人工知能(AI)は今を迎えている。人工知能は何十年も前から進化を続けてきたが、いまやあらゆる場所で一気に普及している。SiriやAlexaのようなAIを搭載したデジタルアシスタントや、ChatGPT、Gemini、CopilotのようなジェネレーティブAIツールは、サイバー犯罪者を含むすべての人の指先にAIを置いた。
デジタルネイティブでない人々にとっては、1991年の再来だ。インターネットがマニアックな軍事/学術領域からワールド・ワイド・ウェブへと変貌を遂げた年だ。当時も今も、企業はこの強力なテクノロジーを活用して業務のあらゆる面を改善する最善の方法を学ぼうと躍起になっている。
CISO(最高情報セキュリティ責任者)やSOC(セキュリティ・オペレーション・センター)のアナリストにとっての課題、そしてチャンスは、AIや、AIのサブセットである機械学習(ML)を使って、サイバー防御プロセスを自動化し、改善する方法を見つけ出すことだ。
運用技術(OT )やモノのインターネット(IoT )ネットワークのセキュリティを確保するためには、課題はさらに大きく、賭け金もさらに高くなる。ここでは、AI、サイバーセキュリティへの応用、重要インフラやその他の産業組織における主要な使用事例について簡単に紹介する。
人工知能とその進化
AIは、学習、問題解決、意思決定など、一般的に人間の知能に関連するタスクを実行する機械の能力に焦点を当てた科学技術分野である。データサイエンティストに話を聞けば、初歩的なAIは1950年代から存在していたと言うだろう。より洗練されたAIが現実のものとなったのは、コンピューティング・パワーが飛躍的に向上した1980年代のことであり、クラウド・コンピューティングのおかげで、この20年間でAIはさらに進化した。これらの技術革新は、分析における急速な進歩とビッグデータ問題を解決する能力を可能にした。
国防高等研究計画局(DARPA)によれば、1950年代以降、AIには3つの歴史的な波があったという:
- 手作りの知識(1950年代~1980年代):ルールベースのシステムで、明確に定義された問題に対して単純な論理ルールを実行できるが、学習や不確実性への対処ができない。例最適なルートを計画できる全地球測位システム、チェスをするコンピュータ。
- 統計的学習(1980年代~2010年代):MLやニューラルネットワーク、あるいはディープラーニング・モデルは、大規模なデータセットで適切に訓練されれば、さまざまな状況を学習し、適応することができる。例顔認識・音声認識プログラム、空撮ドローン。
- 文脈適応(2010年代~現在):大規模な言語モデル(LLM)を使用して、画像を含むニュアンス豊かなコンテンツを作成する。例ChatGPT、DALL-E。
AIの第一波は主に学術的なものだった。第二の波である統計的学習は、ゲームチェンジャーであり、今でもあらゆる業界で広く使われている。具体的には、MLはパターンを学習し予測を行うために、大規模なデータセットを訓練する3つのアルゴリズム群を採用している:
- 過去のデータから将来の出来事を予測する回帰アルゴリズム
- データを既知のカテゴリーに分けるのに役立つ分類アルゴリズム
- カテゴリーを知らなくてもデータから新しいパターンを発見するクラスタリング・アルゴリズム
ディープラーニングと大規模言語モデル(LLM)は、これらの低レベルのアルゴリズムを組み合わせて、より高度な分析を行う方法の2つの例である。例えば、LLMは生成AIとして知られ、回帰分析を使ってデータセットの基礎となるパターンを学習し、リカレント・ニューラル・ネットワーク(あるいは最近ではトランスフォーマー)を使って合成コンテンツを生成する。データの海を理解する上で、これらの第二の波の能力が印象的であるのと同様に、第三の波とその力を利用する方法に注目が集まっている。
AIがサイバーセキュリティに与える影響
SF作家たちが長い間予言してきたように、超人的な知性は善にも悪にも利用される。サイバー領域では、AIは攻撃側と防御側の両方によって活用されている。ここでは、AIが活用されている3つの方法を紹介する。
AIによるサイバー攻撃
悪質業者は、攻撃をより速く、より正確に、より検知しにくくするために、AIとMLを素早く利用するようになった。彼らは、マルウェアの生成、フィッシングメールの作成、ディープフェイクの作成だけでなく、これまで以上に簡単に脆弱性を見つけて悪用するためにAIやMLを利用している。
AIシステムを狙う脅威
すでに自動化されたプロセスを強化するためにAIを採用する企業が増えるにつれ、AIシステム自体の脆弱性が新たな懸念となっている。データポイズニング、大規模言語モデル(LLM)プロンプトインジェクション、MLモデル回避などの悪質な手口は、脅威行為者が効率性と革新性を高めるために設計されたテクノロジーを悪用する方法を学ぶ中で、手ごわい課題を突きつけている。
OT/IoT の例を使うなら、AI主導の予知保全システムが、データポイズニング・サイバー攻撃(AIが支援したかどうかは別として)で操作されたらどうなるかを考えてみよう。敵対者はセンサーの測定値を変更したり、データに欺瞞的なメンテナンスログを導入したりするかもしれない。システムに偽の情報を与えることで、攻撃者はAIモデルを惑わし、健康状態やメンテナンスの必要性について不正確な予測をさせる可能性がある。
攻撃者がAIシステムの脆弱性をどのように悪用するかを理解するための優れたリソースは、MITRE ATLAS™(AdversarialThreat Landscape for AI Systems)です。MITRE ATT&CK®を補完するこのフレームワークは、敵対者がAIシステムを標的にするために使用する現実世界の戦術と技術に焦点を当てています。2023年11月には、生成AIとLLMを組み込んだシステムの脆弱性に対処するために更新されました。
AIシステムの脆弱性は、もうひとつの既視感のある課題を提起している。OT 、克服が難しいことが証明された難解な欠陥「insecure by design」のレッテルを貼られて久しい。同じことがAIについても言えるのだろうか?私たちは今、AIシステムにセキュリティを組み込んでいるのだろうか、それとも同じような後付けの悪夢を味わうことになるのだろうか?
