最近、AIの活用が様々な分野で見られる。
https://www.digitaleurope.org/news/case-studies-on-artificial-intelligence/
人間が行うと効率が悪い業務や人間では不得意な業務を中心に見ていくとAIの活用の可能性が考えられ、サイバーセキュリティの分野においてもAIを活用すべき業務が多くある。今回、ネットワークセキュリティの分野から如何にAIを活用するかを考えてみた。今までの静的なルールで制御していた世界からもう少し人間の目に近い、疑いを持ったファジーな感覚で検知できることがAIに期待される。そこで既存のセキュリティ装置で対応できるセキュリティ対策を振り返ると共にAIの活用の場を考えたい。
ファイアウォールの効果
サイバーセキュリティ対策と言っても、実際に効果のある対策を実践するには、単純にセキュリティ装置を入れるだけでは難しい。
ファイアウォールは業務やサービスで利用されない通信を通信プロトコル単位でブロックすることでリスクを減らす装置である。
ウェブサービスで完結するシステムを利用している場合はHTTPプロトコルだけを許可して他のFTPやSSH、SMTPなど不要なサービスを通さないことでそのプロトコルに関連したセキュリティリスクを低減させることができる。
コンテンツレベルの検査
次に1例としてファイアウォールで許可された通信をウェブ通信をとしてあげれば、HTTPプロトコル上で正しいHTTP通信と正しくないHTTP通信を見分ける必要がある。正しい、正しくないの定義がセキュリティでは難しい。ファイアウォールではプトロコル単位で制御できたが、許可するプトロコルの中で更に正悪を見分けるのは一段と難易度が増す。
IDS・IPS、WAFなどは許可された通信で更にコンテンツレベルで検査するためのセキュリティ装置であるが、既知の攻撃パターンをパケットから検査して判断するものが多い。
これだけでは過去に起こった攻撃パターンの検知がメインになるため、これ以外の攻撃手法が発見された場合、攻撃を阻止することができない。
多くのセキュリティサービス会社が提供する運用サービスはセキュリティデバイスで検知したイベントから誤検知を確認するが、その判断として過去の受信履歴から新しい検知か、それともシステム上よく検知されたイベントかを照らし合わせて通知サービスとして限定している場合もある。もちろんパケットが取得できればその内容から判断して通知しているサービスもある。
このような既知の脅威を識別するだけでもセキュリティ運用上は重要である。インターネットでの多くの不正な通信はスキャンニング活動(偵察活動)が多く、ある特定の脆弱性をスキャンする活動が盛んである。
あるIPアドレスに通信を検査するセンサーを置くと5分以内に多くのスキャナー関係の通信を受信することができる。これは次の攻撃につなげることを目的としたスキャン活動と脆弱性を定期的に収集しているインターネットサービスなど多様々である。このスキャンから脆弱性を検知されないようにすることは非常に重要で、これは最低限セキュリティの運用として実施してほしい。
未知の攻撃検知への対応
既知の攻撃パターンを検知して通信をブロックすることに加えて、次の課題は未知の怪しい通信を検知することである。
未知の攻撃を検知するには振る舞いベースの検知手法で不正な通信の検知を効果的に(誤検知を減らして)行うことが重要である。その1つとしてログ分析手法が考えられる。ログを集めて一般のユーザー(ウェブアクセスであれば利用者が正規のブラウザからアクセスする行動)の通信か判別することが重要である。正規のアクセスの特徴からかけ離れたものを注視することで、検知する可能性が高まる。
1つ例をあげればスクリプトでアクセスしてきた通信のHTTPヘッダー情報とブラウザからアクセスしてきたHTTPヘッダー情報は大きくことなる。もちろん巧妙な手法はブラウザと同じようなHTTPヘッダー情報を送信することもできるため、より判別が難しくなるがこのような違いを如何に見つけてログや通信パケットから検知するかが重要である。
AIの必要性
ある特徴(分析の観点)を人間(セキュリティアナリスト)で分析することが膨大なログからツールを使ったとしてもどのくらい効果的なのかそこが次の課題になる。アナリストはある観点を理解してその観点に基づいて分析する。しかし膨大なログやパケットから分析するのは人海戦術である。
まさににこの分野がAIが活躍すべき分野の一つである。ある特徴を学習したAIモデルでリアルタイムで検査が可能であればセキュリティ運用の効果は一段とあがる。
サイバーマトリックスはこのチャレンジをCyberNEOで実現すべく開発を行なっている。