日本IBMは4月27~28日に、コグニティブ技術「Watson」をテーマにしたカンファレンス「IBM Watson Summit 2017」を開催した。コールセンターでの応答業務や医療支援、ITシステム開発の高速化など、さまざまな分野でのWatsonの活用事例が紹介されたが、サイバーセキュリティ分野も例外ではない。
「Watson for Cyber Security活用で描く、サイバーセキュリティー対策の未来予想図」と題するセッションでは、米IBM コグニティブセキュリティ プログラムディレクターのVijay Dheap氏と、 日本IBM セキュリティー事業本部 アソシエイト・パートナーで「Watson for Cyber Security」エバンジェリストの縣和平氏が、Watsonのセキュリティ領域への適用について説明した。
サイバーセキュリティに関するさまざまなナレッジをWatsonが継続的に学習し続けることによって、セキュリティ監視センター(SOC)やCSIRTで働くセキュリティチームのリサーチや分析業務を支援し、より効率的なインシデントレスポンスを可能にするという。
それを具体化したのが、2月に発表した「IBM QRadar Advisor with Watson」だ。これは、日本IBMが提供するセキュリティ情報・イベント管理(SIEM)製品「QRadar」で検出したさまざまな脅威情報と、セキュリティ関連の知識を学習したWatsonの知見を組み合わせ、より深い「知見」「洞察」を導き出すためのソリューションとなる。

日本IBM セキュリティー事業本部 アソシエイト・パートナー 「Watson for Cyber Security」エバンジェリストの縣和平氏
縣氏は、「サイバーセキュリティの領域では、アナリストの経験など人的リソースに依存する部分が大きい。さまざまなセキュリティセンサのアラートを全て拾っていてはリソースが足りず、優先順位を付けて対処する。一方でふるいから落ちた中に脅威が残っていることも想像できる」と指摘した。
人材不足という背景もあり、セキュリティチームが日々アップデートされる情報をフォローし、実際のサイバー攻撃が始まる前に、速やかに、かつ正確に分析して対処したくても、「マニュアルワークに頼ったサイバーセキュリティ対策には限界がある」(同氏)。Watsonはこの部分を補完するという。
この1~2年に、多くのセキュリティベンダーがマルウェア検出やログ解析といった処理に機械学習や人工知能(AI)技術を適用することを発表した。だがIBMのアプローチは、こうした取り組みとはやや異なる。サイバーセキュリティや脅威に関して、人間にはとても不可能な量のデータを学習し、より高速で正確な洞察を提供する。
セキュリティ担当者の意思決定と対応業務を支援する部分に軸足を置いている。縣氏は、「なぜこうした攻撃があったのかの『リーズニング』など、一段高いレイヤの推論や自然言語処理を活用してセキュリティ対策を支援していく」と説明した。