脅威インテリジェンスにおけるAI

脅威インテリジェンスにおけるAIとは？

脅威インテリジェンスにおけるAIの役割は、特に機械学習に代表される人工知能を活用して、人間の能力よりも効率的かつ迅速にサイバー脅威を検知し、これに対応することです。サイバー脅威に関するデータの量はあまりにも膨大であるため、脅威インテリジェンスアナリストの情報処理が追いつかなくなることが度々あり、真の脅威と誤検出を見分けることが困難になっています。AI駆動型の脅威インテリジェンスツールは、脅威インテリジェンスの生産速度や精度、効率を底上げし、その効果を高めることができます。

*本記事は、弊社マキナレコードが提携する英Silobreaker社のブログ記事を翻訳したものです。

AIはインテリジェンスサイクルのどの部分を強化できるのか？またその理由と方法とは？

脅威インテリジェンスサイクルとは、組織が脅威インテリジェンスを効果的に生成・管理・活用する際に役立つ段階的なフレームワークです。AIを使うことで、このサイクルのほとんどすべての段階を強化できます。

計画と情報収集

AIで脅威インテリジェンスサイクルの情報収集の段階を自動化することが可能です。オープンソースインテリジェンスやダークウェブフォーラム、ソーシャルメディア、報告書といったさまざまな情報源から取得した大量のデータをスキャンし、関連する情報を見つけ出すことで、情報収集のプロセスを高速化できます。キーワード認識やパターン認識によって、AIは収集したデータの中から特定のキーワードやパターン、侵害指標（IoC）を探し出し、関連性のあるデータを抽出します。自然言語処理（NLP）によって、AIは人間が使う言語を扱えるようになり、ニュースやブログ記事のような非構造化テキストデータから有益な脅威インテリジェンスを取り出すことができます。

処理と分析

サイクルの処理と分析の段階では、収集されたデータの重複する、あるいは冗長なエントリをAIアルゴリズムが検出し、削除します。これによって脅威インテリジェンスのシステムはデータ内の異常にフラグを立て、不要な情報を除去できます。AIはデータ内のIPアドレスやドメイン、メールアドレスといったエンティティを見つけ出し、既知の脅威や脅威アクターと照らし合わせることもできます。また重要な情報や意見、文脈を識別することで、データをより理解しやすく実用的な形にします。

作成と配布

脅威インテリジェンスサイクルの作成と配布の段階でもAIを使用できます。関連する情報を集約・要約し、形式を整えることで、人間にとって読みやすく簡潔で実用的な脅威インテリジェンスレポートを自動的に作成します。このようなレポートにはグラフや表、ヒートマップなど、脅威データを視覚的に表現した情報を含めることができるため、アナリストや意思決定者が複雑な脅威の傾向や関係性をよりよく理解するのに役立ちます。またAIは脅威インテリジェンスを別の言語に翻訳することも可能であるため、多言語による脅威レポートを簡単に世界中に発信できます。

フィードバックと改善

脅威インテリジェンスサイクルのフィードバックの段階では、AIのトレーニングプロセスにフィードバックループの結果が反映されます。このフィードバックを通じてAIは徐々に進化を続け、脅威検出とインテリジェンス収集の能力が向上します。

ステークホルダーの懸念や要件を取り入れ、AIのアルゴリズムとプロセスを適応させることで、より関連性の高い脅威インテリジェンスを提供できるようになります。これにより、組織は特定の脅威をより効率的に見つけ出し、対応できるようになります。

改善され続けるAIによって、組織は継続的に自身の脅威検出能力を高められるほか、刻々と変化する脅威ランドスケープを理解し、セキュリティ上の喫緊の課題から組織を守るための取り組みに優先順位を付けることができます。

AIベースの脅威保護とは？

脅威インテリジェンスの文脈におけるAIベースの脅威保護とは、機械学習アルゴリズムを含む人工知能を使用して、組織に対する潜在的な脅威を継続的に監視・特定することです。

