こんにちは、技術本部のM・Yです。
今回はSumo Logic社が公開している、AI技術の台頭によるサイバー脅威の変化と、それに対抗するための『第5世代SIEM』に関する記事を日本語化しました。
原文はこちらをご参照ください。
AI(人工知能)とML(機械学習)の威力は諸刃の剣であり、サイバー犯罪者とセキュリティ専門家の双方に強大な力を与えています。とりわけ生成AIが持つ、タスクの自動化、膨大なデータからの情報抽出、そして本物と見分けがつかない通信やメディアコンテンツを生成する能力は、サイバー攻撃や攻撃キャンペーンをより高度なものへと強化するために悪用されかねません。
AIによってサイバー攻撃の数が増え、被害が拡大することが予想される一方で、英国のNational Cyber Security Centre(NCSC)による最近のレポートでは、直近で警戒すべきAI関連の脅威は、既存のTTPs(Tactics, Techniques and Procedures)が進化・拡張されたものであると指摘されています。
AIは高度な技術ですが、それを利用することは必ずしも洗練された専門知識や知識を必要としません。NCSCは、「AIによって、初心者のサイバー犯罪者や雇われハッカー、ハクティビストを含む攻撃者にとっての攻撃実行のハードルが低下」していると警告しています。
より知能的で高度な攻撃
AIを取り巻く脅威には、大きく分けて2つの側面があります。1つは「AIを利用した攻撃」、もう1つはAIそのものを標的とする攻撃、いわゆる「敵対的AI攻撃(Adversarial AI Attacks)」です。総じて、AIやMLは「サイバーキルチェーン」の自動化によって攻撃のスピードと規模が加速し、攻撃者は複数の組織を同時に狙えるようになるだけでなく、遭遇した防御策に応じてリアルタイムに戦術を変化させることさえ可能になります。
7つのステージそれぞれが攻撃プロセスにおける極めて重要なステップであり、これらを理解することは、効果的なセキュリティ戦略を策定する上で不可欠です。AIは、キルチェーンのいくつかの段階において攻撃者に大きなアドバンテージを与えており、その結果、より効率的かつ効果的な攻撃の実行が可能になっています。
【サイバーキルチェーンの7つの段階】
ステップ1:偵察(Reconnaissance)
脆弱性や侵入経路を発見するために潜在的なターゲットを調査する際、AIは以下のタスクを自動的に実行します。
- 漏洩または窃取されたクレデンシャル(資格情報)を発見する
- 特定の脆弱性を持つターゲットや、特定のターゲットに関する情報を割り出す
- 特定のテクノロジーやプラットフォームに関連したアプリケーションを特定する
- 不正アクセス権を販売する仲介業者(Access Brokers)に向けた、窃取されたクレデンシャルの特定と集約を加速させる
ステップ2:武器化(Weaponization)
サイバー攻撃に使用する新種のマルウェア作成や既存ツールの改良において、AIは以下のタスクを実行します。
- 特定の脆弱性に対する自己変異型の脆弱性攻撃コードを生成する
- 自己変異型のマルウェア亜種の生成、悪性コードの難読化、正規ユーザーの振る舞いの模倣などを含む、検知を回避するための難読化技術を向上させる
- 既存のランサムウェアを改良し、適応的かつ知的な振る舞いを模倣させ、防御策に対してリアルタイムかつ動的に反応できるようにする
- データ汚染を行う。これにより、Large Language Models(LLMs)のセキュリティ、有効性、倫理的動作を損なう脆弱性、バックドア、バイアスを混入させる
ステップ3-5:デリバリー、エクスプロイト、およびインストール(Delivery, Exploitation and Installation)
ターゲットのネットワークへ侵入し、ユーザーに到達するために、AIは以下のタスクを実行します。
- 生成AIを活用したChatGPT等のLLMsを用いて、より巧妙で説得力のあるスピアフィッシング(Spear Phishing)やフィッシングメール(Phishing Emails)を作成し、ソーシャルエンジニアリング(Social Engineering)の手法を高度化させる
- ターゲットの知人になりすますための、精巧な「ディープフェイク」音声および動画を生成する
- バーチャルアシスタントやチャットボットの会話を乗っ取るためのプロンプトインジェクションを行う
