AIを活用してアタックサーフェス管理能力を倍増させる
アタックサーフェスの拡大、脅威の増加、スピードの加速、多様性の拡大に伴い、アタックサーフェスの管理は複雑化し、攻撃者が決定的な優位性を握っています。しかし、人工知能(AI)を新しい革新的な方法で活用することで、アタックサーフェスを管理する上で持続的な優位性を獲得できます。
近年、攻撃者は拡大と複雑化が急速に進むアタックサーフェスを特定するための新しいツールを開発しました。さらに問題なのは、防御側にとっても攻撃者にとっても容易に利用できるテクノロジであるAIを利用していることです。
その結果、アタックサーフェス管理(ASM)におけるルールが変わり、テクノロジ、リスク、方法論、そして潜在的な壊滅的結果がますます複雑に絡み合うようになっています。最高情報セキュリティ責任者(CISO)にとって、現実はAIによってASMの将来の理解と対処が極めて複雑になっています。
長年、サイバーセキュリティにおけるAIの利用には3つの大きな課題があり、すべて克服できるサイバーセキュリティ ソリューションは、ごく最近までありませんでした。それらの課題とは以下のとおりです。
- 一般に、お客様は所有するIT資産の大部分を把握しているわけではなく、せいぜい70%程度にとどまっています。
- さまざまな種類のデータ間や各種サイバーセキュリティ ツール間のデータ統合が不十分で、組織全体のセキュリティ リスクの効率的な統合ビュー作成の妨げになっています。
- 攻撃者は革新的な戦術を駆使し、徐々に戦術を変えることに非常に長けているため、攻撃ベクトルやエクスプロイトの選択肢を正確に特定することが困難です。
ASMの効率と効果を高めようとする場合、この3つの課題を考慮する必要がありました。
ASMにおけるAIの役割
真に世界最高レベルのアタックサーフェス管理ソリューションの構築は、複数のコンポーネントを同時に構築しなければならないため容易ではありません。ASMの真価を発揮させるには、5つものコンポーネントを構築し、統合する必要があるとパロアルトネットワークスは考えています。では、4つのコンポーネントがうまく機能しても、5つ目がうまく機能しなかったらどうなるでしょうか?
残念ながら、5つのコンポーネントのうち4つがうまく機能したからと言って、80%の効果が得られるわけではありません。得られる潜在的な効果は大幅に少なく、おそらく10%程度でしょう。つまり、そのすべてを1つのソリューションに緊密に統合する必要があるため、ASM防御は機能しないということです。
幸い、AIを活用すればASMを強化できます。パロアルトネットワークスのCortex Xpanseプラットフォームのようなソリューションでは、このようにしてASMを強化します。このテクノロジは、自動化、拡張性、大規模環境における性能、精度など、ASMに数多くのメリットをもたらします。弊社のサイバーセキュリティ チーム、テクノロジ、ASM主導プロセスの能力を倍増させる、効率的で信頼性の高い強力なツールです。
デジタル資産の継続的な監視の課題
AIは、特に高品質かつ高信頼で一貫性のあるデータ収集の実現により、ASMの効率的な運用を支援します。これは重要なことです。なぜなら、「特定時点」におけるインターネット上の攻撃関連データを一度収集することは非常に簡単ですが、定期的かつ一貫して何度も収集することはずっと困難だからです。
重要なIT機能とOT機能の24時間体制での監視に関する課題を特定し、克服することは困難です。主な理由の1つは所有権の概念にあります。具体的に言うと、インターネット上で誰が何を所有しているかという概念には長年悩まされてきました。
例えば、ある会社を特定し、その会社に子会社があるとします。その子会社が6年前に別の会社を買収し、Webサーバが特定の方法で構成されていたことがわかりました。現在、そのWebサーバはAzure上で稼働しており、データベース サーバが安全でない状態でインターネットに公開されています。これは複雑ですが、まだ比較的単純です。しかし、このシナリオを弊社の顧客基盤全体に当てはめてみた場合、かなり複雑になります。
もう1つの問題は、顧客とその資産を長期にわたって理解するために作成するナレッジ グラフです。ASMを適切に機能させるには、そのナレッジ グラフが完全に正確でなければなりません。これを効率的かつ包括的に実行できるのはAIだけです。
また、攻撃者は防御側と同じ方法でAIを利用して、高い性能と精度で自動化と拡張を図りながらアタックサーフェスを拡大できることに気付いているということも踏まえなければなりません。攻撃者は、サイバー防御者に対して長年築き上げてきた競争優位性の維持にAIを利用したいと考えています。
それを防ぐには、AIのレベルを引き上げてASMの潜在能力を最大限に引き出す必要があります。
防御側の優位性を高めるAI搭載ASMソリューション
