今年のHunt Clubでは、Gammaのセキュリティ運用マネージャーであるAJ・ウィギン氏と対談する機会を得て、今日のセキュリティチームが直面する最大の課題の一つである、AIを活用した攻撃への防御について話し合いました。
攻撃者がAIを活用して偵察の自動化、悪意のあるコードの生成、攻撃の実行の加速化を進める中、セキュリティチームが攻撃を検知・調査・対応するための時間はかつてないほど限られてきています。AJによると、こうした状況に対応するためには、攻撃がどのように展開されるかを理解し、システム間の通信状況を可視化し、AIを活用して検知・調査・対応のプロセスを効率化する必要があるとのことです。
「攻撃者たちは『ドウェルタイム』をはるかに速いペースで短縮してくるだろうから、私たちは攻撃者たちよりも迅速に対応しなければならない。」
今回の対談では、従来のアプローチがなぜ対応に苦慮しているのか、ネットワークとアイデンティティの可視化がなぜ基盤となっているのか、そしてAIを活用した相関分析が、セキュリティチームが攻撃の全容を把握し、事態が深刻化する前に攻撃を阻止するのにどのように役立つのかについて掘り下げました。
なぜサイロ化されたアプローチでは不十分なのか
多くの組織にとって、環境の複雑化に伴い、セキュリティ運用の難易度はますます高まっています。AJ氏は、環境内に何が存在しているかを把握することは、課題の一部に過ぎないと指摘しました。ハイブリッド環境やマルチクラウド環境において、ユーザー、マシン、AIエージェント、サービスアカウントがどのように通信しているかを理解することは、さらに困難です。特に、組織が複数のセキュリティ技術やレガシーなドキュメントに依存しており、長年にわたる運用ノウハウが異なるチームに分散している場合には、その難しさは一層増します。
多くのセキュリティツールは、攻撃者がすでに何らかの行動を起こしてからでないとアラートを発しません。個々の事象を検知することはできても、攻撃全体を把握するために必要な文脈情報が欠けていることがよくあります。その結果、セキュリティチームは、攻撃のライフサイクルの早い段階で対応する代わりに、何が起きたのかを突き止めるために貴重な時間を費やすことになってしまいます。
ネットワークとアイデンティティの可視化の重要性
攻撃者は、組織内に突然現れるわけではありません。攻撃のライフサイクルが進むにつれて、ID、デバイス、クラウドサービス、ネットワークを横断して移動していきます。
AJ氏は、環境がマルチクラウドへと分散化が進み、攻撃者の動きがますます迅速化するにつれ、システム間の通信の仕組みを理解することがますます重要になってきていると指摘している。
「攻撃者は、単にあなたの環境に侵入してくるだけではありません。ネットワーク内を移動しなければならないのです。」
ネットワーク通信、ワークロード、およびユーザーの活動状況を可視化することで、攻撃の連鎖の早い段階で悪意のある行為を検知するための基盤が整います。
AIを活用した相関分析と文脈の把握が捜査のあり方を変える
アナリストに個別のアラートを提示するのではなく、AIを活用した相関分析により、セキュリティチームは、ID、ネットワーク、クラウド環境にわたるテレメトリデータを結びつけ、攻撃の全容を把握することができます。
AJは、アナリストが単なるアラート以上の情報を求めていると説明しました。彼らには、アラート発生前の状況、発生後の状況、そして攻撃の全容といった、周辺のコンテキストが必要です。こうしたテレメトリデータとコンテキストを統合することで、セキュリティチームはインシデントをより効果的に調査し、影響範囲を把握し、より確信を持って対応できるようになります。
Gamma社におけるVectra AIの活用方法
AJにとって、Vectra AIの価値は、現代の攻撃から防御するために必要な可視性とコンテキストを統合することにある。Vectra AIは、ネットワーク、ID、クラウドからのシグナルを相互に関連付けることで、AIを活用した攻撃が加速し続ける中、セキュリティチームが攻撃者が環境内をどのように移動しているかを把握し、攻撃の全容を再構築し、検知、調査、対応のプロセスを効率化できるよう支援する。
攻撃者がAIを活用して攻撃をより迅速に実行するようになるにつれ、防御側もAIを活用して、マシンの速度で調査と対応を行わなければなりません。包括的な可視性と、AIを活用した相関分析およびコンテキスト情報を組み合わせることで、セキュリティチームは攻撃者の行動をより早期に把握し、調査を迅速化し、攻撃がエスカレートする前に先手を打って阻止することが可能になります。
要点
AIは攻撃と防御の両方を一変させつつあります。攻撃のタイムラインがますます短縮される中、セキュリティチームには、単にアラートの迅速化以上の対策が求められています。
AJの見解では、現代のセキュリティ運用における3つの優先事項が強調されています:
- AIを活用して検知、調査、対応のプロセスを効率化し、防御担当者がAIを活用した攻撃に遅れを取らないようにする。
- ネットワーク、ID、クラウド全体を包括的に可視化し、攻撃者が環境内でどのように移動しているかを把握します。
- シグナルを攻撃の全容と関連付けることで、アナリストは調査を迅速に進め、影響を把握し、確信を持って対応できるようになります。
AIを活用した攻撃への防御策について詳しく知る
AIを活用した攻撃に対して新たなアプローチが必要な理由と、AIを活用したネットワーク検知・対応(NDR)が、セキュリティチームがいかにして一歩先を行くことができるのかをご紹介します。
記事を読む:AIを活用した攻撃が現実のものとなった。しかし、それを阻止するAIを活用したNDRも登場している。
Vectra AIプラットフォームについて
Vectra AIが、ネットワーク、ID、クラウドからのシグナルをAIを活用した相関分析と組み合わせ、セキュリティチームが検知、調査、対応の時間を短縮できるよう支援する仕組みをご覧ください。

.jpeg)