AI
脅威の検知からインシデント報告の簡素化まで、サイバーセキュリティにおけるAI(人工知能)の活用方法は数多くあります。 しかし、最も効果的な利用方法は、機械学習モデルを最新の状態に保ち、良好なパフォーマンスを維持するためにそれほど大きな投資なく、人による作業量を大幅に軽減することです。
前回の記事(英語)では、AIモデルにおいて信頼性の高いサイバー脅威の検知と低い誤検知率のバランスを保つことがいかに難しく、労力がかかるかについて説明しました。 従って、タイトルにある質問に答えるのは簡単です。生成AIは、専門家に取って代わることはできませんが、「単純な」ケースを扱うことで、専門家の仕事量を軽減することは可能です。 さらに、時間が経つにつれてAIモデルが学習するため、生成AIが解決できる「単純な」ケースも次第に増えていくでしょう。サイバーセキュリティに従事するスタッフの時間を節約するためには、サイバー脅威の直接的な検知よりも、ゆっくりと変化が起こる作業領域を特定する必要があります。将来的に自動化が見込める最も有望な候補の一つは、疑わしいと分類されたイベントの処理(トリアージ)です。
検出ファネル
複雑な脅威を検出するのに十分なデータを収集するために、モダンな組織のSOCは、ネットワークや接続されたデバイス全体のセンサーから毎日何百万ものイベントを収集する必要があります。SIEMアルゴリズムによるグループ化と初期フィルタリングの後、これらのイベントは、潜在的に悪意のあるアクティビティに関する何千ものアラートに抽出されます。これらのアラートは通常、人によって調査されなければなりませんが、実際の脅威を含むメッセージはごく一部に過ぎません。 Kaspersky Managed Detection and Response (MDR)が検知した2023年度のデータによりますと、当社の顧客のインフラでは、毎日数十億件のイベントが発生しており、1年を通じて潜在的に悪意のあるアクティビティに関する43万1512件のアラートが確認されました。これは、当社の機器が数千億のイベントを効果的にふるいにかけていることを意味します。しかし、これらのイベントの30~70%は、アナリストによってすぐに誤検知としてフラグが立てられ、より詳細な調査の後に約13%がインシデントとして報告されました。
SOCにおける「自動アナリスト」の役割
当社のMDRチームは、アラートの初期フィルタリングのために「Auto Analyst(自動アナリスト)」を開発しました。 この管理された機械学習システムは、SIEMシステムからのアラートと、各アラートに対するSOCの判定を組み合わせて学習します。トレーニングの目的は、生成AIが正当なネットワークアクティビティによって発生した誤検知を自信を持って識別できるようにすることです。 これは脅威の検知に比べて機械学習を比較的適用しやすいとされています。
ここでの機械学習は、一般的な勾配ブースティングライブラリであるCatBoostに基づいています。訓練された「自動アナリスト」は、アラートをフィルタリングし、許容できるエラー率によって決定される指定された基準値以上のインシデントの確率が出たものだけを、人によるレビューに転送します。 その結果、アラートの約30%が「自動アナリスト」によって処理され、SOCチームはより複雑なタスクに専念することができます。
自動アナリストの実際の仕事
SOCの業務において最も重要なのはプロセスで、新しいテクノロジーはそれに適応したり、新しいプロセスを構築することが求められています。 AIシステムの場合、そういったプロセスには以下が含まれます。
- トレーニングデータの管理。 AIが正しいデータから学習するためには、トレーニングセットを事前に徹底的に見直し、そこに含まれるアナリストの判断が正確であることを確認する必要があります。
- 受信データの優先順位付け。すべてのアラートには多数の情報フィールドが含まれていますが、その重要度はさまざまです。 学習の一部には、これらの異なるフィールドに「重み」を割り当てることが含まれます。 機械学習モデルが使用する特徴ベクトルは、SIEMアラートから専門家が選択したフィールドに基づいており、フィールドリストは特定のアラートのタイプに依存します。 このような優先順位付けは、モデルが独自に行うこともできますが、その結果はきちんと確認、管理されなければなりません。
- 結果の選択的なレビュー。 SOCチームは、生成AIがエラー(特に偽陰性)を犯していないことを確認するために、自動アナリストの評価の約10%を2度確認します。 このようなエラーが発生し、一定の基準値を超えた場合(例えば、評価済みの2%以上)、AIの再トレーニングが必要となります。ちなみに、SOCでは人のアナリストの評価に対しても定期的にレビューが行われます。
- 結果の解釈。 機械学習モデルは、その評価の根拠と影響する要因を理解できるように、解釈ツールも備えるべきです。これは、トレーニングデータセットと重みの入力を調整するのに役立ちます。 例えば、あるケースでは、AIが「送信元IPアドレス」フィールドを考慮せずにネットワーク通信に「疑わしい」フラグを立て始めたため、調整が必要となりました。 このツールを使って生成AIの作業を分析することは、選択的レビューの不可欠な部分です。
- 特定のアラートに対するAI分析を除外する。 一部の検知ルールは極めて重要で、生成AIがフィルタリングする可能性が少しでもあることを容認することはできません。そのような場合は、ルールに「AI処理から除外する」というフラグを設け、これらのアラートに優先順位をつけるプロセスを設けるべきです。
- フィルタリングの最適化。SOCにおけるAIアナリストの作業を効率化するために必要なもう1つの定期的なプロセスは、類似アラートの特定です。 AIアナリストが何十件もの類似アラートを拒否した場合、これらの判定をSIEM内のフィルタリングルールにアップグレードするプロセスが必要です。 理想的には、AIアナリスト自身がフィルタリングルールの作成要求を生成し、それを担当のSOCアナリストがレビューして承認します。
サイバー脅威に効果的に対抗するためには、膨大なデータの蓄積や分析、さらには機械学習など、さまざまな技術領域でより深い専門知識を身につける必要があります。スキル、経験豊富な専門家やその他のリソース不足をいち早く補いたい場合は、Kaspersky Managed Detection and Response (MDR)の導入を検討することをお勧めします。この当社のサービスは、継続的な脅威の調査、検知、および レスポンスを提供します。
ヒント