AIの技術は膨大な量のデータをリアルタイムで処理・分析できるため、異常や将来生じ得る脅威を高い精度で特定できます。またAIは潜在的な脅威に関する関連データを抽出し、組織が積極的かつ効果的にセキュリティリスクを管理するために必要な実用性のあるインテリジェンスを提供します。

脅威対応と意思決定の自動化

インシデント対応の場面では、AIは収集された情報に基づいて、既知または定義された脅威に対する自動対応を実行できます。自動対応には、侵害されたシステムの隔離、悪意のあるIPアドレスのブロック、パッチの適用などが含まれます。自動対応は人間の手動介入よりも速く実行できるため、脆弱性のリスクにさらされる時間が短縮されます。

AIは脅威インテリジェンスフィードを統合することで意思決定を支援し、組織が最新の脅威や攻撃手法を常に把握できるようにします。この統合により、利用可能な最新の脅威データに基づいた意思決定と対応が行われます。

さらにAIは幅広いソースからのデータを相関させ、セキュリティ上の脅威についてより包括的な知見を提供します。これにより、一見無関係なサイバー上のあるいは地政学的、物理的なセキュリティに関する出来事を結び付けて脅威を特定し、意思決定や対応戦略に役立てることができます。

AIはまた脅威の可能性や深刻度、潜在的影響に関する情報を生成する際にも役立ち、セキュリティチームが対応の優先順位付けを行うことや、リスクを軽減する最善の方法について意思決定者にアドバイスすることを支援します。これによって組織は重大な脅威を優先的に対処でき、結果として対応までの時間が短縮され、被害が最小限に抑えられます。

脅威インテリジェンスにおけるAIの活用例

脅威インテリジェンスでのAIの活用例は、データの収集や処理から分析や報告まで、多岐にわたります。

具体的には、以下のものが含まれます。

• 脅威データの集約：オープンソース、ディープウェブ、ダークウェブ、外部の脅威フィード、報告書など、幅広いソースからデータを集約し、潜在的な脅威の包括的な見解を提供します。
• 自然言語処理（NLP）：テキスト形式の脅威データから関連情報を抽出し、脅威インテリジェンスデータを充実させます。
• パターン認識：脅威データ内のパターンと異常を識別し、脅威インテリジェンスアナリストが新たな攻撃ベクターと脆弱性を発見することを支援します。
• IoCの検出：脅威データ内の疑わしいIPアドレス、ドメイン、ファイルハッシュなどのIoCを特定し、IoC抽出プロセスを効率化します。

• 戦術・技術・手順（TTP）：これまでの攻撃パターンと戦術・技術・手順を分析して、特定の攻撃の背後にいる脅威アクターまたはグループを特定し、特定の敵による攻撃に対する防御を強化します。

• ダークウェブ監視：ダークウェブをスキャンし、企業のデータや認証情報またはその他の機微情報に関する言及を探すことで、起こり得る侵害に関する警告を早期に通知します。
• 文脈に沿った脅威分析：組織の業界分野や地理的文脈、優先的事項に沿った脅威データを分析し、ニーズに寄り添う形で潜在的なリスクの評価を行います。
• 脅威の分類：深刻度と関連度に基づいて脅威を自動的に分類し、優先順位を決めます。
• 脅威インテリジェンスレポート：脅威インテリジェンスレポートを作成することで、セキュリティチームと経営陣が現在の脅威ランドスケープを理解し、情報に基づいた意思決定を行いやすくなります。

