サイバーセキュリティにおけるIBM丨AI: 過去の約束が今現実になった

執筆者: Sridhar Muppidi、IBM フェロー兼最高技術責任者、IBM セキュリティー

出典: MIT

私たちは人工知能 (AI) が社会にもたらすメリットについて長年議論してきましたが、人々がその日常的な影響をようやく目にするようになったのは今になって初めてです。しかし、なぜ今なのでしょうか？ 2023 年の AI はこれまで以上に影響力を持つものになるでしょうか?

まず、消費者が新たな AI イノベーションに触れることで、受け入れられることが増えます。以前は想像することしかできなかった作曲や画像合成から、大学レベルの論文の執筆に至るまで、生成 AI は私たちの日常生活に入り込んでいます。第 2 に、エンタープライズ AI イノベーションの成熟曲線も変曲点に達しており、サイバーセキュリティ業界では、この進歩がさらに加速する可能性があります。

AI のコンシューマライゼーションとセキュリティにおけるそのアプリケーションは、セキュリティ オペレーション センター (SOC) に実際の影響を与えるために必要な信頼性と有効性のレベルを生み出しています。この進化をさらに明らかにするために、AI 主導のテクノロジーがどのようにしてサイバーセキュリティ アナリストの手に渡っているかを詳しく見てみましょう。

人工知能によるサイバーセキュリティの速度と精度の向上

実世界のユーザーによる長年の実験と改良を経て、AI モデル自体の継続的な進歩と相まって、AI 主導のサイバーセキュリティ機能は、もはや単なる早期採用のバズワードや単純なパターンやルールベースの機能ではなくなりました。データが爆発的に増加し、シグナルや独自の洞察も増加しました。アルゴリズムは成熟し、さまざまなユースケースから偏りのない生データに至るまで、取り込まれたすべての情報をより適切に文脈化できるようになりました。私たちは何年もの間、人工知能の到来を待ってきました。

サイバーセキュリティ チームにとって、これは、防御において状況を一変させるスピードと精度を推進する能力を意味し、おそらく最終的にはサイバー犯罪者との戦いで優位に立つことができます。サイバーセキュリティは本質的に速度と精度に依存する業界であり、これらはどちらも人工知能の固有の特性です。セキュリティ チームは、どこを調べるべきか、何を調べるべきかを正確に把握する必要があります。彼らは素早く動く能力に依存しています。しかし、サイバーセキュリティの世界では、スピードと精度が保証されておらず、主に業界の 2 つの課題、つまりスキル不足とインフラの複雑さによるデータの爆発に悩まされています。

現実には、今日サイバーセキュリティに従事する人の数は限られており、無限の数のサイバー脅威を抱えています。 IBM の調査によると、サイバーセキュリティ インシデントに対する防御者の数は対応者の数をはるかに上回っています。サイバーセキュリティ インシデント対応者の 68% は、一度に複数のインシデントに対応するのが一般的であると述べています。さらに、これまで以上に多くのデータが企業内を流れ、企業はより複雑になっています。エッジ コンピューティング、IoT、およびリモートの要件により、現代のビジネス アーキテクチャが変化し、セキュリティ チームにとって重大な盲点の迷路が生じています。これらのチームが「見る」ことができなければ、セキュリティ運用を正確に行うことはできません。

今日の高度な人工知能は、これらの障壁に対処するのに役立ちます。しかし、AI が効果を発揮するには、信頼を獲得する必要があります。そのため、信頼できる安全結果を保証するために AI の周囲にガードレールを設置する必要があります。例えば、スピードを求めてスピードを出しすぎると、結果としてスピードの暴走が起こり、混乱が生じます。しかし、AI が信頼されている場合 (つまり、モデルをトレーニングするデータに偏りがなく、AI モデルが透明で、安っぽくなく、説明可能である場合)、信頼性の高い速度を実現できます。自動化と組み合わせると、防御態勢が大幅に改善され、人間の介入に頼ることなく、インシデントの検出、調査、対応のライフサイクル全体にわたって自動的にアクションが実行されます。

ネットワーク セキュリティ チームの「右腕」

今日のサイバーセキュリティにおける一般的で確立されたユースケースは、AI が大規模で多様なデータセットから追加のコンテキストを取得したり、ユーザーの行動パターンの異常を検出したりする脅威検出です。例を見てみましょう:

従業員が誤ってフィッシングメールをクリックし、システムへの悪意のあるダウンロードを引き起こし、脅威アクターが横方向に移動して被害者の環境内で密かに活動できるようにすると想像してください。この脅威アクターは、収益化可能な弱点を探しながら、環境内のすべての既存のセキュリティ ツールをバイパスしようとします。たとえば、ランサムウェアを悪用して展開するために壊れた暗号やオープン プロトコルを探している可能性があり、企業に対する攻撃手段として重要なシステムを占拠できるようになります。

ここで、この一般的なシナリオに AI を当てはめてみましょう。AI は、そのメールをクリックしたユーザーの行動が変わったことに気づきます。たとえば、ユーザー フローの変化や、通常は対話しないシステムとの対話を検出します。発生するさまざまなプロセス、信号、インタラクションに注目して、AI はこの動作を分析してコンテキストに組み込みますが、静的なセキュリティ機能では不可能です。

脅威アクターは、誰かの資格情報などの静的な特徴を模倣するほど簡単にデジタルの動作を模倣できないため、AI と自動化が防御者に与える動作上の利点により、これらのセキュリティ機能がさらに強力になります。

この例に 100、1000、あるいは何万、何十万を掛けたものを想像してください。これは、特定のビジネスが 1 日に直面する潜在的な脅威の数にほぼ等しいからです。これらの数字を、今日の平均的な SOC チーム 3 ～ 5 名と比較すると、当然、攻撃者が有利になります。しかし、AI がリスク主導の優先順位付けで SOC チームをサポートすることで、それらのチームはノイズの中でも本当の脅威に集中できるようになりました。さらに、AI は調査と対応を迅速化するのに役立ちます。たとえば、インシデントに関連する追加の証拠を得るためにシステム全体でデータを自動的にマイニングしたり、対応アクションのための自動化されたワークフローを提供したりできます。

IBM は、QRadar スイートを通じて、このような AI 機能を脅威検出および対応テクノロジーにネイティブに組み込んでいます。革新的な要因は、これらの主要な AI 機能が、すべてのコア SOC テクノロジーにわたる統合された分析エクスペリエンスによって統合され、イベント ライフサイクル全体にわたって使いやすくなったことです。さらに、これらの AI 機能は、信頼できるレベルまで洗練されており、人間の介入なしに、調整された応答で自動的に動作します。たとえば、IBM のマネージド セキュリティ サービス チームは、これらの AI 機能を使用して、使用後 1 年以内にアラートの 70% を自動的に閉じ、脅威管理のタイムラインを 50% 以上短縮しました。

人工知能と自動化の組み合わせは、今日の SOC が切実に必要としているスピードと効率において目に見えるメリットをもたらします。長年のテストを経て成熟するにつれて、AI イノベーションは正確かつ迅速なアクションを通じて防御側の時間の使い方を最適化できます。セキュリティ環境全体で AI が活用されれば増えるほど、セキュリティ チームの実行能力がより早く向上し、サイバーセキュリティ業界の回復力が高まり、将来何が起こっても適応できるようになります。