AIとインシデントレスポンスの融合 ～セキュリティに求められる進化～

AIとインシデントレスポンスの融合～セキュリティに求められる進化～

執筆：CISO事業部　長浜 弘和
監修：CISO事業部　吉田 卓史

はじめに

こんにちは、CISOサービス事業部テクノロジーコンサルティンググループの長浜です。

以前はセキュリティのトレンドをモノにしよう！という事で、セキュリティオペレーションに関する連続三部作を書かせて頂きました。
セキュリティのトレンドをモノにしよう！ ～今日から使えるセキュリティ運用の知識三部作①「マネージドSIEMサービス」～
セキュリティのトレンドをモノにしよう！ ～今日から使えるセキュリティ運用の知識三部作②「MDR」～
セキュリティのトレンドをモノにしよう！ ～今日から使えるセキュリティ運用の知識三部作③「SOAR」～

今回の記事では、昨今注目を浴びているAIとインシデントレスポンスについてお話します。

世はまさに大AI時代

昨今のAI技術の進化は目を見張るものがあり、日常生活や産業において急速かつ広範囲に影響を及ぼしています。
例えば多くの家電製品にはAIが搭載されており、電力消費量の節約やユーザー利用の最適化を行ってくれています。
また、AIの自動音声によるニュースの読み上げは、まるで人間が話していると思ってしまうほど違和感がありません。
それほどAIの実用性向上が顕著に表れている世の中になっています。

AI技術の進化スピードは留まることなく、いずれAIが人間の知性を越える技術的特異点（シンギュラリティ）に到達するのではないかという話もあります。

既にいくつかの仕事はAIによって代替出来る形になっており、これからの社会はAIとどううまく付き合っていくかを考えることが重要になってくるでしょう。
そして、それはセキュリティの世界においても例外ではありません。

今回はその中でも、AIをインシデントレスポンスに活用することついて考えたいと思います。

インシデントレスポンスとは

まずインシデントレスポンスについて、軽くおさらいしておきましょう。
インシデントレスポンスとは、セキュリティインシデントが発生した際に、組織が迅速かつ適切に対応するためのプロセスのことです。
この時の『セキュリティインシデント』とは、組織の情報システムやデータに対する不正アクセス、攻撃、またはその他の脅威が発生した事象のことを言います（当記事では、以降この意味で単に『インシデント』と記述します）。
このプロセスは、発生してしまったインシデントの影響を最小化し、迅速に復旧することを目的として運用されます。

セキュリティオペレーションのジレンマ

昨今のテクノロジーの発達やDX化の推進によって業務の生産性が向上する反面、情報資産の増加や情報管理体制の変化に伴うセキュリティリスクが増大しています。
それらに対応するために複数のセキュリティ製品を導入するケースが多いですが、それによるセキュリティオペレーション側の課題も多く発生しています。
例えば以下のような課題があります。

• 大量のアラートが発生し、人手不足も相まって対応が遅れてしまっている
• 膨大なデータと誤検知や過検知によって重大なアラートが見落とされている
• 複数のセキュリティツールがありリアルタイムで何が起きたか把握出来ていない
• インシデント対応手順がアップデートされておらず、非効率のままになっている

このようにセキュリティオペレーションには、日常的な監視から実際のインシデント発生時の対応プロセスまで、様々な過程の至るところに課題を抱えているケースが多くみられます。
どれだけセキュリティ対策に力を入れていてもインシデントを完全に防ぐことは難しいため、最も強化すべき点はインシデントレスポンスの部分になるでしょう。
しかしサイバー攻撃は日々高度化・巧妙化しており、十分なインシデントレスポンスの態勢が整っていないのが現状です。
また、迅速に対応しなければいけないのに、重要な組織的判断や意思決定も必要となり、対応が遅れやすいというジレンマも抱えています。

そこでインシデントレスポンスにAIを活用してみるとどうなるか考えてみましょう。

AIとインシデントレスポンスの融合

結論から言うとAIはセキュリティオペレーションが抱える課題を解決してくれるものであり、インシデントレスポンスにAIを活用することは非常に有益であると考えます。
具体的には以下の点でAIの活用が効果的です。

1. パターン認識と予測能力

AIは過去のあらゆるインシデントケースを学習し、攻撃者のトレンドやパターンを分析して予測することが出来ます。
これにより攻撃の予兆を早期に察知し、事前に対策を講じることが出来るようになります。

