AIを活用したサイバーセキュリティ: ハイプを越えて課題と向き合う
何がAIなのか、もっと重要なのは「何がAIでないのか」
AIとは、突き詰めれば、知能によく似た方法でデータセットと相互作用するように設計された、一種のアルゴリズムだと言えます。こうしたアルゴリズムの複雑化とフォーカスが進むと、一見すると人間のような言語生成、アート生成、人間の力を超えたパターン認識など、いくつかの示唆に富む成果を生むことが可能になります。ただし注意して見ると、AIでないものは「見かけ倒し」だと分かります。たとえば、言語生成ツールを見てみましょう。これらは実際は、これまでに作成されたテキスト(通常はWeb上にあるもの)の大規模な確率マッピングなので、(ユーザーから出された指示に関して)生成された直前の語句の後にそれぞれの新しい語句が続く確率に基づいてテキストを生成しようとします。この確率的生成アプローチは非常に上手く機能することが分かっていますが、自由な発想によるものではなく、落とし穴もあります。複数レスポンスの確率が高いものの、正しい経路は1つだけである場合です。企業が正しく活用できるようにAIを機能させるものは何なのか、覚えておくことが非常に重要です。ツールの有効性はその扱い方によって決まるのです。
サイバーセキュリティ分野でAIが重要な理由
AIアルゴリズムは所定のデータセットの確率マッピングを作成して、同じ手法で確率的な生成を行うものを特定することができるという基本概念に着目し、このことを、悪意のあるツール/動作と良性のツール/動作を判別する概念とデータセットに適用した場合、その特定のイベントが未知のものであったとしても、ファイル、トラフィック パターン、または動作が悪性である可能性を判定できるようになる大きな機会への道が開けてきます。この成果の達成には主要な課題がいくつか存在し、AIによるセキュリティ成果を高めるには、それらに対処する必要があります。
主要な課題と向き合う: AIを活用したサイバーセキュリティ実装を成功させる道
- 課題1: データとアルゴリズム: AIの力の基盤とその隠れた落とし穴
AIの性能を左右するのは、使用するアルゴリズムとそのトレーニング対象のデータです。アルゴリズムが悪意のあるアクティビティの指標となるパラメータにデータセットをマッピングしていなければ、世界中のすべてのデータが問題にならず、悪意のあるイベントは検知されずに通過してしまいます。反対に、適切なアルゴリズムに十分な量の適切な品質のデータが与えられなければ、マッピングは十分に高いレベルの確率分布を作成することができず、アルゴリズムが誤った結論を導いて誤検知が発生します。 - 課題2: 難読化: ブラックボックスが信じられますか?
一部のベンダーではアルゴリズムや意思決定プロセスを難読化し、AIモデルを「ブラックボックス」のように運用していますが、こうした可視性の欠如は問題です。AIが特定のイベントを疑わしいとフラグ付けする理由を理解するのが困難もしくは不可能になり、説明責任や潜在的なバイアスに関する懸念が生じるからです。 - 課題3: 統合と専門知識: プラグアンドプレイの幻想を捨てる
AIソリューションはプラグアンドプレイの特効薬ではありません。その出力を効果的に解釈して活用するには、既存のセキュリティ インフラストラクチャとの統合と専門知識が必要になります。セキュリティ チームは、AIの仕組みと限界、AIの知見をセキュリティ体制全体に組み込む最適な方法を理解するための教育訓練を受ける必要があります。
課題の向こうへ: 神話を払拭する
課題と並行して、いくつかの神話がAIを活用したサイバーセキュリティへの視界を曇らせています。
- 神話1: AIはどのようなサイバーセキュリティ ツールも自動的に改善する:
多くのサイバーセキュリティ ベンダーはこれが本当だと信じさせたいようですが、実際には、多くのAIアルゴリズムはニーズと合致せず、アート生成などを利用します。誤ったものを入手すれば劣悪な結果になります。 - 神話2: ワンサイズですべてのソリューションにフィット:
異なるAIソリューションは異なるニーズを満たします。自社の特定の要件を理解して、適切なツールを選ぶことが、実装の成功にとって非常に重要です。 - 神話3: 侵害されることのないセキュリティ
他のテクノロジと同様に、AIも攻撃の被害を受けます。AIシステムを継続的に監視して適応させることは、その有効性を維持する上で非常に重要です。
過去に機能しなかった理由
悪意のあるファイル内の単純なパターンを認識するために構築されたモデルなど、いくつか機能した方法はありました。このパターンマッチング モデルは技術的にAIの基本定義と合致し、オリジナルのIDS/IPSエンジンの基盤となりました。しかし、セキュリティ部門が解決しようとする課題に対応できるような十分な堅牢性や「知性」は備わっていません。適切なモデル、さらに重要なものとして、そのモデルを構築および改善するための専門知識を入手することが、極めて重要です。「インターネット全体」を確率的にマッピングできるモデルの構築は生易しいことではなく、悪意のあるアクティビティと良性のアクティビティを見分けるモデリングにも同じことが言えます。さらに、最初の課題の部分で述べたように、このモデルに供給されるデータは非常に大規模で(「インターネット全体」を使用するLLMとよく似ている)、しかも適切に分類されフィルタリングされたものでなければなりません。
サイバーセキュリティ プログラムにAIを導入する際に経営陣が考慮すべきこと
AIを活用したサイバーセキュリティは極めて強力な手段ですが、正しく扱う必要があります。生成AIを導入しただけでは脅威環境に関して精通したことにならず、各企業がモデルそのものをトレーニングする必要があります。これは極めて複雑で計算集約度の高いタスクになります。詳細なレビューを用いて、サイバーセキュリティ ベンダーの製品ラインにおけるAI統合を評価することを強くお勧めします。アルゴリズムの機能方法、アルゴリズムのトレーニング方法、トレーニング データの種類についてベンダーが説明できない場合は、ベンダーが解決を主張する問題よりも大きなリスクが加わる可能性があります。