- サードパーティのソフトウェアプロバイダーを経由したソフトウェアサプライチェーン攻撃を実行する
ステップ6:コマンド&コントロール(Command and Control)
ターゲットのネットワーク内に侵入したマルウェアとの通信において、AIは以下のタスクを実行します。
- 権限昇格(Privilege Escalation)と横展開(Lateral Movement)の自動化により、ブレイクアウトタイムを短縮・加速させる
- 侵害された複数のマシンを統合的に制御する
- 配備されたマルウェアが、外部からの指示を待たずに自律的に動作できるようにする
ステップ7:目的の実行(Actions on Objectives)
サイバー攻撃の最終目的を実行する段階において、AIは以下のタスクを実行します。
- 検知されにくい隠密なデータの持ち出し(Data Exfiltration)を自動化する
- 事前に指定された収集要件に合致するデータを正確に特定する
AI駆動型サイバーセキュリティによるAI攻撃への対抗
敵対的AI戦術(Adversarial AI Tactics)への対抗策として、NCSCはAIシステムの安全な開発に関するガイドラインを公開しました。この指針は、米国国立標準技術研究所(NIST)の「Secure Software Development Framework」や、Cybersecurity and Infrastructure Security Agency(CISA)が発表した米国政府の「Secure by Design Principles」と密接に整合しています。
AI機能をシステムに組み込むと、従来のサイバー攻撃の枠を超えて攻撃対象領域が拡大するため、標準的なMITRE ATT&CK Frameworkだけでは完全に対応しきれません。そこで、攻撃者の振る舞いをマッピングするために作られたのがMITRE ATLAS(Adversarial Threat Landscape for Artificial-Intelligence Systems)です。これは、実際の攻撃の観測事例や、AI Red Teamsおよびセキュリティグループによる実証実験に基づいた、攻撃者の戦術と技術に関する「生きた」ナレッジベースであり、世界中からアクセス可能です。
AIによるサイバー攻撃に対抗するには、AIを活用したサイバーセキュリティツールを駆使した能動的なアプローチが必要です。セキュリティチームは、これらの高度なツールを利用してシステムのセキュリティを強化し、進化するサイバー脅威に効果的に対応することができます。
- システムの堅牢化(Hardening the System)
AIを活用したコード分析ツールは、ソフトウェアコードをスキャン・分析し、エラーや安全でない慣行、潜在的な脆弱性を特定します。開発の初期段階でこれらの問題を検知することで、組織は攻撃者に悪用される前にセキュリティリスクへ能動的な対処(システムの堅牢化)ができます。さらに、AIを活用した侵入テスト(Penetration Testing)は、サイバー攻撃をシミュレートして脆弱性を発見し、防御の強化を支援します。Sumo Logicは、DevSecOpsチーム間のコミュニケーションと調整のための単一の統合プラットフォームを提供し、CICD PipelineにおけるセキュリティのShift Left(早期段階への移行)を確実にします。 - 脅威検知の向上(Improve Threat Detection)
- インシデント対応の迅速化(Faster Incident Response)
AIは、セキュリティインシデントの重要度、影響、コンテキストを分析することで、インシデント対応能力を大幅に強化します。分析の自動化により、セキュリティチームは対応の優先順位を判断し、最も重要な脅威への対処に集中できます。さらに、AIはテレメトリーデータを分析し、インシデントの根本原因(Root Causes)に関するインサイトを提供することで、徹底的な調査を支援します。AI攻撃への防御において、Sumo Logic Cloud SIEMは、自動プレイブック(Automated Playbooks)、封じ込めアクション(Containment Actions)、コンテキストの付与(Context Enrichment)、および通知機能を採用しています。
