サイバーセキュリティにおける人工知能(AI)は新しいものではありませんが、サイバーセキュリティにおけるAIの利用に関してはある種の謎が残っています。サイボーグのイメージと非常に複雑な定義によって、AIは異世界を感じさせるSFのようなものに思われていますが、実際のアプリケーションは、人々が思うほど複雑ではなく、実用的なものかもしれません。この投稿では、サイバーセキュリティにおけるAIのアプリケーションについて説明し、なぜAIを使ってサイバーセキュリティを自動化することがMSPのマージンを高めるための道であるのかを説明します。
サイバーセキュリティにおけるAIの例
過去5年間で、AIがサイバーセキュリティの分野に貢献した最も重要な活用方法の1つは、メールセキュリティです。過去12カ月間のニュースの見出しは、SolarWindsサプライチェーン攻撃やMicrosoft Exchangeハッキングなどの高度な攻撃に焦点を当ててきましたが、サイバーセキュリティ侵害への最も一般的な経路はメールです。
メールセキュリティ
数行のテキストを入力して送信ボタンをクリックするだけで、サイバー犯罪者はビジネスに壊滅的な被害をもたらすことができます。フィッシングメールによるシステムの侵害から、ランサムウェアを使ったメールの添付ファイルの武器化、従業員を言葉巧みに操って数百万の資金を不正な銀行口座へ送金させる手口に至るまで、単純なメールは、犯罪者が作成すればそれほど単純なものではなくなります。ところが、最も単純なメールをブロックするのは想像以上に困難です。
メールフィルタリング技術は、脅威アクターを特定する手段としてシグネチャのスキャンに長い間依存してきました。しかし、ハッカーは、SalesforceやOneDriveなどの評判の高いドメインを悪用して攻撃をしかけるなど、評価の高いものの背後に隠れることを学びました。AIテクノロジーは、この問題を解決するか、少なくとも大幅に軽減するために適用されてきました。以下はそのいくつかの例です:
- マシンラーニング:教師あり学習モデルは、フィッシングサンプルと正当なメールの大規模なデータセットを調査することにより、フィッシングの兆候を認識するようにトレーニングされています。次に、これらのモデルは、特定数のメールの特徴を分析して判断を下します。
- 異常検知機能:教師なしマシンラーニングモデルは、異常と見なされる稀なイベントをスキャンします。異常の例として、ユーザが新しい送信者からメールを受信した場合が挙げられます。その送信者のメールアドレスは、組織内の既知の連絡先とぴったりと一致します(これはメールスプーフィングの兆候です)。
- 自然言語処理(NLP):NLPモデルは、脅威を示す可能性のある不審な単語やフレーズがないかテキストを調べます。たとえば、フィッシングメールとスピアフィッシングメールのどちらも、緊急性を示す言葉や、警戒心、恐れ、懸念を引き起こすことを目的とした言葉を含んでいることがよくあります。
- Computer Vision:サイバーセキュリティにおけるAIのこのアプリケーションは、フィッシングメールの難読化ツールとして現れた画像に対応しています。たとえば、ハッカーはブランドロゴを歪ませてシグネチャを隠し、画像をリモートでホストして検出を回避し、QR Codeを使用してフィッシングURLを隠し、不審なテキストを画像の陰に隠します。これらすべての手法だけでなく、それ以外についてもComputer Visionモデルで確認できます。
セキュリティ意識向上トレーニング
人間のトレーナーが主導する眠気を誘うようなセキュリティ意識向上トレーニングセッションとは異なり、AIを基本とするセキュリティ意識向上トレーニングは、人間が介入したり、トレーナーを付けたりする必要なしに、ユーザに合わせてコンテキスト化されて自動的に提供されます。適応トレーニングとも呼ばれるAIがサポートする自動トレーニングは、ユーザが弱みを見せた瞬間にトレーニングコンテンツを配信し、インシデントのコンテキストに関連したトレーニングコンテンツを生成します。
たとえば、ユーザがフィッシングインシデントを経験した場合(フィッシングメールのリンクをクリックした場合)、AIはその処理を認識し、フィッシングの手口を見分ける術をユーザに教えるトレーニングセッションを開始します。トレーニングの内容は攻撃の種類に応じて変化し、AIはデータベースを掘り下げて、その状況のコンテキストに合ったサンプルを見つけることができます。この方法は、フィッシングシミュレーションの義務的なライブトレーニングセッション中に時折発生するのとは対照的に、IT側の介入の必要性を減らし、ユーザの関心を即座に引くことができます。
インシデントレスポンス
AIを活用したインテリジェントなインシデント対応システムは、ITチームの検出作業と応答時間を改善し、アラートへの関心の低下につながる誤検出を減らすことができます。インシデント対応におけるAIの一例は、ネットワークの異常や、AIが最初のパスで見逃した可能性のあるインシデントの継続的なスキャンです。
実際の例:正当な(安全な)Webページへのリンクが含まれているメールは、最初はAIをすり抜けます。配信されるとすぐに、サイバー犯罪者はURLをフィッシングページにリダイレクトします(時限爆弾)。継続的なスキャンをすることで、AIは受信トレイ内の危険なリンクを検出して脅威を自動的に削除できます。
サイバーセキュリティの自動化:MSPのマージンを高める道
脅威を捕える。インシデントを修復する。複雑なソリューションの設定を繰り返す。これらすべての仕事やそれ以外の仕事が、MSPのマージンを食いつぶします。サイバーセキュリティのAIは、MSPが作業負荷や人員を増やすことなく、より多くの顧客に価値をもたらすために必要な自動化機能を提供します。
メールやネットワークの継続的なスキャンから自動化されたインシデント対応まで、AIテクノロジーがMSPの負担を引き受けることで、MSPはビジネスの管理により多くの時間を費やし、手動のタスクに費やす時間を短縮できるようになります。
VadeがAIを使用したサイバーセキュリティの自動化をどのようにサポートするのかについては、Vade for M365のデモをご依頼ください。
