サイバー脅威の検出におけるAIの役割

1. はじめに#

世界のサイバー脅威の状況は、2つの進化を遂げています。脅威の頻度が増加しているだけでなく、以前よりも著しく複雑になっています。具体的には、2024年第2四半期には世界中でサイバー攻撃が驚異的に30%増加し、組織に対して毎週平均1,636件の攻撃が行われました。さらに、2020 Webroot Threat Reportによると、2019年のマルウェア攻撃の93.6%はポリモーフィック型でした。つまり、検出を回避するための自己調整コードが含まれていました。これらの課題が拡大するにつれて、脅威インテリジェンスにおける人工知能（AI）の役割は不可欠になっています。

2. サイバーセキュリティにおけるAIの台頭#

人工知能は、その中核において、機械が人間の知能（推論、決定、パターンの認識能力）を模倣することを可能にします。サイバーセキュリティにおいて、これはAIが人間のアナリストの認知機能を複製するだけでなく、計算と速度の面で人間の限界を超えることができることを意味します。これをさらに効率的にするAIのサブセットが機械学習（ML）です。MLを使用すると、機械（この場合はAIを活用したサイバーセキュリティシステム）は、人間が継続的にプログラミングしなくても、その場で学習して進化できます。システムには大量のデータが供給され、パターンの発見、行動の予測、逸脱の理解方法を学習します。機械学習はさらに3つのタイプに分類できます。

1. 教師あり学習: システムはラベル付けされたデータを使用してトレーニングされます。これには人間の支援が必要であり、アルゴリズムに入力と出力の関係を理解させるのに最適です。
2. 教師なし学習: システムはラベル付けされていないデータを使用してトレーニングされます。これは人間による監督がなく、まだ発見されていないパターンを特定するのに役立ちます。新しいリスクの検出に最適です。
3. 強化学習: このタイプの学習では、アルゴリズムは試行錯誤の方法を使用してトレーニングされ、正しいアクションには報酬が与えられ、誤ったアクションにはペナルティが課せられます。

3. サイバー脅威検出にAIを使用する利点#

サイバー脅威検出に人工知能を導入する上位4つのメリットは次のとおりです。

1. 誤検知を減らし、脅威特定の精度を向上 AIは、複数のデータソースを即座に統合してアラートの背後にあるコンテキストを理解することで、セキュリティチームの生産性を最大化します。これにより、不要なアラートが減少し、組織に潜在的な損害をもたらす実際の脅威に集中できるようになります。たとえば、AIは、ユーザーの過去の行動や位置情報を分析することで、正当なログイン試行と不審なログイン試行をすばやく区別できます。

2. 大量のデータの処理と分析におけるスピードと効率性 人間のアナリストがデータの収集と解釈に膨大な時間を費やしていた従来の脅威検出と比較して、AIはサイバーセキュリティに革命をもたらします。さまざまなソースからセキュリティデータを収集し、それをクリーンアップして標準化し、定量的データと定性的データの両方を想像を絶する速度で分析できます。この超人的な効率性により、セキュリティチームは、現在システムがどのような状態にあるかについての有意義なインサイトを手間をかけずに得ることができます。

3. 予測分析によるプロアクティブな脅威検出 予測分析は、現在および過去のデータを使用して将来のパフォーマンスを予測する一連のテクノロジーであり、サイバー脅威検出のゲームチェンジャーです。組織は現在、標的になる可能性が最も高い脆弱性を評価し、既存の株を分析して新たなマルウェアを特定し、異常を正確に検出して不審なアクティビティや悪意のあるアクティビティにフラグを立てることができます。

4. 進化するサイバー脅威に適応するスケーラビリティ 機械学習モデルを使用するサイバー脅威検出システムは、より多くの脅威に対抗し、学習するためのより多くのデータを取得するにつれて、効果的に自動進化することができます。この動的なアプローチにより、システムは検出機能を自動的に調整し、変化し続ける高度なサイバー脅威の状況に適応できます。

4. サイバー脅威検出におけるAIの応用#

サイバー脅威の検出におけるAIの役割を、より実用的なレベルで理解しましょう。

4.1 ネットワークセキュリティ#

AIは主に、ネットワークトラフィックの異常を特定し、攻撃対象領域を減らすためのマイクロセグメントを作成し、ネットワークとインフラストラクチャの監視を自動化することで、ネットワークセキュリティを向上させます。これを詳しく見ていきましょう。

• 異常検知: AIは、ネットワークトラフィック、システムログ、およびユーザーインタラクションに関するデータを取得して、一般的なネットワークアクティビティのベースラインを構築します。この基準からの逸脱は、潜在的な脅威やセキュリティの問題を意味します。

