サイバーセキュリティの未来 :セルフディフェンスに向けたレジリエントシステム

サイバー攻撃が今後も飛躍的に巧妙化することが予想される一方、攻撃に対する防御の方法論・考え方は未成熟なままです。多くの組織が採用しているセキュリティ対策は、悪意をもったハッカー、ウイルス、プログラムから自身を守るための強固な「防御の壁」を作ることに重点を置いていますが、攻撃者がこの防御の壁を乗り越える手段を見付ければそこで終わり、というのが現状です。

よって今後は、抵抗力を持ちセルフディフェンスができる防御対象(例:自社のシステム、ネットワーク、環境、データ)を形成する方向に対策をシフトしていく必要があります。

生物学を参考に

ウイルスとそのターゲット(生物学用語で「宿主」)の戦いは、何百万年もの長い間今日まで続いてきました。その進化の過程で、人間は外部のウイルスとバクテリアから自らを守り、同時に内部の脅威を監視して攻撃する洗練された防御システムを構築することに成功しました。

私たちの肌は防御システムにおける最初の防御層であり、セキュリティ対策におけるファイアウォールのようなバリアとしての役割を担っています。肌は外部からの脅威を撃退し、攻撃された後にそれに適応し、多くの場合自然治癒することができます。この能力は免疫システムによって補完され、免疫システムは防御システムにおける第二層として機能しています。

免疫システムは、自己監視や機械学習のような仕組みを持っています。身体の内部環境を監視し、自らの正常な細胞行動はどのような状態なのかを定義して、学習し、何か異常が起こるとリアルタイムに反応するのです。

サイバーセキュリティの将来は「セルフディフェンスシステム」にある

人間の身体はウイルスなどとの戦いに全て打ち勝つことはできませんが、自己監視力、自己学習力、そして自己回復力を持っています。これらの要素から、将来的なサイバーセキュリティ対策がどのようにあるべきなのかの洞察を得ることができます。

self-defense-systems

 

セルフディフェンスシステムは、システム・アプリケーション・データフローの正常な動きに基づいて、「適応型機械学習」を用いることで異質な要素や活動、悪意のあるプログラム、悪質なコードを特定することができます。また、異質な要素や悪質なプログラムを機能できない状態にすることで、システムを正常な状態まで自律的に回復可能とします。

セルフディフェンスシステムのフレームワーク

セルフディフェンスシステムの基本的な要素は以下の4つとなります。これらは、システム動作を監視し、異常な可能性がある状態を診断し、悪意のあるコンポーネントを削除することでシステムを復元し、また、新たな正常および異常なパターンを学習する、という一連の流れをシステムに組み込み、更に洗練させ自動化したものとなります。

これらの能力は、人工知能や機械学習、予測分析の技術により上記の要素を強化することで可能となります。

machine learning

 

1.行動監視: ベースラインに対して継続的な監視をし、新たな脅威を特定するための「内部から外部」、「外部から内部」インテリジェンスを備える意思決定エンジンを強化

2.障害診断: 異常な属性の特定と相互関係の分析

3.復元: 悪質な機能、未知のプログラム、悪質な実行ファイルを実行不可能としシステムの異常を復元

4.適応と免疫: 意思決定エンジンに新たな正常・異常パターンを組み入れ予防

 

4つの基本要素を拡張させる技術

時系列の行動マッピングと分析を使って、セルフディフェンスシステムは外部からの「異常なイベント」に対してどんなアクションを取るべきかをリアルタイムに指示する必要があります。一般的には「適応機械学習」と定義されますが、サイバーセキュリティの領域においては以下の項目が含まれます:

  • 正常および異常な状態を定義する(システム状態の記憶)
  • 現在のシステム状態を監視する(システム状態分析)
  • 相手が「誰」なのか、またインシデントの原因を特定する(容疑者分析)
  • 問題が「何」で、「どうやって」、「なぜ」起きたのかを理解する(コンテンツ&コンテキスト分析)
  • 特定業界のコンテキストで脅威を理解するためのビジネス・インテリジェンスの適用(業界特有の脅威との関連付け)
  • 潜在的なシステムギャップの特定と分析(IT資産脆弱性ライフサイクル)

更に、人工知能を活用して以下のような措置をとることで、自律的なシステム復旧と新たなパターンへの適応が可能となります:

  • 外部からの全てのファイル、関数、プログラム、実行可能ファイルの異常な動きを監視し、中和させる(異質な要素の中和)
  • 異質な要素が異常な動きをするための仮想環境を構築する(リアルタイムサンドボックス)
  • 脅威インテリジェンスを元に、潜在益な攻撃シナリオに対するシステム応答を作成(攻撃の方向性に基づいた応答)
  • 能動的リスク軽減モデルにより、システムに対する全てのサイバー脅威をモニタリングする(脅威に対する免疫モデル)
  • 全てのアプリケーションにリアルタイムのリスクアラートを設定する(システム危機管理)
  • 脆弱性に関するインテリジェンスを相関マッチングし、悪用される可能性のあるセキュリティホールを評価する(脆弱性とエクスプロイトの相関マッチング)
  • 攻撃者の行動分析をもとに脅威の可能性を評価する(脅威予測モデル)

これまでの考えを要約すれば、サイバーセキュリティの次のフロンティアは、新たな脅威を継続的に発見し、対応し、自律的に回復できるセルフディフェンス型のシステムです。このシステムは攻撃のリスクを大幅に低減するだけでなく、攻撃者がハッキングしたいと考えるターゲットに選ばれるリスクをも低減し、企業のセキュリティレベルを劇的に向上させます。

==================

kumar-ritesh

筆者の紹介

Kumar Ritesh

Antuit サイバーセキュリティ シニア・バイス・プレジデント

▶ サイバーアナリティクス