2. リアルタイムの検出と分析

AIは大量のデータを迅速に処理出来るため、異常なパターンや兆候を自動的に検出する能力に優れています。
例えば、侵入検知システム（IDS）やログ解析ツールにAIを組み合わせて異常なネットワークトラフィックや不審な動きを早期に発見し、インシデントの兆候を即座に検出出来ます。
また、AIは従来のルールベースのシステムよりも未知の脅威に対応出来るため、ゼロデイ攻撃や高度な攻撃にも素早く反応することが可能です。

3. 迅速な初期対応と封じ込め

AIを使って、インシデント発生時の初期対応を自動的に行うことが可能になります。
例えば、攻撃を検出した際に攻撃者のIPアドレスを自動的にブロックしたり、感染拡大を防ぐためにシステムの隔離を行ったりすることが出来ます。
これにより人間の介入なしで迅速に対処し、人的リソースの負担を軽減出来ます。

 4. 効率的なインシデント対応

インシデントレスポンスの初期段階でAIが大量の情報を迅速に整理し、優先度の高いタスクをチームに通知することで、人的リソースの効率的な活用が可能になります。
また、AIは膨大なデータの中から重要な情報を抽出し、担当者に対して有効的な洞察や気付きを提供します。
これによりチームは迅速に意思決定を行い、対応の質を向上させることが出来ます。

5. 人的ミスの減少

日々大量に発生するアラート対応のストレスやプレッシャーにより、インシデントレスポンスにはヒューマンエラーのリスクがあります。
そこでAIを活用することによって手動で行う作業や判断の一部を自動化し、人的ミスを減少させることが出来ます。

6. 自動化された復旧作業

一部のインシデントはAIによって自動的に復旧出来る場合があります。
例えばシステム設定の変更をAIが監視しておけば、万が一マルウェアがセキュリティ設定を変更したとしても、異常として検出され自動的に設定を復元することが出来ます。
また、AIがインシデントに応じた最適な復旧手段を提案し、人間による承認後に提案内容を自動実行させることも可能です。

7. 継続的な学習と改善

AIはインシデント対応の過程で得られたデータや外部の脅威インテリジェンスデータを学習し、次回以降のインシデントに対する対応精度を高めます。
機械学習アルゴリズムを利用することで、AIはインシデントの傾向を把握し、次回の発生時にはより高い精度で対応出来るようになります。
この継続的な改善が、組織のセキュリティ体制を強化する重要な要素になります。

上記の様にインシデントレスポンスのフローとAIが融合することで、人間の限界を越える次世代型のセキュリティが実現可能になります。

君たちはAIとどう生きるか

AIをインシデントレスポンスに活用することで、検出の速度向上、迅速な対応、効率的なリソース活用が可能になり、インシデントへの対応力が大幅に強化されます。
さらに、AIの学習機能を活かして継続的に対応精度を向上させることで、組織全体のセキュリティ強化にも繋がります。

気を付けるべきポイントとしては、AIはあくまで補完的な役割を果たすものであるということです。
最終的な判断や対応はセキュリティ専門家が行う必要がありますが、AIはインシデントレスポンスの効果を大きく高めるポテンシャルを持っています。
また、サイバー攻撃者側がAIを悪用するリスクも視野に入れ、常にその動向を注視しておく必要があります。

AI技術は急速に進化しており、今日の議論もすぐに過去のものとなるかもしれません。
それでも我々がこれからどうAIと共に歩んでいくのか、そしてサイバーセキュリティの未来がどう進化していくのか、常に柔軟な視点で考えていくことが求められます。

【プロフィール】

長浜 弘和（ながはま ひろかず）

2020年にアイディルートコンサルティング株式会社（IDR）の前身であるデジタルアーツコンサルティング株式会社に中途入社。
国内有数のSOARエンジニアとしてSOAR導入/運用支援プロジェクトに多数従事し、様々なセキュリティソリューションと連携したPlayBookを作成。
また、SOARソリューションの有識者としてセキュリティセミナーにも登壇。

監修：吉田 卓史（よしだ たくし）

20年間にわたり、一貫してサイバーセキュリティに携わる。ガバナンス構築支援からセキュリティ監査、ソリューション導入等、上流から下流まで幅広い経験を有する。また、複数の企業において、セキュリティのコンサルティングチーム立ち上げを0から担い、数億円の売上規模にまで成長させる。IDRにおいても、セキュリティコンサルティングチームの立ち上げを担い、急速なチーム組成、案件受注拡大を行っている。