サイバーセキュリティにおける AI の 4 つのユースケース

人工知能 (AI) は今日、生活のあらゆる面に導入されています。AI は、コードの開発、顧客とのコミュニケーション、さらにはさまざまなメディアでの文書作成に使用されています。サイバーセキュリティ、とくに製品のセキュリティも、AI が大きな影響を与えることができる分野です。AI はセキュリティツールに組み込まれつつあり、裏を返せば悪用の領域にも入り込んでいます。AI は今やメインストリームであり、近い将来になくなることはないでしょう。そのため、セキュリティ担当者は、システムや製品のセキュリティを強化するために AI を最大限に活用する方法を学ぶ必要があります。

AI とそのセキュリティへの影響

「人工知能」とは、コンピューターシステムを使用して人間の知性をシミュレートすることです。AI システムは、パターン認識、学習、問題解決など、ますます多様化しているタスクを実行できます。AI には、時間の経過とともにシステムが学習し、改善することを可能にする機械学習 (ML)、人間の音声を模倣しようとする自然言語処理 (NLP)、カメラを入力としてさまざまなタスクを実行するコンピュータビジョンなど、さまざまな分野があります。

このような AI の応用技術は膨大な数のシステムに組み込まれ、プロセスを自動化し、分析し、改善しています。サイバーセキュリティの世界では、AI はさまざまな役割やプロセスを実行しているか、または支援しています。OpenShift は、ログの分析、脅威の予測、ソースコードの読み取り、脆弱性の特定、さらには脆弱性の形成や悪用にも使用されています。

AI を使ってサイバーセキュリティ攻撃を検知する

AI のパターン認識の習熟度を考えると、サイバーセキュリティの異常を検出するのがユースケースの 1 つであることは明らかです。動作異常検出はその良い例です。機械学習を使用すると、モデルを使用してシステム内の通常の動作を識別し、標準から逸脱した事例を特定することができます。これは、潜在的な攻撃を特定するのに役立つだけでなく、動作の外れ値を検出することで、意図通りに動作していないシステムを特定するのにも役立ちます。

偶発的なデータ漏洩や盗難など、問題となる可能性のあるユーザーの行動も、AI のパターン認識またはその他のメカニズムによって発見できる可能性があります。組織が作成または使用するデータセットを使用して、より広範なパターンや外れ値の行動を監視し、世界中で発生しているサイバーセキュリティ・インシデントの標的になる可能性を判断することもできます。

ユースケース 1：異常検出

ログ、トラフィック、その他のデータにおける異常なパターン、稀なパターン、またはその他の異常なパターンを特定する異常検出は、ML のパターン認識能力を活用するのに適しています。ネットワークトラフィック、ユーザーのアクティビティ、その他のデータのいずれであっても、適切なアルゴリズムとトレーニングを使用すれば、AI/ML は有害である可能性のある外れ値を検出するのに最適です。これは、リアルタイムの監視とアラートを始めとして、さまざまな方法で実行できます。この方法は、ネットワークトラフィック、API 呼び出し、ログなどのシステムの事前に設定された標準から開始し、統計分析を採用してシステムの動作とアクションを継続的に監視できます。このモデルにより、異常なアクションや稀なアクションが検出されると、アラートをトリガーできます。

AI/ML はパターンを特定するのに優れているだけでなく、パターンを分類してグループ化することもできます。これは、さまざまなイベントに優先度を割り当てる場合に不可欠であり、アラートが氾濫し、その多くがノイズに過ぎない可能性がある場合に起こり得るユーザーやチームの「アラート疲れ」を防ぐのに役立ちます。 アラートの重要性が低下し、すべてではないにしても多くのアラートがノイズとみなされ、適切に調査されないことがよくあります。しかひ、これらの機能を使用することで、AI/ML はインテリジェントな知見を提供することができるため、ユーザーはより多くの情報に基づいた選択を行えるようになります。

ユースケース 2：AI 支援によるサイバー脅威インテリジェンス

システムを監視してリアルタイムでアラートを提供する機能は欠かせませんが、AI/ML は、セキュリティイベントが発生する前にシステムのセキュリティを強化するためにも使用できます。サイバー脅威インテリジェンス (CTI) は、サイバーセキュリティ攻撃とイベントに関する情報を収集することで機能します。CTI の目的は、新たな脅威や進行中の脅威に関する情報を受け取ることであり、攻撃が実際に行われる前に、組織に対する攻撃の可能性についてチームに事前に準備させることを目的としています。CTI は、インシデント対応チームが対処している問題の対象についての理解を深められるようにすることで、既存の攻撃に対処する上でも価値をもたらします。

従来、このようなデータの収集、整理、分析は、セキュリティの専門家が行っていましたが、AI/ML は日常的なタスクの多くを処理し、整理と分析を支援することができるため、必要な情報を実用的な形式で手に入れたチームは必要な意思決定に集中することができます。

AI を活用して脆弱性を防止する

AI/ML を活用してサイバーセキュリティ攻撃を検知し予防することには価値がありますが、ソフトウェアの脆弱性を防止することも非常に重要です。コードエディターの AI アシスタント、パイプラインの構築、実行中のシステムのテストや検証に使用されるツールは、IT のさまざまな側面で急速に標準になりつつあります。

CTI と同様に、AI システムは日常的なタスクの軽減に役立ち、人間はより価値のあるプロジェクトやイノベーションに時間を割くことができます。コードレビューは重要ですが、静的アプリケーションセキュリティーテスト (SAST) を活用することで改善できます。SAST プラットフォームは以前から存在していますが、最大の問題は、しばしば大量の誤検出が生成されることにあります。そこで AI/ML を使用すると、インフラストラクチャと構成コードと共に、ソースコードをさらにインテリジェントに精査する機能を活用できます。また AI は、実行中のアプリケーションをテストして一般的な攻撃が成功するかどうかを確認する Dynamic Application Security Testing (DAST) の実行にも使用され始めています。

