サイバーセキュリティの
自動化

拡大する脅威への防御の最前線に立つ機械学習

サイバー リスクがより悪質で複雑なものへと進化を続ける一方で、その背後にいる実行犯たちは刑事責任を巧妙に免れています。このような状況で常に優位に立つため、CISO には常習犯が使用するメカニズムを回避する方法が必要です。

また、驚異的な速度で自動的に生成される情報は、課題も生み出します。たとえば、センサー、位置情報トラッカー、ウェブカメラ、スマート自動販売機、その他のタイプのデバイスなどの機械は、自動化を使用して膨大な量のデータを生成しています。それに伴い、それらを保護することも必要になります。また、デジタル インタラクションでも自動化が進んでいます。画面に触れたり、音声コマンドを使用したりして、データ アクセスをトリガーすることもあります。新規作成したデータが同じデバイス上で処理および保存されることもあります。

このように膨大なデータが自動的に生成されていますが、ほとんどの組織が古いセキュリティ製品を使用して保護を行っているのが現状です。これらの製品を使用するには人の手が必要で、重大なリスク決定を行うには、さまざまな個別のシステムからの圧倒的な量のアラートを関連付けてフィルタリングしなければなりません。このようなプロセスでは、規模の拡大はもはや不可能であり、組織の脆弱性は増大していく一方です。さらに、手動システムの拡張や統合が上手く機能しない場合、セキュリティにほんのわずかとはいえ致命的な弱点が現れ、そこにマルウェアが侵入し、高いコストが発生してしまいます。

自動化には自動化で立ち向かう

ジュニパーネットワークスでは、データ量が増加している企業を効果的に保護するために自動化を活用すべきだと考えています。実際、セキュリティは、ネットワーク業界において自動化の最適な用途の 1 つであると私たちは捉えています。その理由は、脅威を阻止する最も効果的な方法が、できるだけ早急に未知の脅威を把握し、その知識を広めることであるからです。自動化はそれを迅速に行うために重要です。

自動化を可能にする機械学習は、人工知能(AI)を実現するアプローチです。人工知能とは、機械によって提示される知能であり、アルゴリズムを使用して、データから学習し、決定と予測を行います。機械学習アルゴリズムは、学習して正確な出力を提供するために大量のデータを必要とします。システムのデータがどれだけ多く存在するかで、損害が発生する前にセキュリティ インシデントを阻止する能力が決まります。

そこでジュニパーネットワークスは、最低限、サイバーセキュリティ対策を自動機械学習で強化することを提唱しています。なぜでしょうか。サイバー犯罪は 2020 年までに 2 兆ドル規模の問題になると見込まれています1。人がデータ量やリスクに追いつくことができたとしても、それに対処できる人材は不足しています。スキルセットの欠如により、2019 年までに 150 万件近くのセキュリティ オペレーションの職が不足すると見られています2。また、Enterprise Strategy Group によると、現在、組織の 45% がサイバーセキュリティのスキル不足の問題を抱えていると報告されています。これは他のどの IT 関連分野よりも高い数字です3

さらに、多くの組織では、さまざまな種類の防御のためにスタンドアロンのセキュリティ製品を展開しており、統合されていないことの多い単機能製品の管理に苦労しています。その結果、組織の保護や、次の攻撃に備えた事前の準備を実際に行うよりも、複数のセキュリティ製品を管理することに重点が置かれています。

しかし、ジュニパーネットワークスでは、悪質な活動を迅速に特定して阻止するのに必要とされる貴重な情報を、当社のネットワークのテレメトリによってすでに収集しています。現代において人、データ、インフラストラクチャを効果的に保護するために必要なのは、異常な行動を迅速に特定し、被害が発生する前に自動的に対策手法を作り出すインテリジェンスによってセキュリティ ソリューションを強化することです。

