人工知能(AI)の活用範囲はますます広がり、私たちの生活に大きな影響を及ぼすようになっています。すでにおなじみとなった音声認識や画像認識もAIを活用した技術ですし、金融機関では、保険リスクや信用度、融資適格性の分析・評価にAIを活用する動きが広がっています。さらに、AIを基盤とするロボット弁護士、AIに基づいて医療診断や予後の予測を行う技術も登場しつつあります。

では、AIをサイバー攻撃対策に有効活用することは可能なのでしょうか。実際のところ、適格にAIを利用したサイバー・セキュリティ技術は、「AIウォッシング」などと揶揄される技術とは全く異なるレベルに達しています。

とはいえ、AI単独でサイバー攻撃を防御するまでには、データや知識が十分でない点を含め、まだまだ解決すべきことが多岐に渡ります。しかし、次の3つの領域での継続的な進歩により、着実に目標達成に近づきつつあります。

 

  • ストレージ:従来に比べ、わずかなコストで膨大なデータを保存できるようになっています。
  • 処理能力:最新技術では、膨大なデータを高速に処理できるようになりました。
  • 数学:数学とアルゴリズムの進化がAIの研究開発を促進しています。

 

機械学習、ディープ・ラーニング、ビッグデータ分析。いずれも、ここ数年で大きなブレイクスルーを果たした技術です。これらの技術のおかげで、かつては希少な人材、すなわちごく一握りのアナリストにしかできなかった作業を自動的に実施できるようになりました。これらの技術は膨大なデータ・ログの中身を理解し、かつて暗闇だった場所に目を向けることを可能にしています。

チェック・ポイントでは、サイバー・セキュリティにおけるAIの役割について考える上で、脅威対策プラットフォーム全般におけるAIベース・エンジンの活用を模索し始めました。現在では、以下で説明する「Campaign Hunting」、「Huntress」、「CADET」という3つの技術ですでにAIを活用しています。

 

Campaign Hunting
Campaign Huntingは、脅威インテリジェンスをさらに有効活用するための技術です。AIを活用しない場合、不正なイベントを調査するアナリストは、イベントの発生源をトレースし、似たような要素(同時刻に同じ人物によって登録された、辞書的に同じようなパターンを持つドメインなど)を探し出す必要があります。

チェック・ポイントのアルゴリズムでは、AI技術を活用してアナリストのこの作業をエミュレート(自動化)することで、数百万件に及ぶ既知の侵害の痕跡(IOC)を分析し、同様のIOCが他に存在していないかどうかを調査できます。その結果として生み出された新しい脅威インテリジェンス・フィードは、未知の脅威の防御に役立ちます。実際、チェック・ポイントがブロックするサイバー攻撃の1割以上は、Campaign Huntingで得られたインテリジェンスだけに基づいて検出されています。

 

Huntress
このエンジンが担当するのは、不正な実行可能ファイルを探すという、サイバー・セキュリティの中でも特に難しい作業です。実行可能ファイルは、その性質上、一定の領域を侵害しない限り、実行中にあらゆる処理を行うことができます。この点が、実行可能ファイルの処理が不正であるかどうかの見極めを難しくしています。

チェック・ポイントでは、動的な分析プラットフォームとしてサンドボックスを活用しており、実行可能ファイルをサンドボックスで実行して多数のパラメータを収集しています。そして、数百万種類に及ぶ正規の実行可能ファイルと不正な実行可能ファイルを学習させたAIベース・エンジンにその収集データを読み込ませ、問題のファイルが不正であるかどうかを判断させるのです。

その効果は劇的でした。Huntressは、アンチウイルスや静的な分析技術よりも多くの不正な実行可能ファイルを検出できることが分かったのです。実際に検出される不正な実行可能ファイルのうち、13%はHuntress単体によって検出されています。もしHuntressという存在がなければ、この13%の実行可能ファイルは現在も検出できないままだったでしょう。

 

CADET
CADETでは、ITインフラストラクチャの各構成要素、つまりネットワーク、データセンター、クラウド環境、エンドポイント・デバイス、モバイル・デバイスのすべてにアクセスして可視化できます。要素を個別に検査するのではなく、セッション全体の流れを把握し、「リンクが送信されたのは電子メールかモバイル・デバイスのテキスト・メッセージか」、「送信者は誰か」、「ドメインはいつ誰によって登録されたのか」などの点を確認することができます。

CADETで行っているのは、検査対象の要素およびそのコンテキストから数千に及ぶパラメータを抽出し、コンテキストに基づいた正確で唯一の判断を導き出すことです。これは、セキュリティ対策において決定的な働きを担います。

チェック・ポイントのこれまでのテストでは、検出漏れが半減、誤検出率が10分の1に減少というめざましい成果が上がっています。これは単なる数字上の成果ではありません。現実のサイバー・セキュリティでは、検出エンジンの正確性こそが重要な意味を持つのです。

チェック・ポイントでは、現実的に重要な数字を改善するために、AIとその他の技術の統合に取り組んでいます。残念ながら、現時点のAI技術は、単独で使用できるほどには成熟しておらず、効果的な運用には人間による大量のインプットが必要です。

しかし、攻撃ライフサイクル全体をカバーする複数のエキスパート・エンジンに付け加える追加レイヤとして活用した場合には、ネットワークやデバイスを保護するサイバー・セキュリティの強化策として大きな効果を発揮します。「AIウォッシング」とは違う、真のAI活用がここに存在します。

 

本ブログは、米国時間8月30日に配信されたものの抄訳です。
米ブログ本文はこちらをご確認ください。
https://blog.checkpoint.com/2018/08/30/ai-and-cybersecurity-combining-data-with-human-expertise/