セキュリティ・オートメーションはAIセキュリティではない

2017年1月17日
Vectra AIセキュリティ研究チーム
サイバーセキュリティ
セキュリティ・オートメーションはAIセキュリティではない

このブログはISACA Nowに掲載されたものです。

雇用の多くの分野で、人工知能(AI)技術の応用が恐怖を増大させている。ニューズウィーク』 誌のケヴィン・マニーは、最近の記事"How artificial intelligence and robots will radically transform the economy "で、雇用の保留中の変容とそれがもたらす懸念を鮮やかに要約している。

情報セキュリティ(InfoSec)コミュニティでは、AIは一般的に救世主と見なされている。つまり、人間を増やすことなく、企業が脅威をより迅速に特定し、緩和することを可能にするテクノロジーの応用である。しかし、必要なスキルや経験を身につけるにはコストがかかり、またその取得も困難であるため、人的要因は一般的にビジネスを阻害する要因になると考えられている。

その結果、ここ数年、多くのベンダーがAIを採用した製品を再設計し、ブランド名を変更した。これは、新たな脅威に対抗するためには、販売されているツールや製品を管理する人員を追加する必要があるという顧客の不満が高まっていることへの配慮であり、また、20年にわたる検知技術の革新にもかかわらず依然として存在する脅威に対処するための「レガシー」なアプローチとの差別化要因でもある。

機械知能、機械学習、ビッグデータ、データレイク、教師なし学習など、さまざまなデータサイエンスのバズワードが、ブランド名を変え、再マーケティングされ、製品の売り込みや販促物に盛り込まれたことで、セキュリティの自動化がAIセキュリティと同じであるかのように見えるようになった。

我々はまだAI革命の初期段階にいる。製品やサービスのベンダーは、v1.0のAIエンジンを進化させ、主に2つの課題を解決することに注力しています。それは、拡大する脅威データの山から実用的なナゲットを探し出すことと、最も一般的で基本的な人間のセキュリティアナリストの機能を複製することです。

どちらの課題も、AIプラットフォームに特に要求するものではない。異常検知、データ・クラスタリング、ラベリング・プロセスに対する統計的アプローチは、最初のセキュリティ課題の基準をすべて満たしており、一方、1970年代や1980年代の「エキスパート・システム」アプローチは、2番目の課題の大部分に対して適切である傾向がある。変化したのは、意思決定の基礎となるデータの量と、学習システムの進歩である。

現在、多くのセキュリティ・テクノロジー・バイヤーを混乱させているのは、基本的に「自動化」を実現する製品やサービスにAIというバズワードが含まれていることだ。

例えば、重要なアラートを選別し、他の少ないアラートやログ・エントリーと関連付け、パケットキャプチャ(PCAP)やホスト・アクティビティ・ログを取得し、外部の脅威インテリジェンスやデータ・フィードを重ね合わせ、人間のアナリストが次のアクションを決定するための分析パッケージを提示する。もちろん、組織がその気になれば、これらのリンクされたアクションはすべて、スクリプト言語を使って簡単に自動化できる。

セキュリティイベント処理の自動化には、AIは必要ない。少なくとも、世界的な経済と雇用の変革を引き起こすと我々が予想するような種類やレベルのAIは必要ない。

今日の多くの製品に採用されているAI v1.0は、組み立てラインのロボットと考えるのが最も適切かもしれない。この自動化は明らかに、インシデント調査やレスポンスに効率性と一貫性をもたらすが、それ自体では、熟練した人間のアナリストを雇用する組織の必要性に影響を与えるまでには至っていない。

組織がより快適にデータを共有し、集合的にデータをプールするようになるにつれて、セキュリティ・コミュニティは、より優れた学習システムの進歩と組み込みを予想することができる。その一例として、過去に生成され処理されたパッケージとの類似性を判断することで、自動的にコンパイルされた分析パッケージを評価し、優先順位を割り当て、適切な人間対応者にルーティングすることが挙げられる。自動化という小さな、しかし論理的なプロセスのように聞こえるかもしれないが、専門的な意思決定プロセスを学び、調整するためには、別のレベルとクラスの数学、そして「知性」が必要となる。

私の考えでは、セキュリティAI v2.0は、脅威の分類とそれに対応する行動を繰り返し観察することで動的に学習するだけでなく、これまで見たことのない不審な行動を正しく識別し、状況のコンテキストを判断し、組織に代わって最も適切な行動を開始できるインテリジェンス・エンジンにある。

これには、新しいホストがネットワークに追加され、アクティブ・ディレクトリ・サーバーに対してポート・スキャンを開始しているように見えることを識別するだけでなく、典型的なペンテストの配信プロセス、過去のペンテストの典型的なターゲット、組織内のペンテストの定期的な周期やスケジュールを理解することによって、そのアクションが侵入テスト (ペンテスト) の一部であるかどうかを予測する機能が含まれるかもしれません。このエンジンは、証拠に基づく結論を導き出し、疑わしい活動を追跡してビジネス・オーナーにアラートし、確認を待つ間に脅威防御ルールとアラートしきい値を自動的に調整して疑わしい活動を隔離し、潜在的な被害を最小限に抑えることができる。

セキュリティAIの成功は、不完全でこれまで機密扱いされていなかった情報に基づいて行動を決定することにある。その時点で、確保が難しい「ティアワン」セキュリティアナリストの役割は、過去数十年間に自動車業界で多くの組立ラインの仕事がそうであったように、消滅するだろう。

よくあるご質問(FAQ)