ASMの重要な要素は、包括的なリアルタイムの可視性を提供できることです。しかし、従来のASMは、弊社がお客様に伝える結果に基づいて有意義かつ実行可能な対策を講じることができるほど優れていませんでした。しかし、ここでXpanse内にネイティブに組み込まれた膨大な数のテクノロジと、弊社の幅広いセキュリティ ソリューション ポートフォリオを活用したとします。その場合、お客様はすべてのデジタル資産だけでなく、特に攻撃が発生している場所(または発生する可能性がある場所)や、問題を見つけて修正する方法も把握することが可能となります。
つまり、Xpanseプラットフォームはデータ、AI、ワークフローの統合により、CISOが必要とする能力と性能を提供できるようになるということです。さらに、統合されたテクノロジを強力な方法で組み合わせることで、ASMがより直感的で実用的なものになり、脅威の検出および阻止能力を高めることも可能になります。ただし、脅威の影響の修復は重要ですが、エクスプロイトの防止にも重点を置く必要があります。攻撃者は、AIやその他のツールを利用してシステムに侵入し、悪用することに長けているため、インシデントが発生する前に脅威に対応する時間はあまりありません。
ある意味、これはソフトウェア開発ライフサイクルに旋風を巻き起こした「シフト レフト」精神の新しい重要な具現であり、それには十分な理由があります。ただし、ソフトウェア開発とAIには大きな違いがあります。例えば、ソフトウェアは新しいバージョンやパッチによって定期的に更新されるかなり静的なもので、時間が経過しても同様のことをしながら元の形に近い状態で存在します。
一方のAIは動的なプロセスの一翼を担います。とりわけ、適切な用途に正しく利用した場合には、プロセスに欠かせない存在になります。私たちはこれを「データ フライホイール」と呼んでおり、ASMの能力を高めて攻撃者の一歩先を行くことができる優れたAIを実現するために、継続的な開発プロセスの一部となっています。お客様からのデータの提供、解釈、処理は、他のデータと正規化された方法で行われます。データを正しく選択すれば、適切なデータの基本的な回帰分析でも大きな効果が得られます。
Cortex Xpanseプラットフォームでの取り組みのもう1つの重要な側面は、Precision AIと呼ばれるものの活用です。Xpanseは、このパロアルトネットワークスのテクノロジとプロセスの独自の組み合わせにより、攻撃をリアルタイムに検出して阻止できます。いずれも主要サイバーセキュリティ専業ベンダーの間で、世界最大のセキュリティ データ レイクでトレーニングされた機械学習、ディープラーニング、および生成AIを組み合わせることで、ASMなどのサイバーセキュリティ戦略は計り知れないほど強化されます。このセキュリティ強化は以下を実現可能とすることで達成されます。
- シグネチャを使用せずに脅威亜種をリアルタイムで阻止する。
- 非構造化データを理解して機密情報の漏洩を防止する。
- 生成AIを利用して新しい攻撃を作成することで、検出率を継続的に改善して誤検知を削減する。
Cortex Xpanseは、これらの機能を統合することで、より強力かつインテリジェントで回復力に優れたASM防御フレームワークを構築します。これは、最も多様で高品質のデータ、およびデータの共有とアクセスを可能にするプラットフォームベースのアプローチ、さらには最も正確で実用的なモデルを作成するための適切なAIとサイバーセキュリティの専門知識を活用することによって実現されています。
今後の展望
CISOやすべてのサイバーセキュリティ担当者にとって、攻撃者が次に何を試みるかを予測することが重要です。幸い、過去を振り返れば、攻撃者がその使命に本気で取り組んでおり、そのためのスキルとツールを備えていることを学ぶことができます。私たちの仕事は、攻撃を阻止するための適切なツール、戦略、プロセスを確保することです。
それには、利用可能な革新的テクノロジの先を思い描き、攻撃の予測と阻止に対してより戦略的なアプローチを取らなければなりません。CISOは、他の経営幹部や取締役会と連携して、より積極的な考え方を取り入れる姿勢が求められます。先ほど「シフト レフト」の動きについて触れましたが、私たちは先を見越して考え、行動する必要があります。資産が侵害されたときには、意味のある修復を行うには遅すぎる可能性があることを忘れてはなりません。
これは特に未管理資産に当てはまります。残念ながら、未管理資産はFortune 500選出企業の全資産の約30%を占める傾向があります。未管理資産がインターネット上にある場合、対応する時間はありません。いつ悪用されたかを知ることはおそらくないため、悪用の時点から発生したすべての横方向の移動は、監視されることなく瞬く間に発生することになります。
当然ながら、適切なASMと効率的なサイバーセキュリティ ソリューションには、適切な資金と人的資源の投資が不可欠であり、新たなAIベースの攻撃の検出と対処が目的であればなおさらです。保護しなければならない資産のミッション クリティカルな性質を考えると、今こそ斬新な考え方と創造的なソリューションが必要です。
攻撃者の先手を打って、一歩先を行くチャンスはあります。そのチャンスを逃さないようにしてください。