- AI を活用した SOC の展望: この項目では、AI を活用した SOC に特徴的なコンセプトモックアップや実装予定の機能を紹介しながら、未来の SOC のイメージを描いていきます。
- AI を活用した SOC の実現に向けたソフォスのロードマップ: この項目では、今後 5 年間で AI を活用した SOC を実現するための見通しを説明します。 また、AI イノベーションのロードマップと、ソフォスの XDR 製品のデータを活用して AI モデルの精度を向上させる道筋を検討します。 さらに、ベンダー製品の API や、「Everything as Code」 (コードとしてのインフラストラクチャや、コードとしての IT など) のトレンドを活用し、セキュリティポスチャの更新やインシデント対応操作を AI によって自動化する方法についても説明します。
- AI を活用した SOC の実現に向けたソフォスの現在の取り組み: この項目では、ソフォスでの研究において作成された 3 種類のプロトタイプを用いた実験結果を示し、今後の展望に存在する研究課題は、5 年以内に解決できる可能性が高いことを実証します。
A vision of the AI-assisted SOC
図 1: AI-UX バリューサーキット
AI を活用した SOC は、AI-UX バリューサーキット (値の循環) によって実現されます。図 1 に示された AI-UX バリューサーキットは、セキュリティ以外の分野でも UX 強化に頻繁に用いられるデザインパターンです。最も単純な例としては、タッチスクリーンのキーボードやメールソフト、検索エンジンの自動サジェスト機能が挙げられます。 これらのサービスは、ユーザーが文字を入力すると、AI が文章の「完成形」を提案し、誤りを訂正します。 ユーザーが入力を確定させると、今度は AI システムがユーザーから学習します。 この循環は非常に強力です。自動補完機能や誤入力修正機能のないタッチスクリーンでの入力は想像もできないでしょう。 また、AI-UX バリューサーキットは、音楽、映画、商品のおすすめシステム、検索結果のランキング、半自動運転など、さまざまな場面で活用されています。
今後 5 年の間に、優秀な SOC ソフトウェアプロバイダーは、AI-UX バリューサーキットをセキュリティにも導入し、グローバルな SOC アナリストの集合知を活用した「セキュリティのおすすめシステム」のような機能の数々を作り上げるでしょう。 この AI 技術を API 統合が進んだ IT 製品と融合させ、クラウドインフラのトポロジーや構成を定義するコードの修正に利用することで、SOC ソフトウェアはスマートホームソフトウェアのように、ボタン 1 つで推奨される動作を実行し、IT セキュリティポスチャを更新できるようになります。
以下では、AI-UX バリューサーキットがアラートの選定、セキュリティデータの強化、インシデント対応にどのような影響を与えるかについて具体的に説明し、企業の IT 部門と IT セキュリティ API の統合について説明します。
AI を活用したアラート選定 (推奨) システム
現在の検出システムは AI-UX バリューサーキットを導入していないため、1990 年代のキーワードベースの Web 検索エンジン同様、限界があります。 複数の SOC のユーザーが特定のアラートのエスカレーションまたは却下を選択しても、SOC プラットフォームがこの傾向を検知し、関連するアラートの優先順位を上げたり下げたりすることはありません。初期の検索エンジンがユーザーのインタラクションから学習しなかったのと同じです。 最近の SOC プラットフォームであっても、「集合」としての SOC アナリストの振る舞いは無視されており、他の技術分野ではすでに活用されているユーザーインタラクションデータが無駄になっています。 AI-UX バリューサーキットを活用することで、AI を活用した SOC は飛躍的に進化し、集団の行動からリアルタイムで得られた情報をもとに、個々の組織の環境に合わせてカスタマイズしたアラートを選定するようになります。 この機能は、現在 Google が時事問題や集団の行動のリアルタイムな変化をもとに検索結果をランク付けし、ユーザーのプロファイルにもとづいて検索結果をカスタマイズするのと類似していると言えるでしょう。 説明のため、将来の SOC アラート選定システムをイメージしたのが図 2 です。図 2 の左側は、AI を活用した SOC が、数千ものセキュリティオペレーションセンターにおけるアナリストとアラートのインタラクションをもとに、さまざまなセキュリティ検知器が発するアラートをどのように順序付けるかを示しています。 たとえば、以下の概念イメージ (モックアップ) では、「疑わしい PowerShell の起動 (ML ベース)」というラベルの付いたアラート (黄色) が、他の SOC アナリストによって類似のネットワーク上の同様のケースがエスカレーションされたため、優先度が高いと判断されたことが示されています。 また、図 2 の右側では、SOC アナリストの「集合的知識」を、選択したアラートの詳細と比較検討できることを示しています。 この例では、今回のアラートと同様のアラートが「ランサムウェアインシデントに発展した」と SOC アナリストが指摘していることが確認できます。たとえ別の SOC に勤務するアナリストの見解であっても、所属組織が脅威関連情報の共有を許可していれば、このように活用することができます。 私たちが思い描く、集合的知識を活用した AI は、数万人のアナリストの知識と経験をリアルタイムに組み合わせて意思決定を行うため、このような場面では欠かせない存在となるでしょう。