脅威インテリジェンスにおけるAIのメリットとデメリット

AIを利用した脅威インテリジェンスはさまざまな優位性や利益をもたらしますが、同時に一定のリスクや課題も伴います。

AIが持つ利点

• 処理速度と効率の向上：AI技術によって膨大な量のデータをリアルタイムで処理・分析できるため、生産性を向上させられるほか、より早期に脅威を検出し、これに対応することができます。
• 精度の向上：AIは見落としやデータの入力エラー、あるいはその他の要因によるヒューマンエラーのリスクを軽減すると共に、人間が見逃す可能性のある情報を識別して抽出し、より正確に脅威を評価します。
• 継続的な監視：AIシステムは疲弊することなく24時間年中無休で稼働できるため、警戒を絶やすことなく新たな脅威に即時対応できます。
• 予測能力：AIや機械学習のアルゴリズムは過去のデータに基づいて傾向を特定し、将来的な脅威を予測することで、意思決定能力を向上させ、進化し続ける攻撃ベクターに対して組織が先を見越した防御を展開できるように支援します。
• 拡張可能性：AIは変化するデータ量やアラート量を処理し、複雑なタスクを実行すると共に、移り変わるニーズにも効率的かつ高いコストパフォーマンスで適応することができます。

AIが持つリスクと課題

• 敵対的な攻撃：高度な脅威アクターは検出を回避するために特別に細工した攻撃を仕掛けてAIシステムを欺くこともあり、AIベースの脅威インテリジェンスの有効性を損なう可能性があります。
• 人間とAIの連携のバランス：人間のアナリストとAIシステムの作業量の適切なバランスを見つけることは困難です。AIは重要な洞察を提供できますが、効果的に脅威を評価するためには人間の専門家による批判的思考や創造性、文脈理解、倫理的判断がまだ必要です。AIに依存しすぎるとエラーが発生したり、脅威を見逃したりするかもしれません。
• バイアスの懸念：AIモデルは、トレーニングデータやアルゴリズム内のバイアスを吸収し、長く記憶することがあります。これが原因で内容に偏りがある、あるいはミスリードするような評価が下される可能性があります。
• 法規制の順守：脅威インテリジェンスにAIを使用する場合、組織は変化し続ける複雑な規制の枠組みに従わなければならず、時間と費用がかかる可能性があります。

脅威インテリジェンスにおけるAIの展望

「学習して進化する」というAI固有の能力によって、脅威インテリジェンスにおけるAIの機能と活用例は拡大していく一方です。

これにはゼロデイ攻撃や高度持続的脅威（APT）といった、進化し続けるよりレベルの高い脅威を分析する能力や、予測分析能力の向上も含まれます。AI駆動型のNLP機能は、複数の言語でさらに優れた能力を発揮し、テキスト内の感情や意見をより適切に検出して評価できるようになるかもしれません。

しかし、AI駆動型の脅威インテリジェンスを解釈し、文脈に即した理解を得るためには、人間の専門知識が依然として不可欠です。人間は批判的思考に加え、倫理的・法的・合理的な観点を脅威の評価に落とし込むことができます。これらは意思決定やリスクの軽減において極めて重要です。脅威インテリジェンスは複雑で多角的であることも多いため、AIの進歩にかかわらず人間の判断力と適応力がこれからも求められます。

SilobreakerはAIで脅威インテリジェンスをいかに強化するか

脅威インテリジェンスでは、分析が必要な情報のソースと形式があまりにも多い上に複雑です。したがって、人間のアナリストが従来のデータベースシステムの制約内で、手動で情報を集約・管理することは非常に困難です。

このことを痛感したSilobreakerは、人工知能を活用して、無数のさまざまなソースから集めた膨大な量の非構造化データを解釈できるようにしています。エンティティの認識、トピックの分類、データの関連付け、クラスター化と重複排除、言語検出、フィルタリングとノイズ削減といった分野に機械学習を用いることで、脅威ランドスケープにおけるより包括的かつ正確な視点をSilobreakerは提供します。

機械学習や様々なアルゴリズムを採用したSilobreaker Relevance Engine は、ドメイン、IPアドレス、ハッシュを含むすべてのエンティティを複数の情報源から自動的に抽出し、文脈に基づいてこれらを整理します。AIを用いることでSilobreakerは、言語を素早く認識し、情報源をフィルタリング・クラスター化して、結果に含まれるあいまいな内容を明確にします。同プラットフォームの機械学習機能により、新たな脅威やリスク、インシデントのほか、それらが発生し得るタイミングを迅速に特定することができます。