サイバー攻撃の種類、数、スピードは、人間が対応できる域を超え、組織はセキュリティーリスクを最小化するために、サイバー攻撃の検知と対応にAIベースのソリューションを利用するようになってきました。AIベースのサイバーセキュリティ・ソリューションの大半は、何らかの形で機械学習(ML)の技術をすでに搭載していますが、攻撃は減ることはなく、今も多くの侵害が続いています。そこで変革の機会として注目されているのが、AIの最も高度な技術であるディープラーニング(DL)による優れた脅威対策です。
しかし、ディープラーニングとはどういう技術で、そしてなぜいま必要とされているのでしょうか。
MLとDLの間には大きな違いがあり、サイバーセキュリティに適用する場合、それぞれが実現できる内容と主なメリットを理解することが極めて重要です。
Deep Instinctの最新のeBookでは、これらの違いについて詳細に説明しています。DLとMLのソリューションの本当の比較と、高度な脅威防御のためにどちらが優れているのでしょうか?
サイバーセキュリティにおける機械学習の進化
サイバーセキュリティで使用されるAIは、基本的に3種類あります。「ベーシック」「リアクティブ」「プロアクティブ」です。
従来のAVやNGAVでは、サイバー攻撃を防ぐことができませんでした。これらのソリューションは、予防を改善するために基本的なAIの技術は採用していましたが、防御はあくまで既知の攻撃を阻止するためのシグネチャとルールベースに依存していました。ルールが更新される頃には、攻撃者はとっくに攻撃をアップデートし、戦術を変えています。そのため、攻撃者とセキュリティ・ベンダーの間の競争において、ベンダーはしばらくの間、攻撃者の後塵を拝する形になっていました。
2010年頃、「侵入されることを前提とする」という考え方が定着していきました。悪者を完全に排除することが不可能なので、侵入されたあとの対策が防衛手段として必要になりました。その結果、機械学習と呼ばれるAIを活用し、侵入の兆候や既知の攻撃手法を見つけるソリューションが開発されました。攻撃者を門前払いするのではなく、防御を突破されることを想定し、侵入後に対処することが最善の策であると判断されたのです。
当初MLはサイバーセキュリティの進化における新しい一歩として注目されていましたが、現在ではそれだけでは不十分な段階に来ています。いまだに多くの攻撃が成功しており、それを阻止するはずだったEDRのようなセキュリティ制御も回避 されることが多くなってきています。侵害後の対応コストもそうですが、サイバー脅威を阻止することができないサイバーソリューションへ投資を続けることは、もはや耐え難い痛みとなっています。
このことは、ベルリンに拠点を置くSRLabsのチーフサイエンティストであるKarsten Nohlが最近発表した記事「EDR evasion is well-documented, but more as a craft than a science(EDRの回避はもはや知れ渡っていて、科学というより技巧である)」からも知ることができます。Nohl氏は、「今回新たに発見されたのは、よく知られたいくつかの手法を組み合わせることで、私たちがテストしたすべてのEDRを回避するマルウェアが生成されるという洞察です。これにより、ハッカーはEDR回避をより効率的に行うことができるのです。」と述べています。
ディープラーニングがサイバーセキュリティを変革する5つの優位性
ディープラーニングは、攻撃者が内部に侵入して足場を築く前に、脅威をプロアクティブに防止することが最も期待されています。MLとDLベースのサイバーセキュリティ・プラットフォームのいくつかの側面は似ているように見えるかもしれませんが、大きな違いはその結果にあります。
MLとDLのより詳細な説明については、eBookをお読みください。
- 実行前の予防
DLベースのソリューションは、ランサムウェア、ゼロデイ、およびその他の未知の攻撃を、ファイルが実行されてオペレーティングシステムにアクセスする前に、即座に防止することができます。ディープラーニングにより、脅威がディスクに書き込まれると20ミリ秒未満で防御することが可能になり、脅威が検知を回避する能力を事実上排除することができます。 - 誤検知率を0.1%未満に低減
DLベースのソリューションでは、誤検知率が非常に少なくなるため、全体としてアラートの数が大幅に減少し、SOCチームの負担が軽減され、ビジネスに影響を与える緊急の高い他の問題に集中できるようになります。 - クラウドに依存しない自律的で正確な判断
DLの「脳」は、攻撃のDNAを理解するために、利用可能なすべての生データに基づいて訓練されます。これにより、DLベースのサイバーセキュリティソリューションは、インテリジェンスフィードのためにクラウドに問い合わせる必要はなく、悪意あるものと良性のものを自律的に即座に判断することができます。 - リソース要件の低減とメンテナンスの軽減
DLベースのソリューションは、判定の速度が速いにもかかわらず、メモリとCPUの消費は従来技術よりも大幅に少なくなっています。この「Brain」は、頻繁なアップデートを行うことなく、年に2~3回の更新だけで、日々やってくる未知の脅威を止めることができます。 - 圧倒的なスケーラビリティ
DLベースのソリューションは、その自律性、スピード、および軽量なフットプリントにより、ミリ秒単位で数千万ものファイルをスキャンする拡張性を備えながら、極めて低い誤検知率を維持することが可能です。
機械学習とディープラーニング、その違い
機械学習とディープラーニングは、表面的には同じAIですが、実際にはどう違うのでしょうか?その多くは、モデルが学習できるデータと、人間のバイアスをどれだけ排除できるかに関係しています。
ディープラーニングによる徹底的な防御
ML はかつて、最先端の AI 技術でした。しかし、私たちは、それがあまりにもリアクティブであることに気付くようになりました。EDRのようなMLベースのソリューションは、調査、相関分析、対処という作業には必要なものですが、それだけでは不十分です。セキュリティスタックに予防第一のアプローチを取り入れることで、SOCの成果と効率を大幅に向上させることができます。DLベースのソリューションは、顧客、サードパーティパートナー、エンドユーザーがアップロードした悪意のあるファイルや、インターネットからダウンロードしたファイルを、エンドポイント、サーバー、ストレージに到達する前にスキャンして防ぐことができ、業務への影響をゼロにすることができます。
MLソリューションとDLソリューションの違いについて、また、Deep Instinctがどのように世界最先端の脅威から組織を保護するのに役立つかを理解するにはeBook「サイバーセキュリティにおけるディープ ラーニングと機械学習」をお読みください。
当社のディープラーニング技術の詳細については、ぜひ製品デモをリクエストください。