図 2: AI を活用したアラートトリアージシステムの概念イメージ (モックアップ)
AI を活用したセキュリティデータの強化
AI を活用した SOC の機能はアラートを選定するだけに留まりません。データアナリストが後でアラートを追跡するために必要なデータを予測し、プロアクティブに取得します。 この機能により、リバースエンジニアリングやデータ解析などの「簡単で手軽な」タスクも自動化されるでしょう。
図 3: ソフォスの AI チームが開発した AI マルウェア解析システム
図 3 で示された、機械学習を活用したマルウェア解析モデルは、AI による「簡単で手軽な」リバースエンジニアリングの自動化の一例です。 ソフォスのチームが開発したこの技術は、低レベルのバイナリの特徴に基づいてマルウェアの機能を自動的に記述し、アナリストの意思決定を補助します。 このモデルは、数百万のマルウェアのサンプルと、アンチウイルスベンダーのエコシステム全体から提供されたマルウェアの解析結果を組み合わせ、学習させています。 将来的には、同種のシステムは、実際の解析者であるリバースエンジニアから提供される、マルウェアの解析結果を学習するようになるでしょう。
下の表では、セキュリティデータの強化の例をさらにいくつか挙げています。これらはすべて、SOC のリバースエンジニアリングと脅威インテリジェンスを劇的に発展させ、アラート追跡のワークフローにとっての強力な助けになるでしょう。
| AI を利用したデータ強化アプリケーション | アプリケーション用のユースケース |
|---|---|
| AI を利用したセキュリティアーティファクトの強化 | 小規模な SOC の非専門的なアナリストに対し、難解で不審な、悪意のあるスクリプトの意図を説明する |
| AI を利用したアーティファクトと攻撃者のマッピングの強化 | アナリストにインシデントの発生元と目的を (攻撃グループと結びつけて) 提供し、対応戦略をより適切に選択できるようにする |
| AI を利用したアラート選定 | 類似アラートに関する「集合的知識」に基づき、アナリストが重要なアラートを追跡できるようにする |
| AI を利用したワークフローの事前取得 | 類似の検出やアラートについて過去に確認されたワークフローに基づいてサポートデータと有用なコンテキストを取得し、アナリストにプロアクティブに提供することで時間を節約する |
| 機械学習によるインシデント修正の成熟段階 | 機能の説明 |
|---|---|
| 修正指針の提案 | 「アナリストの集合」がインシデントに対応し、その対応について報告書を作成すると、同様のインシデントを扱う他のアナリストに対して AI がその報告書を推薦する。インシデント対応知識をリアルタイムに蓄積させた、セキュリティ版 Wikipedia を作るのに役立つ |
| 修正指針の作成と推奨 | クラウドアナリストが実際にインシデントに対応すると、XDR ソフトウェアがその対応を記録して、関連するコンテキストでの新しい事例で同様の対応の実施を推奨する。集合的知識に基づいたインシデント対応知識ベースのスループットが向上。同様のプロセスが、しばしば不十分であったり、過度に時間を要するドキュメントの作成を改善するために使用可能 |
| 自動生成された修正案をボタン 1 つで実行 | 「アナリストの集合」がインシデントに対応するごとに、XDR が操作テンプレートを学習し、関連するコンテキストにおける新事例で自動的に適用することを提案する |
AI を活用したセキュリティワークフローの自動化
図 4: IT 業界全体で高まる API の重要性 (出典: https://blogs.informatica.com/2020/02/28/how-to-win-with-apis-part-3/)
これまで手動で行う必要があったさまざまな操作がスマートホームシステムによって自動化されたように、AI を活用した SOC はユーザーの意図を推測するだけでなく、手間を要していた操作を自動化します。スマートホームエコシステムは、瞬間的な操作 (「階下の照明をつける」など)、定期的な操作 (「毎晩 6 時に照明をつける」など)、複雑で条件付きの操作 (「毎日、自宅から 400m まで近づいたらガレージのドアを開ける」) などを自動化します。 その裏では、スマートホームエコシステムが、曖昧な自然信号 (自然言語による音声入力) を、複数のベンダーの製品に対応する画一的な API リクエストに変換しています。
