AI(人工知能)を活用した異常検知システム「Starlight」を提供する米Aella Data。同システムは、ネットワーク全体にわたり異常な振る舞いや侵害を検知する。

同社のVice Presidentを務めるPaul Jespersen氏は、「AIを活用していると言われている競合製品は数学者が開発したもので、数式で異常を検知しており、ネットワーク技術者の見地が生かされていない」と指摘する。同社の製品は競合製品とどう違うのだろうか?

  • 米AellaData Corporate & Business Development Vice President Paul Jespersen氏

アプリケーションまで監視できる「Aella Flow」を開発

「Starlight」はさまざまな特徴を備えているが、Jespersen氏は最初に「AellaFlow」を挙げた。Aella Flowとは、同社が開発したデータを収集するための技術だ。

ネットワークの異常を検知するシステムでは、ネットワークトラフィックのデータを収集する技術として「NetFlow」が使われるが、同氏は「NetFlowでは、ネットワークの基本的な情報しか収集できない。ネットワークの異常を検知するには、もっと情報が必要」と指摘する。OSI参照モデルに当てはめると、NetFlowでは第1層(物理層)から第4層(トランスポート層)までのデータしか収集できない。

そこでAellaDataは、OSI参照モデルの第7層(アプリケーション層)までデータを収集できる「Aella Flow」を開発した。Aella Flowは、プロセス、コマンド、ユーザーアプリケーションの可視性を関連付けるフローレコードを提供することが可能だ。

「Starlight」では、Aella Flowによって、ネットワークやサーバ、アプリケーション、ファイアウォールやIDSといったセキュリティデバイスからのイベント、脅威フィードなど多種多様なデータソースからデータを収集する。

データの精度が高いから誤検知率も低い

「Starlight」によって収集されたデータは、クレンジングやインデックス化、イベントの検知を行った後、AIによる処理が行われる。具体的には、AIによって「異常の特定」「対応が不要なイベントの除外」「特定した異常の重大度(スコア)を決定」を行う。

  • 「AellaData Starlight」の分析の流れ

イベントの重大度は、攻撃の手順(Cyber Kill Chain)の各段階(偵察、配送、攻撃、インストール、遠隔操作、目的実行)において決定され、重大度の高いアラートのみ通知が行われる。

  • 「Cyber Kill Chain」の各段階において重大度に応じたアラートを出す

Jespersen氏は、「Starlight」のもう1つの強みとして「データの正確さ」を挙げる。「コンピュータサイエンスの世界では、GIGO(Garbage In, Garbage Out)という言葉がある。これは、ゴミを入れたらゴミが出てくるという意味で、整備されていないデータをいくら分析しても、正確な検知はできない」と同氏。

Jespersen氏は同社のデータの精度の高さを示す証拠として、「Starlight」の誤検知率の低さを例に出した。一般的に異常検知システムの誤検知率は、5%~10%に抑えることができれば合格だという。これに対し、「Starlight」の誤検知率は5%を下回る。誤検知が少ないため、セキュリティの運用担当者は重要なアラートにのみ対処することが可能になる。

さらに、これまで200日かかっていたデータの分析もStarlightでは10分で分析することができるとして、Jespersen氏は分析にかかるスピードもStarlightのアドバンテージとして挙げる。

単独の解析および他のセキュリティ製品との連動が可能な機械学習

最近、Aella Dataに限らず、AIを活用して脅威を検出するセキュリティベンダーは増えている。そうした競合の製品と「Starlight」は何が違うのだろうか。

Jespersen氏は、Aella Dataと同様に機械学習で脅威を検知する製品を提供するダークトレースを例に挙げ、「他社の製品は数学者が開発したものであり、異常を数学式から検知している。ネットワーク技術者がこれまでの技術をベースにAIを活用するという形になっていない。つまり、IDSなど既にネットワークの異常を検知するシステムが存在するのに、それらを活用することができず効率がよくない」と指摘する。

そこで、Aella Dataは「Supervised Machine Learning」(教師あり機械学習)と「Unsupervised Machine Learning」(教師なし機械学習)の双方を利用している。

Supervised Machine Learningは他のセキュリティ製品と連動して分析を行い、Unsupervised Machine Learningは単独で分析を行う。両方の分析結果をもとに、異常を検知するというわけだ。「他社はUnsupervised Machine Learningしか利用していないので、そのエンジンが解析したデータでしか判断できない」とJespersen氏。

加えて、「Starlight」は物理環境や仮想環境、コンテナ環境、オンプレミス、パブリッククラウド、ハイブリッド環境など、あらゆる環境のデータを分析する。これにより、データのオンプレミスからクラウドや仮想環境への移行によって生じている、監視の盲点を防ぐことが可能だ。

米国の次に注力するアジア市場

Aella Dataは今年6月、デジタルハーツと協業して、日本で「Starlight」の販売を開始することを発表している。

経営層がこれまでのキャリアから、マネジメント・サービス・プロバイダー(MSP)市場が活況であるアジアパシフィックは、同社の戦略に合致すると判断し、日本でもビジネスを展開することを決めたという。「StarlightはMSPの顧客をサポートするだけでなく、MSPを補完するツールにもなる」と、Jespersen氏は語る。

提携先を決めるにあたり、Aella Dataとしては、数百の製品の販売を手掛けるベンダーではなく、同社の製品に注力してくれるベンダーを探していたそうだ。そこで、出会ったのが、セキュリティ事業への参入を開始したデジタルハーツというわけだ。

デジタルハーツ BS事業本部 セキュリティ事業推進室 室長 岡田卓也氏は、「十分な戦略をもって、われわれからAella Dataにアプローチした。セキュリティ事業に参入したばかりのわれわれだからこそ、Aella Dataの製品に集中できるし、MSPと競合関係にならずに協力関係を築くことができる。お互いの思いが合致し、提携に至った」と話す。

日本ではセキュリティ人材の不足が深刻であり、課題の1つに、異常検知システムを入れても、そのログが膨大すぎて対処が追い付いていないことがあると言われている。Aella Dataの「Starlight」は、人材が不足している日本のセキュリティ市場を救いの手となるかもしれない。