ネットワークの“異変”を自動検知、防御するAI、その実力は？ セキュリティ対策の最前線

PR／ITmedia

PR

　サイバー攻撃の脅威は日々増している。従来の境界型防御だけでは防ぎきれない標的型攻撃やサプライチェーン攻撃、巧妙化するフィッシング、不正利用される内部権限など、攻撃者はあらゆる経路から企業のシステムに侵入を試みる。

　とりわけ深刻なのは、攻撃者側がAIを悪用し始めていることだ。フィッシングメールの文面を自然に仕上げたり、リアルタイムで攻撃手法を変化させたりするなど、検知そのものが困難な時代に突入した。

　EDR（Endpoint Detection and Response）製品を無効化するランサムウェア攻撃や、システム内に存在する正規のツールを悪用する「Living-off-the-land攻撃」（環境寄生型攻撃）などが発生しており、従来のシグネチャベースやルールベースの対策は検知が極めて困難になっている。

　2024年9月には、ランサムウェアグループ「RansomHub」による新たな攻撃手法が明らかになった。本来はセキュリティツールとして提供されている「TDSSKiller」というルートキット駆除ツールを悪用して、製品の機能を無効化してからランサムウェア攻撃を仕掛けるという手口だ。

　「PowerShell」や「WMI」（Windows Management Instrumentation）など正当なツールを利用して攻撃するこうした手法は、攻撃者は攻撃対象のシステムに新たなマルウェアをインストールせずに、もともと存在するツールのみで悪意のある活動を行えるため、シグネチャベースでの検知が非常に難しい。

SB C&Sの宮澤建人氏（ICT事業本部 技術本部 技術統括部 第4技術部　1課）

　「お客さまからこれまでの対策では通用しないというお声を頂くようになっています」と、ディストリビューターとして多様なセキュリティソリューションを展開するSB C&Sの宮澤建人氏は説明する。特に注目すべきは攻撃のスピードが大幅に早まっている点だ。現在の高度な攻撃は攻撃開始から完遂までの時間が最短2分程度、平均1時間程度であり、従来のシグネチャやルールベースの検知や対応は到底間に合わない。

NDRの本質的価値とDarktraceの独自性

　こうした脅威の変化を受けて、NDR（Network Detection and Response）への注目が高まっている。EDRが端末単体の動作ログを取得してエンドポイント起点で異常を検知するのに対し、NDRはエンドポイントに到達する前のネットワークの異常を検知する。侵害範囲を横展開するラテラルムーブメントについても、エンドポイント起点で考えるよりも広くかつ迅速に情報を集められる。

　EDRとNDRは補完関係にあり、基本的には両方導入することが望ましいが、監視できる範囲には明確な違いがある。EDRはエージェントがインストールできる端末のみに限定されるが、NDRはエージェントが不要のため、IoT機器、Webカメラ、複合機、監視システム、Web会議端末など広範囲の監視が可能だ。

EDRとNDRの違い（提供：SB C&S）《クリックで拡大》

ダークトレース・ジャパンの小川慶氏（パートナー アライアンス ディレクター）

　「近年よくお客さまからご相談いただくのは、EDRが展開できない端末や領域が増えてきているということです」とダークトレース・ジャパンの小川慶氏は説明する。実際、IoT機器への攻撃は増加しており、従来の対策では対応しきれない状況が顕在化している。

　このような現状に応えるNDR製品が「Darktrace / NETWORK 」（以下、Darktrace）だ。最大の特徴は自己学習型AIを中核に備えている点が挙げられる。従来のセキュリティ製品が既知の脅威パターンを事前に定義したルールやシグネチャに依存するのに対し、DarktraceのAIは通常の状態を継続的に自己学習して、そこから逸脱する異常をリアルタイムで検知する。

　シグネチャに依存しないため、未知の攻撃も見逃さない。ネットワーク内の通信や端末の挙動を可視化して、オンプレミス、クラウド、ハイブリッドなど多様な環境に柔軟に対応する。ネットワークを流れる通信データ、端末の振る舞い、ユーザーの活動パターンなどをAIは常に監視して、企業の“固有のアイデンティティー”を構築する。これによって異常な振る舞いをリアルタイムに検知できる。

　脅威を自律的に封じ込める「自動応答」機能を搭載している点も注目だ。AIによって異常に自動で対処することで、攻撃の拡大をリアルタイムで阻止できる。アラートを自動的にトリアージする独自のAI分析技術も備え、人的リソースに頼らずとも効果的に防御可能だ。

　「『以前は見つけられなかった脅威をDarktraceで発見できた』という声を多くのお客さまから頂いています。導入効果として、セキュリティチームの負担軽減とこれまで見落としていた脅威の早期発見を実現できています」と小川氏は強調する。

　さらに精度を上げる機能として、多層的AI機能も備える。

　Darktraceはさまざまなタイプの機械学習を組み合わせて、「Darktrace ActiveAI Security Platform」の製品全体に適用されるAIを構築している。組織のインフラとサービスにプラグインされたDarktraceのAIは、環境内のデータと相互動作を取り込んで分析し、個別のユーザーやデバイスの詳細情報に至るまで、環境における通常の動作を理解する。システムは「何が正常か」についての理解を、変化する証拠に基づいて絶え間なく更新。正常状態に対して動的な理解を持つことによって、AIエンジンは異常かつ良性と考えられないイベントや動作を非常に高い精度で特定できる。

Darktrace ActiveAI Security Platformは環境内のデータと相互動作を分析し、異常を特定する（提供：ダークトレース・ジャパン）《クリックで拡大》