• ネットワークマイクロセグメンテーション: 自動化されたIDベースの推奨事項、ユーザーのグループ化、およびゼロトラストセキュリティは、大規模なネットワークを管理可能なセグメントに分割し、全体的な攻撃対象領域を減らす方法の一部です。
• 自動化されたネットワークセキュリティの監視と管理: 組織は、AI主導の脅威検出器を展開して、ネットワークセキュリティをリアルタイムで自動的に監視し、誤動作を検出し、非コンプライアンスを追跡し、特定の脅威に対応することさえできます。

4.2 エンドポイントセキュリティ#

リモートワーク/ハイブリッドワークモデルとBYOD（Bring Your Own Device）ポリシーの台頭により、エンドポイントセキュリティの強化が必要になっています。ここで、ネットワーク内のエンドポイントを保護するための真に高度なソリューションとして登場するのが、**次世代アンチウイルス（NGAV）**です。AI、ML、およびふるまい検知をMacKeeperなどの他のエンドポイントセキュリティツールと組み合わせることで、ユーザーデバイスの既存および新規の脅威の両方をブロックできます。最も重要なことは、NGAVにはクラウドベースのアーキテクチャがあり、組織がほぼ瞬時にリモートで展開できるだけでなく、リアルタイムの脅威インテリジェンスを提供することです。主要なNGAVソリューションの1つに関する詳細については、CybernewsのBitdefenderレビューを参照して、堅牢なエンドポイント保護をどのように提供するかを学んでください。NGAVに加えて、**エンドポイントでの検出と対応（EDR）**をAIと統合して、集中管理ハブを使用してネットワークエンドポイントの脅威にフラグを立てて軽減することもできます。

4.3 不正検知#

機械学習は、不正を検出および防止するための強力なツールになっています。ログインパターン、購入行動、支払い方法など、さまざまな顧客タッチポイントにわたる大量のトランザクションおよび行動データを分析することで機能します。時間が経つにつれて、MLモデルは特定のユーザーまたはシステムにとって「通常の」トランザクションがどのようなものかを学習します。
これらのパターンが確立されると、モデルは、突然の場所の変更、予期しない支出の急増、または不規則なログイン試行などの異常なアクティビティを、潜在的に不正であるとすばやくフラグ付けできます。この分野における新たな脅威の1つは、AIを活用した音声なりすましです。攻撃者は合成音声を使用して実際の人物になりすまします。これに対処するために、MLモデルはさまざまな音声サンプルを使用してトレーニングされ、偽の音声を検出します。無料のAI音声ジェネレーターなどのツールは、モデルが本物の音声と合成音声の微妙な違いを学習するのに役立つ現実的な例を提供できます。この音声検証の追加レイヤーは、音声ベースのトランザクションとIDチェックを保護するためにますます重要になっています。

4.4 ふるまい検知 (BA)#

AIは、ユーザー、エンティティ、システムのいずれであっても、ふるまい検知において決定的な役割を果たします。分析の対象に基づいて、BAは次の3つのカテゴリに分けることができます。

• ユーザーおよびエンティティのふるまい検知（UEBA）: UEBAを活用する組織は、ユーザーまたはエンティティ（デバイス、アプリケーション）の行動を監視および分析して、悪意のあるアクティビティを探すことができます。たとえば、UEBAは、異常なログインと不審なログイン試行を区別するのに役立ちます。これは、セキュリティの重要な部分であるため、特にアプリ開発中に行われます。

このコンテキストでWeb開発者が何をするか疑問に思っている場合は、ふるまい検知ツールの統合と、アプリケーションがセッションハイジャックや不正アクセスなどの脅威に対して回復力を持つようにすることが含まれます。

• ネットワークのふるまい検知: AIはネットワークトラフィックを分析することで、標準から逸脱したネットワークパターンにフラグを立てることができます。たとえば、誰かがネットワークに知られていない受信者に不当に大量のデータ（画像など）をエクスポートしようとしたときに、セキュリティチームに警告することができます。

• インサイダー脅威のふるまい検知: ITBAとも呼ばれ、潜在的なインサイダー脅威を示す、特権を悪用している可能性のあるユーザーを組織が特定するのを支援します。その結果、誰かが機密情報に違法にアクセスしたり、データを漏洩させたり、不明なソフトウェアをインストールしたり、重要なシステムファイルを消去したりしているかどうかを確認できます。

5. 課題と限界#

ただし、AI主導のサイバー脅威インテリジェンスには限界があります。サイバー脅威を検出するためにAIを使用する際の4つの主要な課題を以下に示します。

5.1 データ品質とバイアス#

計算は簡単です。サイバー脅威を検出するために偏ったデータでMLモデルがトレーニングされた場合、システムはその動作におけるそのバイアスを強化するだけです。たとえば、99%のユーザーがWindowsで操作していた過去のネットワークトラフィックパターンでシステムがトレーニングされた場合、Linuxベースのデバイスからのログイン試行に潜在的な脅威として誤ってフラグを立ててしまいます。