AI駆動型の異常検知(Anomaly Detection)、行動分析(Behavior-based Analytics)、およびユーザー行動分析(User Behavior Analytics)は、サイバー脅威の検知と緩和において重要な役割を果たします。これらのツールは、リアルタイムデータを過去の履歴や事前に定義されたベースラインと比較し、異常な活動の兆候となり得るデータの乖離を特定します。また、AIによるディープパケットインスペクション(DPI)によってネットワークトラフィックを詳細に分析し、潜在的な侵入の特定と対応を支援します。Sumo Logic Cloud SIEMは、マシンデータ分析を採用して推奨ルール重要度を微調整し、真陽性や解決済み件数を維持しつつ、誤検知や不要なアクションを最小限に抑えます。また、脅威検知のためにユーザー・エンティティ行動分析(UEBA)、シグナルクラスタリングアルゴリズム、およびエンティティリレーションシップグラフを活用しています。
総じて、AIを活用したサイバー攻撃(AI-powered Cyber-attacks)に対抗するためには、AIを活用したサイバーセキュリティツールが不可欠です。あらゆる企業のセキュリティオペレーションセンター(SOC)の中心には、セキュリティインシデントを管理するための重要なツールであるSIEMが存在します。
脅威がますます巧妙化する中、将来のセキュリティ環境では、AIを活用した高度なSIEM(AI-powered SIEM)が求められるようになります。この変化に伴い、攻撃を未然に防ぐためのシステムの堅牢化を優先し、セキュリティ対策を「Shift Left」することへ、より強く注力する必要があります。既存のSIEMでもある程度の脅威は検知できますが、今後はSIEMが企業全体における「信頼できる唯一の情報源(Central Source of Truth)」として機能する必要性がますます高まっていくでしょう。
AI駆動型SIEMの未来と過去の世代
次世代SIEM(Next-gen SIEMs)の未来を理解するには、その進化の歴史を振り返ることが不可欠です。1990年代後半から2000年代初頭に登場した第1世代は、事後対応型のセキュリティ対策と脅威調査に重点を置いており、主にログの収集、保存、基本的な分析を行っていました。これら初期のSIEMは、主にコンプライアンス対応とログ管理のために利用されており、リアルタイム監視や相関分析の機能は備えていませんでした。そのため、セキュリティチームは、新たな脅威を検知するために様々なソースを監視し、脅威調査の大部分を手作業で行う必要がありました。
2010年代半ばになると、第2世代SIEMが登場し、相関分析やアラート機能が改善され、脅威検知とインシデント対応の能力が強化されました。これらのSIEMは、基本的なセキュリティ分析やルールベースの相関分析を取り入れ始め、ログ分析の効率を向上させました。しかし、リアルタイムでの検知能力には依然として限界があり、アラートを発する前にインデックス化されたデータを処理する時間を要するという課題がありました。
2010年代後半から2015年初頭にかけて登場した第3世代SIEMは、より高度な分析機能を統合し、リアルタイムでの脅威検知やユーザー・エンティティ行動分析(UEBA)の活用に焦点を当てました。この能動的な脅威検知へのシフトにより、組織は脅威を迅速に特定し、対応することが可能になりました。しかし、リアルタイム脅威検知とUEBAへの注力は、同時にログデータの取り込みや保存にかかるコストの増大という課題も招きました。
2015年半ばから現在にかけて、第4世代SIEMはクラウドネイティブSIEMソリューションを導入し、クラウドとオンプレミス環境双方のログに対して、優れた拡張性、柔軟性、そして導入の容易さを提供しました。これらのSIEMは、Scalability、コスト、およびさらなる自動化の必要性といった課題に対処しました。脅威検知や行動分析のための機械学習アルゴリズムなど、一部のAI機能も統合されましたが、それらは限定的なものにとどまることが一般的でした。その代わり、第4世代SIEMは、その有効性を高めるために、自動化機能と強化されたケースマネジメント機能に大きく依存していました。
