数年前から、”AI” または ”人工知能” というワードを良く聞くようになりました。
ECサイトにアクセスすると、「あなたへのオススメ商品」として、自分にとって興味のある商品がピックアップされます。このような機能は、ユーザの検索履歴や購入履歴といった大量のデータを、AIで解析することによって実現されます。
自動車業界でもAIが導入されています。AIを利用した運転補助技術の進歩による、交通事故の減少や、将来的には完全自動運転が期待されています。
このように、AIは多くの分野で利用され、各分野の発展に貢献しています。では、セキュリティ業界において、AIはどのように利用されているのでしょうか?本記事では、AIを利用したセキュリティソリューションについて解説します。
AI技術を用いたセキュリティソリューション
AIを用いたセキュリティソリューションは、「マルウェアの検出」「ログの監視・解析」「継続的な認証」「トラフィックの監視・解析」「セキュリティ診断」など、意外と多く存在します。本記事では、「マルウェアの検出」「ログの監視・解析」「継続的な認証」について取上げようと思います。
まず、「マルウェアの検出」についてです。プログラムの挙動からマルウェアを検出する、いわゆる「振舞い検知」の技術に、AIが利用されることがあります。AIは、蓄積された大量のデータから、正常なプログラムの挙動とマルウェアの挙動を学習します。そして、現在動作しているプログラムの挙動がどちらの挙動に近いのかを判定することで、マルウェアの可能性があるプログラムを検出します。
ここでのメリットとして、パターンマッチングなどの、いわゆる「ヒューリスティックな検知」と比べて、未知のマルウェアに強いことが挙げられます。
次に、「ログの監視・解析」についてです。セキュリティに関するあらゆるイベントログを適切に監視・解析することで、攻撃や攻撃の予兆を検知できる可能性が高くなります。このログの監視・解析に、AIが利用されることがあります。AIは、蓄積された大量のログから、正常時の特徴と攻撃を受けた時の特徴を学習します。そして、ここ数分のログの特徴がどちらの特徴に近いのかを判定することで、攻撃を検知します。
ここでのメリットとして、従来は人手で行っていたことをAIで代用できることが挙げられます。たとえばSOC(Security Operation Center)では、怪しいログを検知した場合、熟練したオペレータが検知したログと周囲のログを突きあわせることで、それが攻撃かどうか判断します。AIでこの作業を代用することで、熟練したオペレータ不足という問題を解消できます。
3つ目の「継続的な認証」については、聞きなれないキーワードであるため、少し詳しく取上げます。
継続的な認証とは?
一般的な認証システムでは、IDとパスワードを利用して、ログイン時にユーザを認証します。そして、セッションが続く限り再度認証することは、ほとんどありません。つまり、初回認証後は、正当なセッションIDを持つ全てのリクエストを、認証に成功したユーザが送信したリクエストとして処理します。
時間の経過と共に失われるセッションの信頼性
初回認証から5分後の時点では、セッションの信頼性はかなり高いといえます。たとえば、5分後に受信した、正当なセッションIDを持つリクエストは、認証を成功させたユーザによって送信された可能性が高いです。しかし、セッションの信頼性が1時間後も同様に高いとはいえません。まず、初回認証から時間が経過するにつれて、セッションハイジャックやトークン窃取のリスクが高くなります。また、認証を成功させたユーザが、PCをその場に残して離席し、そのPCを別の人物が操作する可能性もあります。つまり、時間の経過と共に、別のユーザが初回認証を成功させたユーザとすり替わる可能性が高くなります。
このリスクは、ログイン後も定期的にユーザを認証する(継続的な認証)ことで、低減することができます。しかし、10分おきにIDとパスワードの入力を求めるサービスを使うユーザは、まずいないでしょう。
継続的な認証を実現するAI
AIは、継続的な認証にIDとパスワードではなく、別のユーザ情報を利用します。別のユーザ情報とは、IPアドレス、アクセス時刻、アクセス元の地理情報など、多岐に渡ります。また、発展的な情報として、マウスの軌道やタイピング速度といった、ユーザ自身の性質を含む情報を収集することもあります。この認証において、AIはリクエストを受信する際にユーザ情報を求めます。そうして蓄積したユーザ情報から、そのユーザの過去のアクセスパターンを学習します。そして、リクエストを受ける度に、その時のユーザアクセスパターンと過去のアクセスパターンとの間に、大きな差異がないか確認することで、継続的な認証を実現します。
セキュリティ業界におけるAIの今後の展望
AIは、「未知のウィルスの検知」や「継続的な認証の実現」のように、従来の技術では困難だった新しい付加価値を与えてくれたり、「SOCの代行」のように、人手による作業を代行してくれたりします。サイバー攻撃の高度化や熟練したセキュリティ人材不足という課題を抱えるセキュリティ業界にとって、今後AIの活用は必須になるでしょう。