや新たなマルウェア作成が容易になり、脅威がさらに拡大していく可能性が指摘されている。一方で、生成AIは守る側にとっての大きな力になることも事実だ。攻撃者がAIの活用を拡大していく以上、防御側がこれを活用しないという選択肢はない。

　例えば、脅威インテリジェンス。セキュリティ対策を進める上では脅威インテリジェンスの活用が不可欠だが、脅威の増大に伴って確認すべき情報の総量は増え続けている。脅威インテリジェンスを運用に組み込んで活用することが難しいといった声も多いという。

　「量が多過ぎてどう生かせばいいかが分からない、全てを把握し切れない、対応し切れないといった“次のステップの悩み”が生じています」（古澤氏）

　ここに生成AIを活用することで、自分にとって重要な情報だけを提示させ、時間を節約しつつ適切な情報が得られるようになるという。

　また、生成AIを日々の運用作業に組み入れることで、業務の効率化を図ることもできる。古澤氏は「生成AIという新しい武器を手にしたことで、セキュリティポスチャーの把握や脆弱性の発見、適切な設定の生成を実装に近いところで提供していけると考えています」と語る。数年来指摘されているセキュリティ人材不足の課題にも有効だ。生成AIによってエキスパートの知見を「民主化」することで、セキュリティチーム全体のポテンシャルを引き出せるからだ。

　Google が生成AIの領域に注力していることはもちろんだが、その技術をセキュリティ分野において最大限に生かすための重要な要素となるのが、セキュリティに特化した大規模言語モデル「Sec-PaLM 2」だ。

　Sec-PaLM 2は、Mandiantの脅威インテリジェンスと、マルウェアや不正ドメインの検査サービスである「VirusTotal」のデータを中心に、セキュリティに関するオープンデータや Google のSIEM（Security Information and Event Management）製品であるChronicleの情報なども訓練データとし、 Google の大規模言語モデル「PaLM 2」に追加学習させることで、セキュリティ分野向けにファインチューニングしている。というのも、セキュリティ分野には多くの専門用語や特有の概念があり、基礎となるモデルではカバーすることが困難なこと。加えて、脅威状況が常に変化している中で、最新の脅威インテリジェンスや攻撃の詳細をセキュリティ運用に生かすためにはリアルタイムなデータへのアクセスが不可欠だからだ。

　Google Cloud は、このセキュリティに特化した大規模言語モデルを軸に、生成AIと脅威インテリジェンスを各種セキュリティソリューションに組み入れることで、セキュリティの変革を推進しようとしている。

　例えばセキュリティ運用プラットフォームであるChronicleでは、検知した脅威について緊急で対応した方がいいのか、それともそれほどリスクが高くないのかといった大枠の判断をAIが示してくれるだけでなく、事実ベースのまとめと、次のステップとして推奨される対応も示してくれると古澤氏は説明している。

　「エキスパート級の知見がなくても、これらの情報を参考に対応に取り掛かることができます」（古澤氏）

　SQLのようなクエリ言語に関する知識がなくても、自然言語で問い掛けられる点も大きなメリットだ。

　「現時点で生成AIは、完全な自動化を達成するような『魔法のつえ』ではありません。ですが、開発はまだ序盤戦です。今後、活用範囲はさらに拡大していくでしょう。 Google Cloud はプラットフォームを通じてセキュリティに特化した生成AIを提供することにより、さまざまなユースケースに沿って柔軟に機能を追加し、ユーザー自身による活用の幅を広げていきます」（古澤氏）