AI・自動化を使った方がいいセキュリティ業務トップ3とは？ 調査で分かる企業の現在地

パロアルトネットワークスは「日本企業のサイバーセキュリティにおけるAI・自動化活用」に関する調査結果を発表した。調査によると、約9割が業務変革の必要性を訴えているという。ではAI・自動化をどう業務に生かせばいいのか。

[斎藤公二，ITmedia]

　パロアルトネットワークスは2024年3月21日、記者発表会を開催し、「日本企業のサイバーセキュリティにおけるAI・自動化活用」に関する調査結果を発表した。

　同調査はサイバーセキュリティにおいてAIや自動化がどのように活用されているのか、活用企業の実態を明らかにしている。民間企業でサイバーセキュリティの管轄や運用、監視業務に関わる管理職および現場担当者392人を対象に実施した。

　調査によると、セキュリティ製品からの大量のアラートやインシデント発覚の長期化など、回答者の95％が何かしらの課題を抱えており、87％が「内製化の変革が必要だ」、89％が「業務変革が必要だ」と回答した。セキュリティを完全に外部委託している組織においても、72％が内製化の必要性、89％が業務変革の必要性を挙げたという。ではAI・自動化は具体的にはどの業務に利用すればいいのか。

AI・自動化を活用すべきセキュリティ業務トップ3とは？

パロアルトネットワークスの染谷征良氏（チーフサイバーセキュリティストラテジスト）

　パロアルトネットワークスの染谷征良氏（チーフサイバーセキュリティストラテジスト）はサイバーセキュリティトレンドの変化について「ネットワーク機器が、脆弱（ぜいじゃく）性などのリスクを残したままインターネットにさらされるケースが増えています。この他、海外子会社や業務委託先などのサプライチェーンに起因したインシデントも増加傾向にあります。インシデント発生時のビジネスインパクトも大きくなっており、対応は喫緊の課題です」と話した。

　リスクが拡大している現状では、インシデント検出と対応に要する時間をいかに短縮できるかが被害の低減に直結する。それを測る指標が「MTTD」（Mean Time To Detect）と「MTTR」（Mean Time To Respnd）だ。

　米国立標準技術研究所（NIST）によると、MTTDはサイバー攻撃や内部犯行といった不正な活動が実行されてから気が付くまでに要する時間、MTTRはインシデントに気が付いてから収束するまでの時間となる。

　「セキュリティ監視・運用体制においては、膨大なログやアラート、インシデント検知に要する時間の長期化、アラートの優先順位付けなどが課題に挙がりがちです。現状のセキュリティ体制の有効性を評価する指標としてもMTTDやMTTRは機能するでしょう。インシデントにいかに早く気が付き、迅速に対応することが被害を最小化する上でも極めて重要です」（染谷氏）

　最近はAI・自動化がMTTDやMTTRを短縮すると期待が集まっている。調査によると、「セキュリティ業務の改善を目的にAIを活用している」と答えた割合は23％だったが、「現在未活用であるものの今後AIを活用予定・検討中」と答えた割合は82％に及んでいる。「インシデント対応の品質の担保を目的に自動化を活用」は53％、「現在未実施ではあるものの今後自動化を実施予定・検討中」は74％だった。

　この他、インシデント検出と対応に要する時間の削減に力を入れている企業ほど、AIや自動化技術の活用に積極的であることも分かった。こうした企業はより多くセキュリティソースデータを活用し、AIでデータをひも付けて相関分析を実施している。

　AIや自動化の導入目的についても聞いたところ、AI活用の目的トップ3は「内部不正の兆候の検出」「サイバー攻撃の兆候の検出」「未知の脅威の検出」だった。また、自動化活用の目的トップ3は「手作業によるミスの排除」「対応のばらつきの排除」「反復的作業への対応の排除」だった。より効率的なセキュリティオペレーションの実現に向けた期待が高まっているのがうかがえる。

　染谷氏は「自動化はセキュリティ投資効率向上や人材戦略の変革につながります。人を中心としたオペレーションから、AIや自動化中心のセキュリティオペレーションへと転換し、戦略から運用までを最適化したセキュリティを目指してほしいと思います」と提言した。

パロアルトネットワークスが提供する統合プラットフォームの真の価値

パルアルトネットワークスの室井俊彦氏（Cortex事業本部　技術部　部長）

　続いてパルアルトネットワークスの室井俊彦氏（Cortex事業本部　技術部　部長）がAIと自動化によってセキュリティ運用を変革することの重要性と、これに向けてパロアルトネットワークスが提供するセキュリティプラットフォーム「Cortex XSIAM」を紹介した。

　室井氏ははじめに「膨大なアラートが発生し、その対処に追われている現状のセキュリティ運用は、人間中心では成り立たなくなっています。AI主導で脅威を阻止し、自動化第一のアプローチでインシデントの修復を促進することが求められます」と話した。

　Cortex XSIAMはさまざまなセキュリティログやイベント情報を統合して分析するためのプラットフォームだ。ユーザー事例としてMTTRを270分の1にしたケースや、インシデント件数を75％削減（1000件から250件）したケースなどがあるという。

　室井氏は「Cortex XSIAMによって複数のセキュリティソリューションから出力されるログを統合すれば、セキュリティ運用や調査などのワークロードに一元対応できるようになります。これまで無視せざるを得なかったアラートにも対処できるようになるでしょう」とアピールした。

　「リアルタイムでのインシデント対応やセキュリティインフラの統合、プロセスの標準化などに自動化は有効です。特にこれまで見きれなかった膨大なアラートを全て見られるようになることは、セキュリティの観点から非常に大きな価値があると考えます。さらに自動化はセキュリティ技術者のモチベーション向上にもつながるでしょう。人材不足の中で、モチベーションを保ち前向きな姿勢でセキュリティに取り組めるようになるはずです」（室井氏）