　Darktraceの強みとして、IT環境とOT環境を統合して監視できる点も挙げられる。DXの推進に伴ってOT環境とIT環境の接続が増えている中、一般的にOT環境の脅威はIT環境から侵入してくる。DarktraceはIT環境をまたいでくるような攻撃やOTプロトコルによる通信も監視対象としており、相互に監視できる仕組みだ。

　Darktraceは第三者機関からも評価されている。2025年に調査会社Gartnerの「Magic Quadrant for Network Detection and Response （NDR）」でリーダー・クアドラントに位置付けられており^※1、同社の製品は世界で1万社以上が導入している。日本でも製造業や金融、大学、病院などで導入が増えており、某メガバンクでは監督官庁のペネトレーションテストにおいて高い評価を獲得しているという。

実用性を支える運用面の工夫

　AIを活用したセキュリティ対策で懸念されがちな検知精度について、Darktraceは独自のアプローチで対策を講じている。

　「導入初期は過敏に反応する傾向が見られても、AIの学習精度が上がっていきますので、数時間後のアラートと数週間後のアラートでは質が大きく変わります。学習を繰り返してより精度の高い状態になるのでノイズは非常に少なくなります」（小川氏）

　自律的防御機能についても、業務影響を最小限に抑える設計を施している。業務で利用している通信を止めずに、普段と異なる怪しい通信や動きのみを一旦ブロックすることで、被害の拡大や脅威の進行を食い止める。自動遮断と手動遮断があり、導入時の要件に応じて特定のアラートやスコア値が高いもの、ランサムウェアなど深刻度の高いものを自動で設定する。これらの自動化機能によって、セキュリティ人材が不足している企業でも運用しやすい環境が整う。

　「AIをベースとした自動化で運用負荷の軽減につながっています。セキュリティアナリストがいない企業でも、自動調査機能を活用することで運用がしやすくなります」と宮澤氏は説明する。

　導入のハードルを下げる取り組みとして、1カ月間の無償検証プログラムも提供している。期間中に実際の環境でDarktraceの機能を試し、検知精度や運用の実現性を確認してから導入を決定できる。

　既存のセキュリティ環境への組み込みも柔軟で、APIを通じて各種SIEMやEDR、ファイアウォールと連携できる。「Splunk」や「QRadar」といった主要なSIEM製品との実績も豊富で、現在使用中のセキュリティツールを活用しながらDarktraceを追加できる。

NDR導入を検討する際に押さえるべきポイント

　このように高い評価と独自性を備えたDarktraceの国内展開を担っている一社が、大手ディストリビューターのSB C&Sだ。同社が取り扱いを始めた背景には、国内市場におけるAIによる次世代セキュリティ対策への関心の高まりがある。

　「ここ数年、従来のセキュリティ対策だけでは防げない攻撃がかなり増えている中で、Darktraceのような自己学習型AIによるアプローチがまさに今求められていると感じています」（宮澤氏）

　SB C&Sが構築してきたエコシステムは、単に製品を売るだけではなく、教育、サポート、運用支援まで含めた総合的な価値提供を特徴としている。今回のDarktraceとの協業によって、セキュリティポートフォリオを一段と拡充し、AIを活用した自律型のセキュリティ対策という選択肢を提供できるようになった。宮澤氏は次のように語る。

　「セキュリティ対策は事後対応ではなく、予防的防御が当たり前の時代に入っています。DarktraceのようにAIが常時環境を観察して人間が気付けない兆候を検知、被害が出る前に抑え込む、それがこれからの守りのスタンダードになると考えています」

　Darktraceは、NDRを含むより広範囲なセキュリティ領域のXDR（eXtended Detection and Response）の機能強化に向けて積極的な投資を続けている。直近で2社を買収しており、1社目はクラウド調査プロバイダーのCado Securityで、CDR（Cloud Detection and Response）の機能を強化している。2社目のMira Securityは暗号化通信を復号して可視化するソリューションを持ち、NDR製品でありがちな暗号化通信の盲点をカバーする機能統合を行っている。

　「新たな脅威に対抗するためには、従来の延長線ではない次世代の防御技術を実際に試してみることが重要です。既存のセキュリティ対策に課題を感じられている方は、Darktraceの検証をご利用ください」と小川氏。無償の検証期間を利用して、AIが自律的に脅威を検知、遮断する次世代セキュリティ対策の実力を確かめてみてはいかがだろうか。

　詳しくはこちら：https://www.it-ex.com/products/maker/darktrace/darktrace.html

※1　https://www.darktrace.com/ja/resources/gartner-ndr-magic-quadrant-2025
Gartner Magic Quadrant for Network Detection and Response, Thomas Lintemuth et al., 29 May 2025
・GARTNERは、Gartner, Inc.および/または米国とその他の国におけるその関連会社の商標およびサービスマークであり、MAGIC QUADRANTは、Gartner, Inc.および/またはその関連会社の登録商標であり、本書では許可を得て使用しています。All rights reserved.
・Gartnerは、Gartnerリサーチの発行物に掲載された特定のベンダー、製品またはサービスを推奨するものではありません。また、最高のレーティングまたはその他の評価を得たベンダーのみを選択するようにテクノロジーユーザーに助言するものではありません。Gartnerリサーチの発行物は、Gartnerリサーチの見解を表したものであり、事実を表現したものではありません。Gartnerは、明示または黙示を問わず、本リサーチの商品性や特定目的への適合性を含め、一切の責任を負うものではありません。