AIによるサイバー防衛
防御する側にとっては、何十ものソースからの膨大な量のデータを分析し、相関させる必要があるため、AIやMLにとって格好のユースケースとなる。実際、今ではほとんどのサイバーセキュリティ・ベンダーが、さまざまな程度でAIを自社製品に組み込んでいる。今日、MLと行動分析学は、サイバーセキュリティ・スタック全体で、以下のようなあらゆるプロセスのスピードと精度を向上させるために機能していると考えてよい:
- ビッグデータの分析と相関
- 脅威検知(異常、攻撃、マルウェア)
- 脆弱性の特定と優先順位付け
- リスクのスコアリングと優先順位付け
- インシデントレスポンスの自動化
サイバーセキュリティ・ベンダーとそのAI機能を評価する際には、何を得ているのかを正確に理解することが重要だ。 問題は、AI/MLを組み込んでいるかどうかではなく、どのように組み込んでいるかである。質問すべきことは以下の通りだ:
- どのようなアルゴリズムが、どこで使われているのか?(回帰、分類、クラスタリング、生成の各アルゴリズムを採用しているかどうか、またどのように採用している かについて、少なくとも共有する意思はあるはずである)
。 - 日常的なセキュリティタスクにおいて、AIはどのようにチームを支援するのか?(監視、相関、検知、分析)
- 新たなAI機能は、御社のロードマップのどこに位置づけられるのでしょうか?
AI forOT サイバーセキュリティ
AIが支援するOT サイバーセキュリティには、さらに大きな能力が要求される。ご存知のように、守るべきものが増え、攻撃の賭け金が高くなることが多いからだ。制御システムや物理プロセスがあり、設定可能なプロセス変数があり、すべてが悪用される可能性がある。重要なインフラやその他の産業環境を管理する組織は、特定、保護、検出、対応、復旧といったサイバーセキュリティ・ライフサイクルの各段階に取り組むためにAIを活用する必要がありますが、OT/IoT ネットワークを保護するための追加機能も必要です。主なユースケースは以下の通り:
- ネットワークトラフィックから収集されたプロセス変数の挙動を学習するためにMLを使用し、ベースライン時系列から異常を強調する
。 - 各センサーのベースライン・ネットワーク・アクティビティから異常帯域幅を予測し、対処する。
Nozomi Networks 、AIを活用して最も困難なOT/IoT セキュリティ課題に取り組むことは、当社のDNAです。共同設立者であるアンドレア・カルカーノとモレノ・カルッロは、現在それぞれ最高製品責任者と最高技術責任者を務めており、AIだけでなく産業用ネットワーク・セキュリティとシステムエンジニアリングの専門家として国際的に認められています。私たちは、2013年に業界初の産業用制御システム(ICS)向けのAIを活用した可視化とサイバーセキュリティ・ソリューションを発表して以来、当社のプラットフォームにAIを組み込んできました。このイノベーションの輝く2つの例は、Nozomi Guardian™とNozomi Vantage IQ™です。
AIを活用した異常検知と脅威検知
2013年に導入、 Nozomi Guardianは、AIアルゴリズムを使用して、膨大な量のネットワーク通信を迅速に分析し、他の方法では評価が極めて困難な変動データを処理する。これには、適応学習を使用してネットワークの「正常な」動作を確立し、設定されたしきい値を超えるトラフィック・パターンにフラグを立てることが含まれる。その後、AI主導の分析を使用して、環境内の各ICSをモデル化し、そのICSに固有のプロセスとセキュリティ・プロファイルを開発します。
ベースラインが確立されると、高速行動分析がそれを継続的に監視するために使用されます。その結果、ゼロデイ攻撃や重要なプロセス変数の異常など、重大な損害を引き起こす前に異常を迅速に検出することができます。
AIによるクエリーと分析
2023年、我々は以下を発表した。Nozomi Vantage IQは、OT 環境に特化して構築された初の AI ベースの分析エンジンを発表しました。このエンジンは、熟練したセキュリティ・アナリストの学習経験をAIで再現し、ネットワーク、アセット、アラート・データのレビュー、相関付け、優先順位付けといった面倒な作業を自動化します。例えば、ディープ・ニューラル・ネットワークを使用してネットワーク・アクティビティ・パターンを特定し、あらゆるセンサーのベースラインから異常な帯域幅を予測し警告する。
AIの世界で共存する
AIとMLはサイバーセキュリティ・チームにとって明確な利点があり、より少ないリソースで驚くほど多くのことをこなせるようになる。サイバー人材不足、特にOT やIoT のような専門分野を考えれば、これは良いことだ。しかし、敵対勢力もその恩恵を享受している。AIの科学技術が進化し続けるにつれ、サイバー攻撃の手法も進化する。ある日の戦いでどちらが勝っているかを言うのは難しいが、組織はAIを駆使した世界で勝ちたいのであれば、敵の能力を知り、それを上回るよう努力する必要がある。
