昨今、AI(人工知能)が注目を集めていることは言うまでもないが、それはセキュリティ分野にも及んでいる。AIを活用して、脅威を予測したり、防御したりすることを掲げているセキュリティ・ベンダーが増えている。
このほど、ガートナー ジャパンが開催した「ガートナー セキュリティ&リスク・マネジメント サミット 2017」において、米Gartner リサーチ リサーチ ディレクターのマーク・ホーヴァス氏が「人工知能とセキュリティ・ベンダー:流行のマーケティングで終わるか、真の希望なのか」というテーマで講演を行った。
同氏の講演から、AIはバズワードで終わってしまうのか、それとも、終わりなきセキュリティ戦争の救世主となるのか考えてみたい。
AIをセキュリティ分野に導入するかどうかの論点は3つ
まず、ホーヴァス氏はセキュリティ分野におけるAIの立ち位置について、「マルウェアが洗練されてきたため、現在のテクノロジーでは検知が難しくなってきている。AIを活用して、マルウェアを作る攻撃者さえ出てきた。そこで、AI活用の検討が始まるが、その際は、ROIを可視化する必要がある」と説明した。
こうした背景を前提に、AIをセキュリティ分野に導入するかどうかの論点として、以下の3つが紹介された。
人工知能というマーケティング用語が過度に使用されている中で、 誇大表現と真の価値をどのように見分ければよいか
自社にAIベースの製品が適しているかどうかをどのように見極めれば よいか
AIのメリットを実現するには組織やスタッフをどのように変える必要が あるか
また、2020年までに、AI駆動型の機能を提供すると主張するセキュリティ・ベンダーの割合は 現在の10%から40%に増えるため、セキュリティ/リスク管理のリーダーはAIの使用を批判的に評価する必要があるという。
AIが既存の投資を上回り、定量が可能な改善をもたらすかを判断
最初の論点である「AIの価値の見極め」について、ホーヴァス氏は、AIベンダーの主張を検証して、既存の投資を上回るとともに定量化が可能な改善をもたらすかどうかを判断する必要があると語った。
判断を行う際のポイントは「自動化」「正確性」「不眠不休」「複数のパラメータの相関性」となる。
よくトレーニングされたAIは、セキュリティのエキスパートのチームに比べてケタ違いのスピードで大規模なデータセットを復習でき、人間が実行する同様の処理に比べて相当の改善が期待できるという。
また、ホーヴァス氏は、ベンダーが提供する異常検知とセキュリティ分析に対するAIの有効性を評価する品質指標を定義する必要性についても説明した。具体的には、以下の指標が考えられるという。
- 従来のテクニックで得られる結果と比べ、これらの結果はどの程度優れているか
- システムは継続的に学習するか、または定期的な再トレーニングが必要か
トレーニング・データの出所と範囲は何か、自社で所有しているデータとどの程度似ているか
中立的なサードパーティまたは事例研究からの結果はあるか
- 他の顧客と結果を共有するか
- そのシステムを再トレーニングできる唯一のベンダーか
AIのセキュリティに対する適用例としては、「アプリケーション・セキュリティの テスト」「マルウェアの検知」「脆弱性テストの対象の選択」「SIEM管理 」「ユーザー/エンティティ挙動分析」「ネットワーク・トラフィック分析」が紹介された。