AIで未知のサイバー攻撃を自動検知、NECが自己学習型技術を開発：ネットワーク分離も自動化、オペレーション時間を10分の1に

NECは、未知のサイバー攻撃を、人工知能技術で自動検知する「自己学習型システム異常検知技術」を開発した。システムの定常状態を機械学習し、定常状態と現在のシステムの動きを比較することで攻撃を検知する。

[＠IT]

　NECは2015年12月10日、社会インフラや企業システムなどに対する未知のサイバー攻撃を、人工知能（Artificial Intelligence：AI）技術を利用して自動検知する「自己学習型システム異常検知技術」を開発したと発表した。

「自己学習型システム異常検知技術」の概要（出典：NEC）

定常状態を機械学習、SDNでネットワークを自動分離

　自己学習型システム異常検知技術では、PCやサーバーなどのプログラムの起動やファイルアクセス、通信といったシステム全体の複雑な動作状態から定常状態を機械学習し、定常状態と現在のシステムの動きをリアルタイムに比較・分析することで、定常状態から外れた場合の検知を可能とする。

　さらに、システム管理ツールやSDN（Software-Defined Network）などを活用することで、該当箇所のみをネットワークから自動分離できる。従来の手作業に比べて10分の1以下の時間で被害範囲の特定が可能で、システム全体を止めることなく被害範囲の拡大を最小限に抑えられる。

システム負荷を“気遣う”エージェント

　システムにかかる負荷を常に考慮して、監視処理のタイミングなどを適宜制御する機能を備えた軽量なエージェントを開発した点も特徴だ。従来のエージェントは、システム動作を常に監視するものが多く、PCやサーバーの動きを遅延させるなどの悪影響を与えることがあった。NECの技術では、システム動作を遅延させずに、プログラムの起動やファイルアクセス、ネットワークなどの詳細なログを収集できるという。

　現在のサイバー攻撃対策は、既知の攻撃手法に基づくため、未知の攻撃への対策が困難だった。NECが開発した技術は、攻撃を受けたシステムの挙動変化のみに基づくことで、全く新しい攻撃への対策を可能とした。NECでは、同技術を自社システムのサーバーに適用して実証を行い、模擬攻撃を全て検知できたとしている。

　今後、発電所や工場など重要インフラ施設のシステムへの適用を目指し、2016年度中に実用化を予定している。

　なお、NECではこの発表に先立つ2015年11月11日に、人工知能技術のやソリューション体系を再整理し、強化すると発表していた。

NECが先に発表していたAI事業強化の概要　「パブリックセーフティ」の項目にはサイバーセキュリティも含まれている（「NECが人工知能技術の開発を強化、映像・画像の探索などを含むソリューション体系を整備」より）