サイバーセキュリティにおいて、AIの活用は急速に進展している。CrowdStrikeのField CTO, World WideであるFabio Fratucello(ファビオ・フラトゥチェロ)氏に、セキュリティの成果を出すためのAI活用とその課題について話を聞いた。
CrowdStrikeのFratucello氏
同社が発表した調査レポート「サイバーセキュリティにおけるAIの現状に関する調査」では、企業はAI導入に対して積極的な姿勢を示しており、回答者の約3分の2(64%)が「生成AIツールををリサーチしている」または「購入している」状況であることが分かった。また、生成AIの購入を検討し始めた回答者のうち69%が今後1年以内に購入を予定しているという。
特筆すべきは、多くの企業が統合されたプラットフォームの中で生成AIを利用することに賛成している点で、「企業は統合プラットフォームについて理解を深め、その価値を非常に評価している」と同氏は説明する。
脅威のランドスケープが進化する中で、企業は縦割り(サイロ)を無くし、クロスドメインの洞察(インサイト)を得ることが、脅威の迅速な検出と対応において重要だと認識している。また、サイバーセキュリティの強化に不可欠なAIについて、企業は「安全な形で生成AI活用の体制を構築したい」としており、多くの企業がプロアクティブに生成AIツールを導入する一方で、回答者の87%が「新しいセキュリティポリシーを実装済み」あるいは「1年以内に生成AIの導入を管理するためのポリシーを策定中」だとし、リスクに対する制御とポリシーの作成が重要だとしている。
Fratucello氏は、2024年におけるサイバー攻撃の状況について、2023年と比較して劇的な変化を遂げていると述べる。「攻撃者がよりスピードを上げ、破壊力を増している。また、攻撃者は新しい技術を使って生成AIのケイパビリティーを高めており、攻撃の速度やターゲットになる企業に入り込む効率性を上げている」と指摘する。
このような状況下では、サイロ型のセキュリティソリューションでは相関関係が取れず、巧妙化・高度化する攻撃の全体像を把握することは難しい。統合プラットフォームでは、セキュリティツールやシステムが連携し、情報を共有することで、攻撃の一連の流れを多角的に見ることができる。同氏は「一見別々の攻撃に見えても、その依存関係が理解できるようになり、防御する側は迅速に検出・対応ができるようになる」と、統合プラットフォームの重要性を述べる。
昨今、企業はセキュリティ部門に対して少ない予算で多くの作業をするように要件を出しているが、サイバーセキュリティの専門家を育成し確保することは難しい。AIが組み込まれた統合プラットフォームは、共通のタスクの自動化や検知およびレスポンスのトリアージを迅速にすることで、人材不足の緩和にも貢献できるとしている。
世界中で深刻化するサイバーセキュリティ人材の不足に対して同氏は、「少ない予算で企業がさらに多くの結果を得るためには、どのように私たちがそのエンパワーメントを図っていけばいいのか。技術を使って力を増幅させるための施策を考えなければならない」と語る。具体的には、タスクの自動化やデータのインサイトを得るために、どのように技術を使うかに注目すべきだとした。
特にAIは、膨大な情報やさまざまな種類のシグナルがある場合、それらの相関関係を見いだす際に有益な技術である。また、さまざまな言語が利用されている状況や、振る舞いの中での異常を検出する際にもAIは有益だ。
技術の活用に加えて、マネージドサービスを用いてパートナーシップを持つことも人材不足を補う有効な手段だとする。多くの企業が「セキュリティはビジネスのプライオリティーではない」という考えを持つ中で、同社は「そのような企業に正しいソリューションを提供できるよう、マネージドサービスを多く提供している。また、グローバル/ローカルなパートナーと共にお客さまに最適化されたサービスの提供もしている」という。これにより、企業が自社で高度なセキュリティ人材を確保することが困難な場合でも、外部の専門知識とサービスを活用することで、適切なセキュリティレベルを維持できるとしている。
同社が提供するクラウド型のセキュリティプラットフォーム「Falconプラットフォーム」は、対話型の生成AI「Charlotte AI」などのAI機能を搭載しており、エンドポイントやクラウド、アイデンティティー、データなど、企業の重要な領域を包括的に保護する。AIや機械学習(ML)の有用性における差別化要因は「データの質」だと同氏は言い、続けて「Falconプラットフォームはこの点で抜きん出ている」と強調する。
同プラットフォームは、テラバイト級のデータを収集し、膨大なイベントを世界中のセンサーから収集している。また、10年以上にわたり攻撃者の脅威情報を集めており、そのデータを同社のアナリストが研究し、インシデントのレスポンスチームや検出・対応のチームが分析している。さらに、同社は脅威の分析やスレットハンター、検出・レスポンス、インシデント対応、データサイエンティストなどさまざまなチームを備えており、これらの専門家による知見と分析が、同プラットフォームや、AI/MLの継続的な改善に貢献している。
同氏は、「機械と人間が共にフィードバックループを回すことで、より良い結果が生まれ、将来に向けてより良いプラットフォームが生まれる」と説明した。
Falconプラットフォームの継続的な改善の1つとして「Charlotte AI Detection Triage」の一般提供がある。同機能は、ユーザーが定義する境界内の自律性にのっとって動作し、98%以上の精度でセキュリティ関連の検知にトリアージを行う。攻撃者が新しい技術を継続的に使い、攻撃の速度を上げている現状を踏まえると、人間だけがレスポンスとトリアージを行うのでは、セキュリティオペレーションセンター(SOC)よりも攻撃者のスピードが速くなってしまうという懸念がある。
同氏はCharlotte AI Detection Triageについて「お客さまにとってゲームチェンジャーとなるものとして、プラットフォームにリリースされた初めてのAIエージェントとなる」と説明する。同機能はプラットフォームがシグナルや振る舞いを検知し、分析してその結果をユーザーに戻すという自律的なアプローチをとる。この機能を活用することで、SOCは検知が正しいかを確認する作業を削減でき、平均して週40時間以上の作業を削減した事例も出ているという。結果として、アナリストは本当のインサイトを得て、注目すべき箇所に集中することで、より高度で戦略的な業務に集中できるようになる。
AIとセキュリティのランドスケープにおける今後のトレンドについて、Fratucello氏は大きく2つの点を挙げた。
まずは「セキュリティの成果を出していくためにAIを使う」こと。これはCrowdStrikeがこれまで継続してきた取り組みであり、今後も新しい機能やケイパビリティー、AI、エージェンティックAIに注力するとしている。特に注目している分野は「アナリストジャーニー」であり、これは「データを取り込み、そのデータを使い、そしてインシデントレスポンスを行う」という3つのフェーズで構成される。データの取り込みとしては、サードパーティーのデータに対して生成AIを活用し、解釈を支援する機能を提供している。この機能は、従来時間をかけていたデータ解釈の効率性とスピードを飛躍的に向上させる。
2つ目は、「ビジネスの成果を出すためにセキュリティのあるAIを使う」こと。この分野においても、同社はさまざまなケイパビリティーを発表している。「AIセキュリティポスチャーマネジメント」(AI-SPM)では、AIの動作と環境を継続的に監視し、異常、不正アクセスなどをリアルタイムで検出することで、AIのセキュリティを確保する。AIからの攻撃やAIの中に脆弱性が潜まないように、「AIのモデル自身もしっかりと安全なものにすべきだ」と同氏は強調する。
Fratucello氏はこの2点が、企業が将来に向けて進んでいく上で「継続して大事なものになっていく」と語った。