5.2 敵対的攻撃#

サイバー脅威検出にAIを導入する際のもう1つの重要な課題は、敵対的攻撃の量の増加です。脅威アクターはこれらの攻撃を使用して、MLアルゴリズムがトレーニングされる入力データを混乱させ、出力（AIによる決定または予測）も不正確になるようにします。

5.3 解釈可能性#

一般に「ブラックボックス」問題として知られているように、複雑な機械学習アルゴリズムには透明性が欠けています。これは、モデルが特定の決定をどのように行ったかを理解することが不可能であることを意味し、その結果、システムが予期された機能から逸脱したときにそのようなシステムを修正することが困難になります。その結果、アナリストは、検出の背後にある理由が不明確な場合、フラグが立てられた脅威を理解して対応することが困難になる可能性があります。

5.4 倫理およびプライバシーの懸念#

AIベースのサイバー脅威の監視と検出には、無意識のうちに多くの倫理的およびプライバシーの懸念への道を開く可能性のあるデータ収集が含まれます。これらには、個人とその個人情報に対する過度の監視、分析に必要な以上のデータの収集、およびユーザーの同意なしでのユーザーデータの収集が含まれます。

6. 結論#

予測分析、ふるまい検知、リアルタイムの異常検知などのサイバーセキュリティソリューションにより、人工知能はサイバー脅威インテリジェンスを再定義し続けています。ただし、動的な脅威の状況と真に戦うには、AI主導のサイバーセキュリティシステムにおけるプロアクティブな適応と革新が不可欠です。同時に、組織は、より安全なデジタル世界を構築するために、技術の進歩と倫理的責任のバランスを取ることを学ぶ必要があります。

著者について:
Prateek Aroraはthestartupinc.comのコンテンツマーケティングスペシャリストであり、Webサイトの訪問者を有料顧客に変えるB2BおよびSaaSのトピックを掘り下げています。革新的なマーケティング戦略の探求に情熱を注いでいるPrateekは、ターゲットユーザーの共感を呼ぶコンテンツの調査と作成を楽しんでいます。空き時間には、街をドライブしたり、友達と遊んだりして、活気ある都市の風景からインスピレーションを得るのが好きです。

Corbadoについて

Corbadoは、大規模なconsumer認証を運用するCIAMチームのためのPasskey Intelligence Platformです。IDPのログや一般的なanalyticsツールでは見えないものを可視化します。どのデバイス、OSバージョン、ブラウザ、credential managerがpasskeyに対応しているか、なぜ登録がログインにつながらないのか、WebAuthnフローのどこで失敗するか、OSやブラウザのアップデートがいつ静かにログインを壊すか — Okta、Auth0、Ping、Cognito、あるいは自社IDPを置き換えることなく、すべてを把握できます。2つのプロダクト：Corbado Observeは passkeyとその他あらゆるログイン方式のobservabilityを提供します。Corbado Connectは analytics内蔵のmanaged passkeyを追加します（既存のIDPと併用）。VicRoadsはCorbadoで500万人超のユーザーにpasskeyを提供しています（passkey有効化率+80%）。 Passkeyエキスパートに相談する →

よくある質問#

AIはサイバー脅威検出における誤検知をどのように減らしますか？#

AIは、複数のデータソースを統合して各アラートの背後にあるコンテキストを理解することで、誤検知を減らします。たとえば、ユーザーの過去の行動や位置情報を分析して、正当なログインと不審なログインを区別し、セキュリティチームの注意をノイズではなく実際の脅威に集中させます。

AIを活用したふるまい検知におけるUEBAとITBAの違いは何ですか？#

ユーザーおよびエンティティのふるまい検知（UEBA）は、ユーザーとアプリケーションなどのデバイスの両方を監視し、不審なログイン試行などの悪意のあるアクティビティを検出します。インサイダー脅威のふるまい検知（ITBA）は、特権を悪用しているユーザーを特定し、不正なデータアクセス、データ漏洩、または不明なソフトウェアのインストールにフラグを立てます。

敵対的攻撃は、AIベースのサイバー脅威検出をどのように弱体化させますか？#

敵対的攻撃は、機械学習アルゴリズムが学習する入力データを意図的に操作し、モデルの予測と決定を不正確にします。脅威アクターはこれを悪用して検出システムを盲目にし、悪意のあるアクティビティを正当なものに見せかけ、AI主導のセキュリティコントロールをバイパスします。

エンドポイントセキュリティにおいて、次世代アンチウイルスが従来のアンチウイルスよりも優れているのはなぜですか？#

次世代アンチウイルス（NGAV）は、AI、機械学習、およびふるまい検知をクラウドベースのアーキテクチャと組み合わせることで、ほぼ瞬時のリモート展開とリアルタイムの脅威インテリジェンスを可能にします。従来のアンチウイルスとは異なり、NGAVはユーザーデバイス上の既知および未知の脅威の両方をブロックするため、リモートおよびBYODの作業環境で特に効果的です。