同様に、AI を活用した SOC ソフトウェアを用いることで、複数のベンダーにまたがる多様な IT インフラを自然言語でスムーズに制御できるようになります (たとえば、「来週月曜日の午前 8 時から、AWS インフラで『ssh』アクセスをオフィス内の IP アドレスのみに制限するファイアウォールルールを設定する」といったコマンドに対応するようになります)。 また、前述したように、AI を活用した SOC ソフトウェアは、アナリストに行動指針を提案し、アナリストの確認を経た上で実行できるようになります (たとえば、SOC ソフトウェアが脅威インテリジェンスのデータに基づき、HTTP サーバーが所定の範囲の IP アドレスからの受信接続をフィルタリングするように設定することを推奨した後、アナリストからの確認を得て自動的に同指針を実行します)。
これらの自動化機能は、企業の IT 部門と IT セキュリティ全体が、管理 API を迅速かつ加速的に実装することで実現されます。API の発展の様子を表現したものが図 4 です。この図は、過去数年の間に IT 業界全体で API の使用が増加していることを示しています。 このグラフは、今後 5 年間で IT 部門と IT セキュリティにおける API の使用が当然のものとなり、IT セキュリティの文脈におけるデータ収集、セキュリティポスチャの更新、および修正措置に関して、プログラムによる自動化で実現できないことはほぼ無くなるだろうということを示唆しています。
AI を活用した SOC の実現に向けたソフォスのロードマップ
表 3 は、AI を活用した SOC の実現に向けた、2021 年から 2025 年までのソフォスのロードマップです。今年は表の 2 年目に当たります。 表の最上段には、ソフォスがこれから提供する、あるいはすでに提供している主要な機能が示されています。 次の行は、3 つの技術の進展に沿って、機能をサポートするために必要な開発成果を示しています。3 つの技術とはそれぞれ、XDR プラットフォームイノベーション、セキュリティ AI イノベーション、プログラマブルなセキュリティポスチャです。 ロードマップの中で、特に注目すべき点をいくつかご紹介します。| 機能 | 2021 | 2022 | 2023 | 2024 | 2025 |
|---|---|---|---|---|---|
| AI を活用した SOC の機能 | 集合的知識データに基づいた AI によるアラート選定エンジン (実現済み) | 集合的知識に基づいて AI が自動でインシデント対応レポートを作成、AI アラートの強化 | アナリストの行動に基づいて AI が自動で生成したインシデント対応操作の提案 | Saas/IaaS API を利用した、AI が提案した操作を実行する「押しボタン」の実装 | Saas/IaaS API を利用して AI が提案した操作を実行することで SOC の定型業務を自動化 |
| XDR プラットフォームの開発 | AI によるアラート選定のための AI アナリストフィードバックループ (実現済み) | インシデント対応指針選定のための AI アナリストフィードバックループ | 機械学習によるインシデント対応モデルへのアナリストの操作の組み込み | SaaS/IaaS およびセキュリティ製品の API との統合により、「押しボタン式」 AI 選定操作の実行をサポート | サードパーティー API とのさらなる統合により、半自律的セキュリティポスチャおよびインシデント対応操作をサポート |
| セキュリティ AI イノベーション | AI アナリストのアラート選定フィードバックループのための機械学習モデル実装 (実現済み) | インシデント対応指針選定のための機械学習モデル | インシデント対応指針自動生成のための機械学習モデル | インシデント対応指針自動提案のための機械学習モデル | 機械学習によるセキュリティ対応の記録を自動化するための機械学習モデル |
| API による自動応答のイノベーション | ユーザーによるセキュリティポスチャ更新のトラッキング、機械学習による自動操作モデルのサポートのために API をアップデート | 機械学習モデルによる提案をネットワークセキュリティポスチャの API リクエストに自動変換 | セキュリティポスチャ API リクエストを介した半自律的なセキュリティポスチャ操作の実装 |
AI を活用した SOC に関するソフォスの研究および開発の取り組み
AI を活用した SOC は本当に実現されるのでしょうか。それとも、しばらくの間「あと 5 年で実現する」と言われ続けるのでしょうか。 この項目では、ソフォスの機械学習/人工知能チームである Sophos AI が現在行っている研究を紹介することで、ソフォスの計画が実現可能であることを示します。 3 つの領域におけるソフォスの取り組みを説明します。 3 つの領域とは、機械学習によるアラート選定、機械学習によるセキュリティデータの強化、AI-UX バリューサーキットを活用した動作検出です。表 4 は、ソフォスの各研究領域の目的と達成度、および AI を活用した SOC の全体的な計画への貢献度をまとめたものです。| 研究領域 | 目的 | 達成度 | CAI を活用した SOC の全体計画への貢献度 |
