ジョナサン・フィッシュバイン氏は、チェック・ポイント・ソフトウェア・テクノロジーズの最高情報セキュリティ責任者(CISO)である。
AIブームの裏側には、AIが恩恵ではなく脅威になるかもしれないという懸念が高まっている。AIが何らかの形で世界を乗っ取るという考えは空想的だが、多くの分野の労働者たちは、AIが自分たちの仕事にどのような影響を与えるかについて理解できる懸念を抱いている。ITセキュリティ分野でもAIに対する懸念があるのは当然のことで、セキュリティ運用プロセスにおけるAIの初期テストでは、誤った結論や対応策が提案されることもあった。
実際はもっと楽観的だ。AIは信じられないほど強力である。ただし、それがあくまでツールであり、世界中の企業や組織が日々直面している危険な多角的セキュリティ攻撃に対抗するには、人間の専門知識が依然として中心的役割を担っていることを忘れてはならない。ここでは、AIがセキュリティ運用の専門家の能力をどのように強化し、より賢く効率的に働くのに役立つかを見ていく。
セキュリティオペレーションセンター(SOC)におけるバーンアウト対策
セキュリティオペレーションセンター(SOC)では、すべての業務をこなすには1日の時間が足りないほどだ—しかもそれは、即座に対処しなければならない緊急警報が発生する前の話である。高度なセキュリティシステムを多数導入することの皮肉の一つは、それらが多くの誤検知を含む、より多くのデータとアラートを生成し、それらすべてに何らかのレベルで対応する必要があることだ。
アナリストはまた、最新の既知の攻撃や手法を常に認識し、自組織の防御が十分に最新の状態かどうかを確認する必要がある。攻撃行為は世界中のどこからでも、いつでも仕掛けられる可能性がある。最も被害の大きい攻撃は、休日や夜間、週末に開始されることが多い。これらの脅威に対抗するには、SOCチームが24時間体制で継続的に運用する必要があり、これは「フォロー・ザ・サン」カバレッジと呼ばれる24時間365日の人員配置を実現するために、チームの一部を複数の地域に分散させることで達成できる。
しかし、多くのSOCは人員不足であり、あまりにも頻繁にストレスがバーンアウトや高度なスキルを持つ専門家の高い離職率につながっている。この人材不足と流動性は、SOCにさらなる大きなストレスを生み出している。「アラート疲れ」が主な原因だが、それがアナリストが直面している最大の問題の一つとなっている全体的な疲労に寄与している。
ここでAIが重要な役割を果たす。AIを使用して、新たに検出された脅威を自動的に統合・分析し、ネットワークがそれらから保護されていることを確認するために必要なチェックを行うことができる。AIはまた、無数のセキュリティソリューションによって生成された誤検知アラートを、アナリストが手動でチェックする必要なく、迅速に除外することができる。さらにAIは検出を超えて、攻撃を封じ込め、さらなる拡散を防ぐ措置を講じることで予防にも貢献できる。
このような時間のかかるタスクを自動化することで、AIはSOCスタッフに必要な余裕を与えるだけでなく、より緊急で複雑な問題に彼らのスキルを集中させることも可能にする。
24時間365日のセキュリティアシスタント
組織が標的型の多角的攻撃を受けた場合、AIはさらに大きな役割を果たす。このシナリオでは、SOCは企業システムに与えられるダメージを最小限に抑えるために時間との戦いを強いられる一方で、異なる部門間での調査を調整しなければならない。その中には、突然の業務中断に不満を抱く部門もあるかもしれない。これは進行中の犯罪現場であり、攻撃が長引き、より多くのシステムが影響を受けるほど、業務、評判、収益への悪影響は大きくなる。
しかし、物理的な犯罪現場と同様に、攻撃がいつ始まったのか、どのようにネットワークに侵入したのか、どこまで広がったのかなどを確立するために、すべての証拠を慎重に記録しなければならない。攻撃を追跡するだけでなく、点と点を結びつけ、将来の法的目的のために膨大な量の状況データを集める必要がある。これには、複数のエンドポイント、サーバーポート、インシデントログの手動チェックが必要となり、チームメンバーが攻撃を止めることから注意をそらしてしまう。
AIを使用してこのデータを自動的に収集・集約し、感染がどこまで広がったかを迅速に発見することができる。AIは混乱を最小限に抑え、人間の専門家が目の前の脅威に集中できるようにするだけでなく、SOCアナリストの作業を加速し、攻撃を早期に阻止することができる。そして、より広い視点から見れば、攻撃の種類と発生源をグローバルなセキュリティコミュニティとより迅速に共有し、他の組織に同様の攻撃に対する警告を発することができる。
SOCにおいて大きな違いをもたらす可能性のある、もう一つの重要なAIの進歩は、インターフェースの自然言語機能である。ちょうどチャットボットのように、アナリストはAIにタスクの実行やフィードバックの提供を依頼することができる—「新しいマイクロソフトの脆弱性に対するパッチはありますか?」—まるで同僚に話しかけるように。ただし、このAI「同僚」は他の作業で忙しかったり、勤務外だったりすることはない。
人間の創意工夫をサポート
SOCにおけるAIは、人間チームの役割に対する脅威や代替物としてではなく、チームの追加メンバーとして見るべきだ。AIは時間のかかる反復的なタスクからアナリストを解放することで、彼ら自身のスキルと洞察力を最大限に活用できるようにする。多くのSOCに存在する人材危機を考えると、セキュリティ専門家の労働環境を改善し、仕事の満足度を高めるものは何でも歓迎されるべきだ。AIが提供できるサポートとバックアップは、SOCをより効率的にし、脅威や攻撃への対応をより迅速にする上で非常に価値がある。