マルウェアを凌駕

従来のウイルス対策プログラムは、すでに発見されている既知のシグネチャを有する脅威を検知して無力化するために広く使用されています。しかし、被害を受けた企業の多くは、最新のウィルス対策システムを使用していました。つまり、ウイルス対策では、現在私たちを取り巻く巧妙な悪用に立ち向かうことができないのです。そのうえ、多くの組織はただでさえ複雑なセキュリティ環境に高度なマルウェア防御製品を展開しています。

ジュニパーネットワークスの見解では、サイバー犯罪の爆発的な波に抵抗するには、サイバーセキュリティ ソリューションに機械学習を活用することが必要です。機械学習は、アルゴリズムを使用してデータを分析、学習してから、予測を行います。AI の一部である機械学習は、膨大な規模で動作し、何百万もの変数を同時に処理して関連付けることで、ネットワーク トラフィックのパターンや使用状況の正常な状態と異常な状態を学習します。学習した内容を使用して、悪意のある動作を特定し、差し迫った攻撃を阻止できます。このように、機械学習はサイバー犯罪者を撃退するための武器となり、攻撃の次の動きを予測することができます。

WannaCry のようなランサムウェアについて考えてみましょう。ほとんどのランサムウェアは、組織のデータを暗号化したり、破損させたりして、データを人質のように扱います。しかも、これを人には不可能な素早さで実行します。機械学習によって強化された高度なマルウェア防御ソリューションは、トラフィックを分析し、ランサムウェアを運ぶ悪用を検知し、そのランサムウェアの正体を明らかにして、そのコンテンツを悪質なものとしてタグ付けし、封じ込め、将来のトラフィックでこの学習内容を活用して脅威レベルを判断することができます。

とはいえ、従来のセキュリティ製品が不要であると言っているわけではありません。従来のセキュリティ製品は、ネットワークに侵入しようとする既知の悪質なすべてのトラフィックを総当たり的にフィルタリングし、今なおサイバー犯罪に立ち向かうために不可欠な要素です。ジュニパーネットワークスは、新しいツールと既存のツールの両方に機械学習を導入することを推奨しています。そうすることで、クラウド内でシステムとして連携し、新しい脅威が出現した場合に、拡張性に優れた方法で迅速に変更と更新を行うことができます。

統合が何よりも重要

セキュリティ ソリューションのすべての脅威防御製品に機械学習を統合することが重要です。このようなソリューションは、継続的かつ動的に学習することで、ソフトウェア構造、ソフトウェア動作、ネットワーク トラフィック パターンの正常な動作を識別します。また、数百万もの変数とデータ ポイントを一度に分析して、差し迫ったセキュリティ違反を示す異常な行動をフラグ付けすることができます。

ジュニパーネットワークスは、従来のシグネチャとルールベースの検知を機械学習と組み合わせることで、既知の脅威だけでなく、未知あるいは未検知のマルウェアを捕らえることを推奨しています。マルウェア シグネチャの静的分析と動的分析を組み合わせて新しい脅威を特定することで、迅速かつ正確に防御することができます。また、これらのソリューションをクラウドに導入することで、集約された大規模な計算能力を活用し、機械学習モデルの迅速な更新、保持、そして常に変化する脅威条件への適用が可能になります。このように、サイバーセキュリティ ソリューションにより、新しい脅威が業界全体で特定または分析される前に迅速に検知して阻止することができるのです。

機械学習によって人間の判断が完全に不要になるわけではありません。しかし、熟練したセキュリティ アナリストの知識を大規模なデータ サイズやリスク環境に拡張して活用することができます。また、他のセキュリティ プロセスと統合することで、時間の経過とともに増加するデータの量や分析の複雑さに合わせて各々を適切に拡張することができます。

1 Source: 出典:Forbes、2016 年 1 月 17 日
2 出典:CSO Magazine、2015 年 7 月 28 日
3 出典: http://www.esg-global.com/blog/cybersecurity-skills-shortage-impact-on-technology-innovation