|---|---|---|---|
| 機械学習によるアラート選定 | アナリストの集合的フィードバックに基づいて、価値の高いアラートを SOC アナリストに優先的に提供 | 現在、ソフォスのマネージド SOC サービス内で「ベータ版」を使用中 | 複数製品のアラートに関して、AI-UX バリューサーキットを実現 |
| 機械学習によるセキュリティデータの強化 | 集合的知識を活用し、意思決定に必要な情報をアナリストに提供 | 十分実用に耐え得るプロトタイプが複数存在し、一部はすでにソフォス製品に搭載 | SOC アナリストが必要とするデータを予測するための最初の段階を実現 |
| AI-UX バリューサーキットに基づく環境寄生型攻撃の検知 | アナリストと機械学習ベースの検出器の間にフィードバックループを形成し、環境寄生型攻撃検出の精度を繰り返し向上 | 現在、プロトタイプを Sophos AI チームで開発中 | 類似の低レベルイベントをグループ化することによって、アナリストによる報告の選定を可能にする |
機械学習によるアラート選定
Sophos AI は、関連すると考えられるアラートを予測するためのプロトタイプを構築し、繰り返し改良しています。 図 5 にアラートエスカレーション予測の仕組みを示します。 図の左側は、SOC アナリストがアラートをトリアージする際のワークフローを示しています。このワークフローを通じて、どのアラートを誤検出として破棄し、どのアラートをエスカレーションして追跡するかを決定します。 図の右側は、AI がアナリストの意思決定を模倣/予測し、エスカレーションする可能性の高いアラートに優先順位を付け、順番に対処するようにモデルに学習させる実験の結果を示しています。
図 5: Sophos AI のアラート選定エンジンのプロトタイプ
ソフォスの MTR (Managed Threat Response) サービスは、(2021 年には) 約 4,000 ものお客様の環境で運用されており、これらの環境の内部データを用いてプロトタイプを構築しました。 表 5 は、機械学習を使用しない場合 (一定以上の重要度を持つアラートをランダムにアナリストに提示) と、機械学習を使用する場合をシミュレートし、比較した実験の結果です。
機械学習が劇的な役割を果たしていることがわかります。 機械学習を使用した場合、アナリストが調査した最初の 50 件のうち 41 件の攻撃をエスカレーションしたのに対し、機械学習を使用しなかった場合は、アナリストが調査した最初の 50 件のうち、エスカレーションしたのは 4 件だけでした。 結果は一目瞭然です。SOC アナリストの意思決定データのフィードで訓練された機械学習によるアラートの優先順位付けエンジンは、使い古された従来の生成ロジックで生成されたアラートであっても、SOC アナリストの効率を大幅に向上させられることが明らかになりました。
| ランダムソート (現在提供されている機能に近いもの) | 機械学習による危険度スコアでソートした場合のエスカレーションされた事例の割合 |
|---|---|
| 50 件の事例を調査し、4 件のエスカレーションを確認 | 50 件の事例を調査し、41 件のエスカレーションを確認 |
| 184 件の事例を調査し、13 件のエスカレーションを確認 | 184 件の事例を調査し、92 件のエスカレーションを確認 |
| 731 件の事例を調査し、51 件のエスカレーションを確認 | 731 件の事例を調査し、146 件のエスカレーションを確認 |
図 6: 学習データサイズの増加に伴うケースエスカレーション予測精度の向上
GPT-3 スケール言語モデルを使用した、Google ライクな自然言語による質問応答システム
Sophos AI チームは、セキュリティアラートの選定エンジンの構築に加え、自然言語によるセキュリティに関する質問応答システムの構築に向けて、重要なステップを踏み出しました。 ソフォスは、Web 上のテキストデータセットで事前に学習させた大規模な言語モデルを活用することで、最良の結果を得られることを発見しました。 英語、フランス語、中国語などさまざまな自然言語から、ソフォスが開発したドメインに固有のセキュリティ検索言語へと翻訳するという問題を扱うために、このような大規模なモデルを「微調整」できることを発見したのです。 図 7 は、AIQuery と名付けられたソフォス製のプロトタイプが、「iphone を開発した会社が開発した USB デバイスを見せて」といった非構造的で自由形式のクエリを、ソフォスがセキュリティ関連データのデータベースへのクエリのために定義したドメイン固有の言語 (query_usb_devices(vendor=’apple’)) に変換する様子を示しています。 驚くべきことに、AIQuery は、構造化データベースに対するクエリの文脈では、「iphone を開発した会社」と言及された場合には「Apple」と翻訳されるべきであり、「Windows を所有する会社」は「Microsoft」と翻訳されるべきだと学習したのです。