加えて、第4世代SIEMは開発ツールやワークフローとシームレスに統合することで、アプリケーションのセキュリティ体制を継続的に可視化します。高度な自動化とオーケストレーション機能によりセキュリティ運用が効率化され、開発チームにかかる負担が軽減されます。ログの一元化とモニタリング機能は、ログデータの効果的な集約と分析を可能にし、セキュリティ脅威の特定と対応を支援します。さらに、能動的な脅威ハンティング機能により、セキュリティチームは潜在的な脅威を先制して検知・緩和できるようになり、ソフトウェア開発ライフサイクル全体を通じて強固なセキュリティ体制を確保できます。
第5世代SIEMの5大機能
デジタル環境が進化し続ける中、我々のサイバーセキュリティアプローチもまた進化しなければなりません。そこで登場するのが、AIが中心的な役割を担う第5世代SIEMソリューションです。これらの最先端システムは、予測インサイト、自動対応、そしてDevSecOpsとのシームレスな統合を提供することで、SOCに革命をもたらそうとしています。では、これら次世代SIEMソリューションを定義づける、5つの主要な機能について詳しく見ていきましょう。
1. リスク低減のためのAI駆動型予測分析(Predictive Analytics)
セキュリティシステムが、脅威が発生する前にそれを予測できる世界を想像してみてください。それこそが、第5世代SIEMソリューションにおけるAI駆動型予測分析が実現する未来です。高度な機械学習アルゴリズムを活用することで、システムは膨大なデータをリアルタイムで分析し、コードの展開前に、差し迫ったリスクの兆候となり得るパターンや異常を特定します。この能動的なアプローチにより、SOC担当者は潜在的なサイバー攻撃の一歩先を行くことができ、より安全なデジタル環境を確保できます。
2. 自動化された脅威検知と対応(Automated Threat Detection and Response)
サイバー脅威への対応は、一刻を争います。第5世代SIEMソリューションは、AIの力を活用して、巧妙な脅威に対する検知と対応を自動化します。これにより、セキュリティチームは手動でアラートを精査することなく、SIEMシステムに任せて潜在的なリスクを迅速に特定・緩和できるようになり、攻撃が成功する可能性を大幅に低減します。
3. プラットフォーム間の連携(Cross-platform Collaboration)
セキュリティツールが孤立していた時代は終わりました。次世代SIEMの未来は、組織内の「サイロ」を取り払い、プラットフォーム間の連携を実現できるかにかかっています。第5世代SIEMソリューションは、多種多様なセキュリティツールやプラットフォームと統合することで、より包括的かつ統一されたセキュリティアプローチを促進します。これにより、組織のデジタルインフラのあらゆる側面が確実に監視・保護され、全体的なセキュリティ体制が強化されます。
4. DevSecOpsとの統合(DevSecOps Integration)
今日のDevSecOpsの世界において、ソフトウェア開発ライフサイクルにセキュリティを統合することは極めて重要です。第5世代SIEMソリューションは、DevSecOpsプロセスとシームレスに統合するように設計されており、ソフトウェアソリューションに対する継続的なセキュリティ監視と堅牢化を確実なものにします。開発、セキュリティ、運用チーム間のこのコラボレーションは、より安全で効率的な開発プロセスを促進し、最終的により信頼性が高く安全なソフトウェア製品の創出につながります。
5. 自己学習と適応型セキュリティ(Self-learning and Adaptive Security)
サイバー脅威が進化を続ける中、我々のセキュリティシステムも同様に進化しなければなりません。第5世代SIEMソリューションは自己学習機能を備えており、絶えず変化するセキュリティ環境に適応することができます。脅威インテリジェンスを継続的に更新し、検知・対応のメカニズムを洗練させることで、組織が常に最新のサイバー課題に対処できる状態を保証します。
結論として、第5世代SIEMソリューションは、サイバーセキュリティ技術における飛躍的な進歩を象徴しています。AIが主導するこれらのシステムは、予測分析、自動対応、シームレスなDevSecOpsとの統合、プラットフォーム間の連携、そして適応型セキュリティを提供します。新たなサイバーセキュリティの時代へと進む中で、第5世代SIEMソリューションが我々のデジタルの未来を守る上で、極めて重要な役割を果たすことは明白です。
AI時代におけるサイバー脅威に対する最強の防御策、Sumo Logic Cloud SIEMの詳細については、こちらをご覧ください。
