IT運用・セキュリティの大きな課題「誤検知」はAIで解決できるか

PR／＠IT

PR

　サイバー攻撃被害のニュースが後を絶たない。ファイアウォールやアンチウイルスといった製品の導入から、SOC（Security Operation Center）など体制整備まで進めていても、攻撃を100％防ぐことはできない。攻撃と防御は永遠のいたちごっこだ。

　情報システム担当者は、いつ、どこから来るか分からないサイバー攻撃に24時間365日備えなければならず、テレワークなど従業員の利便性の確保も求められている。働き方が柔軟になり、PCを社外に持ち出して働く機会が増えるなど、セキュリティ上考慮すべきことが増える中で、情報システム担当者の業務は、IT運用とセキュリティ対策をどう融合するかが大きな課題になった。

　加えて近年の運用監視業務を難しくしているのがID（アカウント）を狙った脅威の増加だ。攻撃者が不正に入手した認証情報やアクセス権限を悪用し、従業員になりすましてシステムに侵入する。テレワークで社外からアクセスする従業員が増えたこともあって、本物の従業員かどうかの判断は難しくなる一方だ。

　かといって従来のようにサイバー攻撃かどうか判断がつかないまま、通常とは異なる挙動全てにアラートを出していては対処し切れない。ゾーホーは、自社で研究開発するAI（人工知能）を用いてセキュリティ調査を含めた一連の運用を支援する「誤検知ゼロ」の世界を描いている。

約30年蓄積したIT運用やセキュリティの経験、知見をAIに注ぎ込む

　ゾーホーのAI活用を支えているのが、長年蓄積してきた経験や知見だ。同社は約30年前に設立し、IT運用の幅広い課題に対処する「ManageEngine」と、顧客管理やビジネスを支える「OS」として開発された「Zoho」という製品ポートフォリオを持っている。

　企業理念として「R&D（研究開発）への投資」を掲げ、継続的な投資によるイノベーションを目指している。ITOM（IT運用管理）からITSM（ITサービスマネジメント）の領域、セキュリティや分析、アナリティクス関連の開発を進めてきた。現在積極的に投資しているのがAIだ。同社が培ってきた経験や実績をAIによる「予測機能」という形で実装し、企業のIT環境をよりセキュアに運用するための製品を提供する。

　ManageEngineは、ブラウザベースの手軽さとマニュアルレスで使える分かりやすさなどを強みに、多くのユーザーのIT運用を長年支援してきた。ここに、AIモデル・LLM（大規模言語モデル）から開発し、同社の経験値を注ぎ込んだ「独自のAI機能」という新たな強みが加わった。

AIを搭載したSIEMで社内IT環境を隅々まで分析

　AI機能の研究成果は、ManageEngineでは統合エンドポイント管理（UEM）の「Endpoint Central」や特権ID管理の「PAM360」にも生かされている。ManageEngineのラインアップの中でも、より効果的にIDを狙った脅威を防御、検出、対応できるようにするのが、SIEM（Security Information and Event Management）製品の「Log360 Cloud」だ。

　EDR（Endpoint Detection and Response）やNDR（Network Detection and Response）などからデータを集約し、相関分析を行って異常が検知されたら即座に通知する。社内のIT環境で「どういったイベントが起きているか」を隅々まで分析して脅威を可視化することで、攻撃への迅速なレメディエーション（修復対応）が可能になる。

「Log360 Cloud」脅威分析機能の使用イメージ（提供：ゾーホージャパン）

セキュリティチームを支援するために誤検知を防ぐAIの研究を加速

　Log360 Cloudには、AIを活用した2つの新機能を実装した。具体的にはコンテキストAIエンジン「Zia Insights」を搭載するとともに、アラート数を最適化するために再設計された脅威検出エンジンを利用可能とした。

　Zia Insightsは、LLMベースの分析をSOCのワークフローに取り込む。適切なアラートを自動生成するだけでなく、攻撃者の行動様式のマッピングやタイムライン構築、推奨される対応策を提示する。これによってハイブリッド環境全体での迅速かつ明瞭な対処が可能になる。

　再設計された脅威検出エンジンは、MITREマッピングルール、機械学習ベースの脅威検出、相関検出、脅威インテリジェンスを単一ワークフローに統合するコンソールを備える。同社は2000を超えるルールを継続的に更新してクラウドから配信する。精密なルールによるフィルタリングとチューニングされた洞察を組み合わせてセキュリティチームを支援。これらの機能強化は誤検知を大幅に削減し、正確性の高いセキュリティ調査を可能にするという。

　誤検知の削減は、IT／セキュリティ運用における大きなテーマだ。同社は、イベントの影響度を判断するAIを検知機能に搭載するなど、より早い段階で誤検知を防ぐべく、今後もAIの研究を進めていくとしている。