従来の対策方法が通用しない未知のサイバー攻撃にどう備えるか―昨今の情報セキュリティ担当者が抱える課題のひとつだ。攻撃側は手を変え品を変え、様々なパターンで仕掛けてくるため、防御側は常に新たな脅威とのいたちごっこを強いられている。この課題を解決する決定的な手法が登場する見込みは今のところ薄いと言わざるを得ないが、NECが2015年12月10日に発表した新技術は、情報セキュリティ対策のトレンドを先取りした、新たな可能性を示すものだ。
NECが発表した「自己学習型システム異常検知技術」は、AI(人工知能)技術を活用して、従来のパターンマッチング方式では検知できなかった未知のサイバー攻撃を自動検知する。プログラムの起動やファイルへのアクセス、通信など、普段の社内システムのあらゆる動きを学習して「定常状態」を設定する。エージェントで監視しているリアルタイムの動きと定常状態を照らし合わせて、定常ではない「差分」を発見すると、これを「異常」とみなす。
あくまでも、現在の動作が「定常状態」と異なるということが判断基準となるため、最新の脅威データベースが不要で、未知、既知に係わらずリアルタイムに異常を検知することが可能となる。異常を検知した際には、システム管理ツールやSDN(Software Defind Network)などを活用して、該当カ所のみをネットワークから隔離するため、被害を最小限に抑えられるのだという。
果たして本当に未知の脅威を検知できるのか、攻撃者のファイルが定常状態とほとんど変わらない振る舞いをすることはないのか。NECの実証実験では、今のところ異常の検知率は9割をゆうに超えるスコアを記録しているという。しかし、異常ではないものを異常と検知するといったミスを起こす可能性は、完全には否定できないようだ。
この検知率を、限りなく100%に近づけることができるかどうかは、「自己学習システム」にかかっている。機械学習エンジンが、「定常状態」をどれだけ正確に学習できるかによって検知率は変わってくる。現在、多くの企業がAIや機械学習の開発に取り組んでいるが、今回は情報セキュリティという極めてセンシティブな分野で活用されるだけに、NECが取り組んでいる機械学習の力量が試される。