ユースケース 3：AI 支援によるコードスキャン

SAST は長い間、コードスキャンに対して「ソースとシンク」のアプローチを使用してきました。これは、データの流れを追跡し、一般的な落とし穴を探す方法です。静的コードスキャンのために作成されたさまざまなツールで 、このモデルがよく使用されます。これはコードの確認には有効な方法ですが、多くの誤検出につながる可能性があり、手動での検証が必要になります。

AI/ML は、コードベースで考えられる結果のコンテキストや意図を学習して理解し、誤検出 (偽陽性と偽陰性) を削減するため、この分野でも価値を提供できます。それだけでなく、SAST ツールと AI アシスタントの両方がコードエディターに追加されているので、開発者はエラーが発生する前に見つけることができます。ただし、言語サポートや非常に大規模なコードベースに対するスケーラビリティなど、いくつか制限がありますが、これらはすぐに解決されつつあります。

ユースケース 4：脆弱性の検出を自動化する

コードレビューは時間がかかるプロセスですが、コードが提出されたら、通常はテストが終了することはありません。DAST は、実行中のアプリケーションに対する一般的な攻撃をテストするために使用されます。これを支援するツールはいくつか市場で提供されていますが、コーディングそのものと同様に、ある程度の準備に時間がかかります。ユーザーは、これらの攻撃の種類と、DAST ツールを使用してそれらを再現し、自動化する方法を理解する必要があります。

最近、DAST や関連するアプリケーションのテストツールが AI/ML を直接プラットフォームに実装するか、またはプラグインとして実装するようになっており、自動スキャンが大幅に改善されています。これにより、立ち上げの時間やさまざまな攻撃の実行に必要な時間を必要とするスタッフが解放されるだけでなく、本格的なペネトレーションテストを実施するために必要な時間と資金も解放できます。ペネトレーションテストは依然として、攻撃者のように考え、潜在的な弱点を認識し、多くの場合、それらが実際に悪用可能であることを検証する新たな方法を編み出すことのできる人間を必要としています。

AI 自体を保護する

AI は多くの人的ミスを排除するのに役立ちますが、それ自体は脆弱です。まず、多くの IT の問題の悩みの種である、設定の不備や不適切さがあります。これには、モデルとそのプロセスをより安全にトレーニングし、検証する必要性が密接に関連しています。これを怠ると、システムはユーザーに十分に理解されていない状態になり、一種のブラックボックスとなり、モデルのライフサイクルの管理プロセスが不適切になってしまいます。

AI に関連して最も一般的に議論されるセキュリティ上の懸念の 1 つは、データポイズニングです。人間が収集したデータは、AI/ML アルゴリズムのトレーニングに使用されることがよくありますが、人間である以上、データにバイアスをかける可能性があります。これは気をつけるべき単純なコンセプトですが、バイアスが意図的に追加される場合があります。攻撃者は、さまざまなメカニズムを通じて、AI/ML システムのトレーニングと検証に使用されるデータセットを意図的に危険にさらすことができます。その結果、システムからの新たな偏りのある出力が悪意のある目的に使用される可能性があります。

AI が急速にメインストリームとしての存在感を増しているため、私たちの理解とトレーニング、とくに AI/ML に関するセキュリティ・トレーニングは遅れを取っています。AI/ML システムの内部動作の多くは、テクノロジーコミュニティ外の多くの人によって十分に理解されていませんが、システムが放置され、透明性を欠く場合には、状況はさらに悪い可能性があります。

その結果、テクノロジーにおけるもう 1 つの一般的な問題である、適切な文書化の欠如が生じます。システムには、わかりやすく、当該システムの大部分をカバーするのに十分な包括的な文書が必要です。

さらに、世界中の政府が AI/ML システムに関連する規制について議論し、これを計画を立てています (あるいはすでに実施済みです)。セキュアな AI/ML 認証が開発されることは考えられないことはないので、現在開発されているシステムが可能な限り安全かつ有効であることを確認するためにできることを行うことで、これに関連する作業の発生を将来的に防ぐことができる可能性があります。

終わりに

AI システムへの依存度が高まるにつれ、利用するシステムの保護するという面での機械学習がもたらすスピードと精度は、単に「あれば便利なもの」ではなく、ますます「なくてはならないもの」になっていくでしょう。悪質な行為者が AI/ML システムを使って攻撃を行うことはほぼ確実であるため、防衛する側は組織やシステムを保護し、防御するためにこれらのシステムを導入する必要があります。

理想的なのは、これから社会に出ようとする学生が AI/ML システムについて学ぶことですが、白髪交じりのベテランもこれを受け入れていく必要があります。個人にできる最善のことは、AI について少なくとも基本的な理解を持っていることを確認することであり、組織にできる最善のことは、自社の製品、システム、セキュリティにおいて AI/ML をどのように活用するのが最善かを検討し始めることです。

Red Hat のサポート内容

Red Hat OpenShift AI は、モデルの構築と AI のアプリケーションへの統合を支援します。セキュリティ分野の組織にとって、OpenShift AI は AI の力を製品に組み込むために役立ちます。AI 対応アプリケーションの普及は今後も増えるでしょう。OpenShift AI は、これらのアプリケーションのプロダクションへの移行を支援することができる強力で拡張性のある AI 開発プラットフォームです。

Red Hat OpenShift AI を試用する