英国企業が開発した、機械学習で未知の脅威を検知・分析するテクノロジーとは
サイバー攻撃者はAIや機械学習を取り入れている
サイバー攻撃は、日々進化している。新しいテクノロジーが登場すれば、攻撃者はすぐに自らの攻撃に取り入れる。特に最近、増えているのが、AIや機械学習を利用したサイバー攻撃だ。
例えば企業システムに侵入し、ネットワークの状態をAIや機械学習で分析し、使われているアプリケーションやアクセスされているWebサイトなどを調べ、社内ネットワークにおける通常の状態を把握。その中に自らの攻撃を目立たないように紛れ込ませる。現実に、こうした攻撃者の侵入に気づけない企業は非常に多い。あるデータによれば、米国企業において、侵入から脅威が検知されるまでかかる平均日数は146日だという。日本企業の場合は、この数値はもっと長くなるだろう。
脅威は外部からの攻撃だけではない。企業にとっては、内部不正も大きな問題だ。従業員の倫理観や社内の仕組み、制度等も絡むため、内部不正を防ぐことも、また非常に難しい。
もはや、高度化するサイバー攻撃や内部不正を100%防ぐことは不可能だ。いま求められているのは、従来のセキュリティ対策や製品では防ぎきれない脅威を検知・対応することで、少しでも100%に近づけることだ。
機械学習で通常とは異なる"異変"を見つけるアプローチ
この難しい課題に、機械学習のアプローチで挑もうとする企業がある。それが、2013年、イギリスのケンブリッジで設立されたダークトレース(Darktrace)だ。
ダークトレースが提供する「エンタープライズ・イミューンシステム(Enterprise Immune System)」は、人間の免疫システムにヒントを得て開発された。ダークトレース・ジャパン リージョナル ディレクター 北アジアのジョン・カーチ 氏は、開発コンセプトと特徴を次のように説明する。
ダークトレース・ジャパン
リージョナル ディレクター
ジョン・カーチ 氏
「人間の免疫システムは、侵入した敵を見つけて自動的に防御します。そこにルールやシグネチャはありません。この免疫システムと同じコンセプトで開発されたのが、エンタープライズ・イミューンシステムです。このシステムには、ルールやシグネチャは不要です。機械学習によってシステムの平常状態を自動学習し、そこから外れる動きを脅威とみなして警告を発します。このシステムは、ファイアウォールやアンチウイルス、サンドボックス等の既存の製品・サービスと補完できます」(カーチ氏)
(クリックで拡大)
ダークトレースのアプローチ
エンタープライズ・イミューンシステムが見るのは、ネットワークのパケットの動きだ。システムを導入すると、一定期間、ネットワーク内のパケットの挙動を学習し、平常状態を学習する。そして、平常とは異なる挙動を検知すると、それを脅威とみなして警告を発する。
「例えば、私のIDとパスワードを盗んだ攻撃者が、私になりすましてシステムにログインし、内部情報を調べようとします。すると、エンタープライズ・イミューンシステムは、それが私の通常の行動とは異なると判断し、警告を出します」(カーチ氏)
では、ネットワークの平常状態を学習するの要する時間はどれくらいだろうか。サイバーディフェンス テクノロジースペシャリスト 重川隼飛 氏は、次のように説明する。
ダークトレース・ジャパン
サイバーディフェンス
テクノロジースペシャリスト
重川隼飛 氏
「まずは、一週間置いてくださいとご案内しています。ただし、ネットワークは生き物ですので、2週間、3週間と時間がたつほど精度は向上します。一般的な企業なら、1か月もあればほぼ学習できます。セキュリティポリシーが緩やかだったり、時期によってネットワークの状態が大きく変動したりする場合は、もう少し時間がかかりますが、カスタマイズで調整することも可能です」(重川氏)
【次ページ】高度化・複雑化するサイバー攻撃に対抗するには