人工知能を活用して敵対的な振る舞いパターンを学習および予測するAIを活用した振る舞い分析は、現代のサイバーセキュリティで使用されるツールの中でもますます必要性が高まっているツールです。AIを活用した振る舞い分析は、従来の検知の方法を、異常や潜在的な脅威のプロアクティブなリアルタイム検知で補強することで、セキュリティ侵害のリスクを低減し、組織の全体的なセキュリティポスチャを強化します。

この記事では、AIを活用した振る舞い分析のコンセプトを探ります。まずは、その歴史的な発展を見て、仕組みを理解することから始めます。そして、その主な利点、限界、懸念事項を検討します。

サイバーセキュリティにおける振る舞い分析の歴史的発展

サイバーセキュリティの領域における振る舞い分析には、システム内のアクティビティを観察して正常な振る舞いと非定型または異常なアクティビティを識別し、潜在的な脅威を特定することが含まれます。従来のサイバーセキュリティ手法は、事前に定義されたルールベースのシステムまたはシグネチャベースの検知に依存していました。これらの手法は、既知の脅威を識別することには長けていますが、ゼロデイエクスプロイトやゆっくりと進行する巧妙な脅威など、以前には見られなかった新しいサイバー攻撃を検知することには苦戦します。攻撃者は常に、検知を逃れるための戦術を進化させ、日常的なアクティビティのノイズにこっそりと紛れ込み、ますます速いスピードで内部環境にアクセスする方法を見つけ出しています。攻撃者がマルウェアフリーの攻撃を取り入れたり、盗んだ認証情報を使って正当なユーザーになりすましたりするため、状況はさらに複雑化しています。さらに、最新のネットワークシステムによって生成される膨大なデータは、従来のセキュリティテクノロジーを圧倒する可能性があり、新たな脅威インテリジェンスに対するテレメトリの迅速な分析や、攻撃者の兆候の早期検知を困難にしています。

攻撃の痕跡 (IOA)：振る舞い分析による攻撃者の検知

振る舞い分析は、既存の防御テクノロジーを強力に補完し、センサーベースの機械学習 (ML)、メモリスキャン、またはシグネチャなど、従来型の防御による検知をすり抜けたアクティビティを、そのランタイム時に確認するための追加の防御レイヤーとなります。サイバーセキュリティ業界は長い間、応用振る舞い分析の重要性を認識してきたものの、企業規模でこれを適用する際の最大の障害の1つとして、振る舞い分析を効果的に促進して維持するために必要なコンピューティングリソースと高精度のテレメトリの確保がありました。

クラウドストライクは、クラウドネイティブなCrowdStrike Falcon®プラットフォームが定期的に収集する何兆個ものデータポイントを処理する際に、高度な分析と専門家が生成したインテリジェンスを適用して振る舞い分析を効果的に実行する最初の企業の1つであり、攻撃の痕跡 (IOA) のパイオニアです。IOAは、攻撃者の振る舞いに関するプロアクティブで一般化された指標であり、侵害の痕跡 (IOC) として知られるより一般的なリアクティブな指標とは対照的なものです。IOAは、攻撃者の攻撃パターンや動機に照らして一連の振る舞いを調査することで、環境における攻撃者の振る舞いの微妙な兆候を組織が特定できるようにします。さらに、組織はIOAを活用することで、一般化された分析を実行できるため、これらのツールは、これまで目にしたことのない脅威についても、悪意のある振る舞いの兆候を検知できるようになります。

最近、クラウドストライクはAIを活用した攻撃の痕跡 (IOA) をリリースし、新たなIOAを分類する能力を向上させました。クラウドベースのAIのスピードとパワーを、クラウドストライクの高精度のデータ（何兆個ものデータポイントから構成され、専門家のインサイトによって洗練されている）と組み合わせることで、クラウドストライクは新しいIOAを発行する能力を加速し、拡大してきました。これにより、組織は、進化し続ける攻撃者の状況に対して迅速に適応する保護を実現できます。

レビューのプロセス

サイバーセキュリティにおいて、AIを活用した振る舞い分析にはいくつかの重要なステップがあります。各ステップは、何を探すべきか、また、潜在的な脅威に対してどのように対応すべきかをシステムに学習させるのに役立ちます。プロセスの主要なステップは以下のとおりです。

1. データ収集：システムは、ユーザーのアクティビティ、システムログ、ネットワークトラフィックなど、広範なデータを収集します。この包括的なデータセットは、AIが正常な振る舞いと異常な振る舞いの理解を構築する基礎となります。
2. AIのトレーニング：MLアルゴリズムは、収集したデータをトレーニングに使用して、システム内の正常な振る舞いを理解します。データが多様で包括的であればあるほど、AIはより正確に振る舞いを理解し、予測することができます。
3. パターン認識：トレーニングされたAIシステムは、システムのアクティビティを積極的にモニタリングし、パターンと振る舞いを識別します。トレーニングで得た理解を使用して、正常なアクティビティと疑わしいアクティビティを区別します。
4. 異常検知：AIシステムが確立された規範から逸脱した振る舞いパターンを特定した場合、その異常をセキュリティ脅威の可能性がある兆候として認識し、フラグを立てます。異常は、些細なポリシー違反から重大なセキュリティ侵害まで、多岐にわたります。
5. 専門家による検証：人間の専門家は、AIシステムが異常に対して正確にフラグを立てたことを確認し、迅速に修正に移ります。

