さらに、実際に発生しているセキュリティインシデントを見ると、脆弱なパスワードや認証の弱さを突いたアイデンティティの乗っ取りや、正規のものに偽装したなりすましメール、正規ツールを使った活動の隠蔽など、一連の攻撃で使われるものは脆弱性に限らない。端末やネットワークをバラバラに監視するのではなく、「点」ではなく「線」で見る統合されたセキュリティ監視がこれまで以上に重要になる。
その上で、AIによって引き上げられた攻撃者の「マシンスピード」に対抗するためには、もはや人間の手動プロセスでは太刀打ちできない。防御側もAIを戦略的に導入する「AIにはAIで対抗する(Fight AI with AI)」アプローチをとり、脅威に対する平均検知時間(MTTD)と平均対応時間(MTTR)を1桁の分単位へと短縮できるAI駆動型のセキュリティ監視へと移行することが、これから求められてくるだろう。
その性能から「脆弱性」が大きくクローズアップされているが、フロンティアAIによって何か全く新しい対策が必要になるということではない。取り組むべき対策は変わらないものの、その必要性や重み、求められるスピード感が一層増すことになるというのが正しい解釈だろう。脆弱性への対応はあくまでその1つにしか過ぎない。
実際、英国の国家サイバーセキュリティセンターや日本の国家サイバー統括室も、脆弱性対応のみならず、基本的なサイバーセキュリティ能力・レジリエンスの検証・改善を行うべきだと指摘している。
そのため、対策のポイントは従来と変わらないものの、整理すると以下のようなものになる。
・攻撃面の最小化──アプリケーションに存在する脆弱性や設定ミスなどの欠陥、不備を早期に特定して修正する体制と仕組みを構築する
・アイデンティティの保護──ユーザー、マシン、AIエージェントの全てのアイデンティティに対して厳格な認証と権限管理を徹底する
・ソフトウェアサプライチェーンの防御──オープンソースを含め、コードの開発から実行にいたるエコシステム全体を保護する
・全ての通信や挙動の検査──ユーザーやデバイス、ワークロードの種類や属性に関係なく全ての通信、挙動を必ず検査して制御する
・リアルタイムでの検知・対応──ネットワーク内部やシステム、ユーザーアカウントで不審な挙動をAIで迅速に検出して自動的に対応
フロンティアAIによって、対応のスピードや精度を向上させる仕組みや体制の構築が一層重要になるものの、実施するべき対策のポイントに変わりはない。一方で、脆弱性や設定ミスへの対応はもちろん、セキュリティ監視を含めて「運用」が考慮されていないといった課題があるケースが散見される。「運用」部分を人・手作業中心からAI・自動化中心に変えて、実効性のあるセキュリティの実現を目指す必要がある。
連載:「あの」インシデントから紐解く企業セキュリティの本質
過去記事はこちら>>
