ダークトレース・ジャパンは12月8日、サイバー脅威の現状とその対応技術について、報道機関向けの技術説明会をオンラインで開催した。
英Darktraceの脅威分析部門で最高責任者を務めるToby Lewis氏は、近年におけるサイバー脅威の最大のトピックとしてランサムウェアを取り上げ、「サイバーセキュリティは経営レベルのみならず、政治問題にまで発展することになった」と指摘。これに対して、同社では自己学習型の人工知能(AI)を用いて疑わしい活動を検出する“ユニークなアプローチ”を採るという。
自己学習型AIの概要
自己学習型AIによるランサムウェアの検知/遮断
「従来の手法は過去のデータに基づいて脅威を検知するものだった。このアプローチでは攻撃者が変化しないことを前提としており、同様のツールや手法が使い続けられることを想定している。また、最初に誰かが犠牲となって被害に遭うことで初めてデータが得られることや、攻撃者の全ての行動を捉えてデータ化できるわけではないといった問題もある」と同氏は説明する。
同社の技術は「攻撃者の観測に時間を費やすのではなく、攻撃を受ける顧客側について学ぶというアプローチだ。悪者を特定するのではなく、顧客が普段から実行している『良い振る舞い』を学び、それとは異なる『異常な振る舞い』『めったに見られない活動』を検出する」(同氏)という。
一般的な手法では、ランサムウェアを検出した時点で既に数日から数週間程度、ランサムウェアがネットワーク内で活動するのを許してしまっていることが大半で、その時点で既に手遅れになっているという。一方、同社は「ランサムウェアが最初にネットワークに侵入してきた時点」や「最初に他の端末に横展開(ラテラルムーブメント)しようとした時点」で検知でき、被害を防げるという。
具体的には、ユーザーの操作を学習することで「普段はアクセスしないファイルにアクセスし、暗号化を実行した」といった挙動を「いつもと違う異常な振る舞い」として検出するというものだ。基本的な考え方としては、ユーザーとエンティティーの振る舞い解析(UEBA)と呼ばれる手法と同様だと考えられるが、この機能を自己学習型AIとして実装した点がポイントだろう。
また、Lewis氏はサイバー脅威の動向についても解説。グローバルでランサムウェアの脅威が急増している点などを指摘した。日本に関しては2021年前半に官公庁などから大量の情報流出が発生したことがトピックとして挙げられた。背景として、同氏はサイバーセキュリティ関連の人材/スキル不足を挙げる一方、「企業がサイバーセキュリティに詳しい人材を確保しようとしても難しい」という現状を踏まえ、社内の人材にサイバーセキュリティ関連の教育を行い、社内スキルの底上げを図るのが現実的なアプローチだとした。
このほか、日本企業への提言として「IT/セキュリティ担当者の問題にとどめるのではなく、全社的な問題として取り組むこと」を強調。「リスクはアウトソーシングできないので、リスクは自社で対処する必要がある」とした上で、「全ての攻撃や情報漏えいを防ぐことはできないという認識に基づいて行動すべきだ。情報漏えいが実際に発生した際のインパクトを軽減できるようにプロセスやテクノロジーを準備しておかなければならない」と語った。
日本の課題
日本企業への提言