このコンテキストでは、UEBA（ユーザーとエンティティの振る舞い分析） が極めて重要な役割を果たします。UEBAは、人間のユーザー、マシン、デバイス、ネットワークエンティティに焦点を当て、それらの振る舞いを分析することで、インサイダー攻撃や侵害された認証情報のような潜在的なセキュリティ脅威を特定します。UEBAは、システム全体の包括的なビューの作成に役立ち、AIの脅威検知能力を強化します。

AIを活用した振る舞い分析の利点

AIを活用した振る舞い分析の利点はすでに明らかになっているかもしれませんが、いくつかの重要なポイントを明確にしましょう。

• リアルタイムの脅威検知と迅速な対応時間：AIを活用した振る舞い分析システムは、異常が発生した時点で検知できるため、潜在的な脅威に即座に対応でき、それらが引き起こす可能性のある被害を軽減することができます。
• ランタイム時に追加の防御層として機能：最初のセキュリティ対策の後でも、AIの振る舞い分析が追加の防御層を提供し、運用中の振る舞いを精査して、最初にすり抜けた可能性のある脅威を捕捉します。
• 大量のデータを処理する能力と拡張性：これらのシステムは、膨大なデータセットを迅速に処理および分析する能力を備え、ネットワークの拡大に合わせて容易に拡張することができ、増大するアクティビティに対して効果的な脅威検知を維持することができます。
• 予測能力の強化：過去の振る舞いや傾向から学習することで、AIは将来の潜在的な脅威を予測し、リスクを軽減するための先制的な行動を可能にします。
• フォールスポジティブの削減：継続的なトレーニングおよび再トレーニングにより、機械学習システムは疑わしいアクティビティと標準から逸脱した無害なものを区別する能力を向上させ、誤検知の調査に費やす時間とリソースを最小限に抑えます。
• 使用されたツールに関係なく、攻撃対象領域全体の一連の振る舞いを調査する能力：攻撃者が使用する特定のツールやテクニックに見られるアクティビティによる制限を受けないため、より包括的な脅威防御のラインを提供します。
• 疑わしいパターンを検知するために一般化する能力：行動パターンの一般化により、IOA は未知の脅威やゼロデイ脅威も検知できるようになり、潜在的な攻撃に対する幅広く対応できる防御を提供します。
• クラウドのスケールとオンセンサー検知のスピードを融合：AIを活用した振る舞い分析では、クラウドリソースを活用して膨大な変数セットに対する大規模な分析を行う一方で、オンセンサーシステムを通じて脅威の迅速なローカルな検出と封じ込めを有効にすることができます。

このような利点がある一方で、AIを活用した振る舞い分析には制約があることにも注意する必要があります。

AIによる振る舞い分析の制約と懸念事項

すべてのテクノロジーと同様に、AIを活用した振る舞い分析には、使用に関する特定の制約や懸念事項があります。

• トレーニングデータへの高い依存度：AIシステムの性能は、トレーニング対象のデータの質と量に直接結びつきます。データが不十分であったり、偏っていたりすると、脅威の検知がうまくいかず、フォールスポジティブやフォールスネガティブの割合が高くなる可能性があります。
• フォールスネガティブとAIへの過度の依存のリスク：AIベースのシステムは、その高度な機能にもかかわらず、特に巧妙な脅威をフォールスネガティブとして見逃すことがあります。人間が監視することなくAIに過度に依存すると、一部の脅威が検出されないまま放置される可能性があります。
• 振る舞いデータ収集に関する倫理的およびプライバシー上の懸念：これらのシステムが効果を発揮するために必要なユーザーやエンティティの振る舞いデータを広範に収集すると、プライバシーに関する問題を引き起こす可能性があります。このようなデータを倫理的に、規制を遵守して取り扱うには、戦略的な計画とガバナンスが必要です。
• 攻撃者がAIシステムを標的にしたり、操作したりする可能性：AIシステムがサイバーセキュリティ防御に不可欠になるにつれ、AIシステム自体が標的になる可能性があります。巧妙な攻撃者は、AIのトレーニングプロセスを操作したり、システムの脆弱性を悪用したりする可能性があります。

まとめ

サイバー脅威がますます巧妙になっているため、従来のサイバーセキュリティの方法が改善され、より高度なものとなっています。データ収集、AIのトレーニング、パターン認識、異常検知を含むプロセスに基づいて構築されたAIを活用した振る舞い分析は、振る舞いパターンを観察、学習、予測する能力でサイバーセキュリティを強化します。これにより、刻々と変化する脅威の状況から学習し、それに適応できる堅牢なシステムが構築されていきます。

このアプローチは多くの利点をもたらしますが、AIを活用した振る舞い分析を効果的に提供するためには、高品質なトレーニングデータの必要性など、最新のセキュリティプラットフォームに求められる要件にも注意しておく必要があります。

サイバーセキュリティにおけるAIの可能性をさらに探るために、クラウドストライクがどのように攻撃の痕跡 (IOA) およびAIを活用した攻撃の痕跡 (IOA) のパイオニアとなり、侵害の迅速な検知と阻止のためにMLモデルと脅威インテリジェンスを活用しているのかをご覧ください。クラウドネイティブなCrowdStrike Falconプラットフォームは、現代のサイバーセキュリティの課題に対して、柔軟かつ効率的でスケーラブルなソリューションを提供します。