図 7: ソフォスの自然言語クエリインターフェイスの翻訳例
AIQuery のような自然言語インターフェイスにより、複雑なネットワークトポロジについてのセキュリティ関連の質問に、複雑なメニューシステムを操作したり SQL などの言語で複雑なクエリを書いたりしなくても、ユーザーの質問の大部分に以前よりもはるかに容易に答えられるようになることが期待されています。 この機能により、ユーザーは本当に難しく、カスタムクエリコードを書く必要のあるようなセキュリティ修復の問題に集中できます。
AI-UX バリューサーキットに基づいた環境寄生型攻撃の検出
AI を活用した SOC の構築に向けたソフォスの研究投資の第三の柱は、生身の人間と機械のリアルタイムフィードバックループに基づく、「環境寄生型 (ファイルレス)」攻撃の検知です。 この研究では、まず SOC アナリストに新しく疑わしいクラスタを提示し、アナリストは提示されたクラスタに「無害」「不審」のラベルを付けます。 新しい活動が、以前一定数のアナリストによって「無害」と判断されたクラスタと一致する場合、その活動は無視されます。一方、新しい行動が新しいクラスタを形成したり、機械学習モデルで疑わしいと判断された場合は、新たにアナリストに提示し、判断を仰ぎます。 一定数のアナリストがクラスタに「不審」ラベルを付けると、そのクラスタに一致する新しい行動が、他の行動よりも優先的にレビューされるようになります。
図 8: ソフォスの AI-UX バリューサーキットを利用した環境寄生型攻撃検出モデルのアーキテクチャ
図 8 は、プロトタイプのワークフローを示したものです。 現状、このプロトタイプを完全に説明することはできません。しかし、1 億 3,200 万件のユニークな行動観察を、334 件の優先度の高いエスカレーションに削減したことは注目に値します。 クラスタリングと危険度スコアリング、異常検知を組み合わせ、さらにアナリストからフィードバックを取り入れて検出精度を向上させることで、アナリストの作業負荷を劇的に軽減し、膨大なデータの中から本当に重要な事象のみに焦点を当てられるようになります。
結論
本記事では、ユーザーインターフェイスの進化が AI モデルとユーザーの意図のシームレスかつ高度な統合を指し示していること、最も高度な技術分野ではすでに統合が実現されていること、および今後 5 年間の間に SOC ソフトウェア製品ベンダーはセキュリティ分野でも統合を実現するか、ますます時代に取り残されるかのどちらかになるだろうということを論じています。 実質的には、Google、Amazon、Netflix に期待されるのと同等の実用性を持つ「セキュリティオペレーション選定エンジン」を実現することになります。本記事では、以下の論点をご紹介しました。- XDR プラットフォームは、広範なセキュリティデータをお客様ごとにクラウドデータとして保存することで、必要な AI モデルを学習させるために必要なデータを提供するようになってきています。 進化した XDR プラットフォームは、セキュリティオペレーションを自動化するだけでなく、これらの AI モデルを訓練し、継続的に発達させることができる環境そのものとして機能することになります。
- アルゴリズムの進化、特殊な用途を持つ AI ハードウェア、急速に改良が進む AI オープンソースツールなど、AI 業界の目まぐるしい発達は、有用なセキュリティ AI モデルの開発に役立つでしょう 。 現状の、数値に基づかない、いい加減な AI の提案と、将来の優秀な AI による支援の差は、1995 年の Altavista と 2022 年の Google による検索結果の違いと同じくらい明確になるでしょう。
- IaaS、SaaS、セキュリティ製品の設定において「API ですべてをつなぐ」を推進しようとする試みは、将来的に自律型エージェントが組織のセキュリティポスチャを更新する機能を持ち、AI がネットワーク環境を管理し、人間が監督する体制を促進することを意味しています。 「Everything as Code」の動きに対応できないセキュリティ運用プラットフォームは、長くは保たないでしょう。
- ソフォスの研究は、AI を活用した SOC の見通しが、5 年という期間で実現可能であることをいち早く示しています。 本記事の内容は、ソフォスの見通しが簡単に実現できること、目標の達成にはリスクが存在しないこと、あるいは目標を達成すればセキュリティの問題がすべて「解決する」ことを示唆するものではありません。 しかし、ネットワークを保護する者、セキュリティ製品、プラットフォーム、サービスの開発者として、継続的な改善を行うことがソフォスの道徳的使命だと信じています。本記事で詳述したのはそのための道筋です。
