膨大なセキュリティアラートの誤検知、「9割以上」見抜けるAIを日立が開発中:アナリストの負荷を軽減
サイバー攻撃の検知はできても、月に数千件も上がってくるアラートにどう対応すればいいのか――そんな悩みを解決してくれるAIを日立製作所が開発している。
サイバー攻撃の激しさが増し、新たに発見される脆弱(ぜいじゃく)性も年々増え続ける中、企業のセキュリティ担当者にかかる負荷も増え続けている。「攻撃の検知や可視化はできても、ログ解析の結果出てくる、1日100件以上のアラートにどう対応すればいいのか」。そんな悩みを抱えている企業は少なくないだろう。
実際のところ、膨大なアラートの中で本当に対応すべきものはほんのわずかで、それ以外の大半は誤検知なのが一般的だ。この誤検知をAI/機械学習を使って見抜き、セキュリティ監視業務の負荷を軽減できないか――。そのような取り組みが、日立製作所のプライベートイベント「日立セキュリティセミナー」で展示されていた。
膨大なアラートから、優先して対応すべきものを決めるのはアナリストの仕事だが、ビジネスごとにその傾向は異なることから、属人化してしまうという課題がある。また、セキュリティ人材の育成は時間がかかることから、人手不足にも陥りやすい。
日立製作所が研究を進めているのは、過去のインシデント例などから、ログの内容(時間やIPアドレスなど)とアラートの種類、そしてアナリストによる判断結果の関係性を学習させたAIを構築する方法だ。過去の判断結果を教師データ(正解データ)とする、教師あり学習を採用しており、AIが誤検知の可能性を数値化し、対応すべきアラートの優先度を0から1の間でスコアリングする。その結果を基に、ユーザーは優先すべきアラートを絞り込むことができるというわけだ。
現在、この技術は社内外で実証実験を進めている最中とのことで、「正しい検知を見逃さないレベルの判定基準で、最大で95%の誤検知を低減できる」(同社)という。比較的シンプルな仕組みの機械学習を使っているため、100件程度のデータでもAIを開発できるとのことで、「依頼を受けてから2カ月程度で効果が出る」(同社)という。
セキュリティに「AI」を使う難しさ
とはいえ、セキュリティにAIを使うにはさまざまな課題もある。まずは「高い精度が求められる」という点だ。インシデントにつながるアラートを見逃してしまえば、重大な情報漏えいにつながる可能性があるため、基本的には見逃し(統計学でいう「第二種過誤」)はゼロに近づけたいところだ。
しかし、見逃しを減らそうとすれば、今度は誤検知を「対応すべきアラート」として表示させてしまう可能性(統計学でいう「第一種過誤」)が増える。この両方の可能性を同時に減らしていくのは簡単なことではない。
その他にも、大量にある誤検知のケースに比べて、実際にインシデントにつながったケースは少ないため、データの収集が難しいほか、日々増える攻撃の方法に対応できるよう、継続的にAIの“働き”を見直す必要も出てくる。そのため、実際にこれをサービス化する際は、コンサルティングと組み合わせる形を想定しているとのこと。同社によると「実証実験の結果や、さまざまな課題を解決しながら、2018年秋ごろのサービスインを目指している」という。
関連記事
- 日立とトレンドマイクロ、不足するセキュリティ人材の育成で協業 「サイバー攻撃対応研修」を提供
日立製作所、日立インフォメーションアカデミー、トレンドマイクロが、サイバーセキュリティ分野での人材育成で協業。最初の取り組みとして「サイバー攻撃対応研修」を2018年10月に提供開始する。 - Suicaの代わりに「手」をかざす時代がやってくる? 日立のウォークスルー型指静脈認証を見てきた
日立が東京・大森にあるオフィスに、指静脈による認証で入退館を管理するゲートを設置。歩きながら指をかざすだけで正確な本人確認をする実証実験を行っている。鉄道の改札機と同等の応答速度を目指すとのことだが、本当に可能なのだろうか? - 中小企業こそセキュリティをアウトソースすべき? 任せるときに知っておきたいこと
サイバー攻撃が巧妙になる一方で、セキュリティ分野の人材不足が深刻化する――。そんな中、企業が注目しているのがセキュリティのアウトソースだ。効果的なセキュリティ対策を講じるためには、どんな手順でどのように準備を進めればいいのか。 - “ツールが人間をサポートする”これからのセキュリティ、McAfeeがラスベガスで実演
米McAfeeの年次イベント「MPOWER:Cybersecurity Summit」がスタート。基調講演では、CEOなどが「ツールが人間をサポートする」というセキュリティツールのあるべき姿を語った。興味深いデモの紹介も含め、その様子をレポートする。 - ニートがたった2年で一人前のITコンサルに なぜ、クラウドネイティブはあえて「IT素人」を雇うのか
人手不足に悩むIT企業が優秀な人材探しに躍起になる中、あえて「IT業界未経験者」を雇って一人前のITコンサルに育てている企業がある。いったいどんな人材育成をしているのか。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.