セキュリティにおける機械学習とは？

技術の進歩からさまざまな場面でAIが活躍するケースが増えています。AIがどこまでやれるか、どこまで人間はAIを積極的に活用すべきか？といったテーマで議論されることも少なくありません。これはサイバー攻撃対策をはじめとしたセキュリティにおいても同様です。今回はセキュリティにおける機械学習について解説していきます。

技術の進歩からさまざまな場面でAIが活躍するケースが増えています。AIがどこまでやれるか、どこまで人間はAIを積極的に活用すべきか？といったテーマで議論されることも少なくありません。これはサイバー攻撃対策をはじめとしたセキュリティにおいても同様です。

サイバー攻撃とその対策については長い間イタチごっこめいた状況が続いてきました。サイバー攻撃が行われるとそれを防ぐための技術が生み出され、するとその防御をさらにかいくぐる新しいサイバー攻撃が登場する…これが繰り返された結果攻撃の手口も防御システムもどんどん進化し、ひとりの人間の手には負えなくなりつつあるのです。

しかもネットワーク社会が大規模化したことでサイバー攻撃の手口にも多様化・巧妙化が進んでいます。SQLインジェクションやマルウェアのように知らない間に被害に遭ってしまうケースも多く、気づかないうちに情報の漏洩などの被害が拡大してしまうことも少なくありません。

もはや狙われるのは大企業や官公庁のサイト・データベースだけでなく中小企業のサイトや個人経営の店舗など規模を問わなくなっています。情報化社会、IT化社会が進展していくことで一人の人間、ひとつの企業が扱うデータが膨大なものになっているため、個人経営のショッピングサイトを攻撃するだけでも多くの個人情報、しかもクレジットカード番号など重要な情報を入手できるようになっているのです。

そうなるとセキュリティ対策をしっかり行う必要があるわけですが、あまり厳しくしてしまうと今度はネットの利用が不便になってしまう面もあります。SQLインジェクション攻撃をブロックするためにセキュリティを強化した結果、正常な動作さえも遮断してしまうといった問題が起こりかねません。また会員制サイトでログインの際や本人確認のステップを複雑にしすぎてしまうと敬遠されてしまう問題なども出てくるでしょう。

こうした問題を防ぐ対策としても機械学習が注目されているのです。手動ではなかなかカバーできないサイバー攻撃をいち早く察知するだけでなく、正常な動作と不正な攻撃を見極めたうえで後者だけを遮断するといった対策も行うことができます。こうした作業は人間での監視ではとても時間とコストがかかってしまい、まず不可能ですが、機械学習なら何の問題もなくできるのです。

そして何よりも「学習できる」のが大きなポイントです。いわば勝手にサイバー攻撃の手口を学んでくれることで勝手に対策を行ってくれるわけです。もちろん機械が意志を持って学習するわけではなく、膨大なデータの蓄積を土台に不正なデータの見極めが正確になる、ウイルスを検知する精度がアップするという形でクオリティがアップしていくのです。

例えばウイルスに関する膨大なデータの蓄積があれば未知のウイルスの攻撃にさらされた時にいち早く検知することができます。またSQLインジェクション攻撃を受けたときに不正な入力と正常な入力の見極めを正確に行うことでブロックすることもできるわけです。

このようにデータを蓄積させていくことでどんどん精度を高めていくことができるのが最大のメリットです。しかもネットワーク時代に相応しくデータを共有したうえで蓄積させていくことができるのも大きな魅力でしょう。つまり自分たちのパソコンやシステムで経験したサイバー攻撃に関するデータだけでなく、無数のパソコン・システムで経験したデータを集積し、分析することでより精度と安全性の高いセキュリティ環境を構築していくことができるのです。

とくにこの分野でメリットが期待できるものに攻撃者の異常な動作を判断できる点が挙げられます。実際に攻撃が加えられたときだけでなく、不審な挙動を行ったときにも検知できるのです。例えばマルウェアを感染させる場合にはそれをエンドポイントで実行させる必要がありますが、その際には必ず正規のアプリケーションの動作とは違った不審な特徴が見られるため、データを蓄積させてそのパターンを学習することによっていち早く危険を防ぐことができるのです。

一方で機械学習を利用するからといって完璧な防御環境が築けるとは限りません。先ほど挙げたサイバー攻撃とセキュリティにおける人間同士の競争がAIの分野に持ち越されている面もあるのです。つまり防御する側がAIを活用するなら、攻撃をする側もAIを利用しようというわけです。

簡単に言えば、防御する側がデータを蓄積させて機会に学習させる一方で攻撃する側も同じことをすることで防御を突破できる環境を用意することも可能になるのです。AIそのものに善悪はなく、あくまで利用する状況によってよい影響を及ぼすこともあれば被害をもたらしてしまうこともあるわけです。

実際にある実験ではセキュリティソフトの防御を突破するためのマルウェアを機械学習で自動生成するデモンストレーションが行われましたが、そこでは生成されたマルウェアのじつに16パーセントが防御を突破したという結果が得られました。これは15時間の実験のうちに10万回ほどの反復学習を行った末の結果です。

人間が行うなら10万回という回数は大きな数字ですが、コンピューターにひたすら反復させるだけならそれほど大きなものではありません。攻撃する側が大規模な機械学習の環境を用意し、時間をかけて反復を行えば最新のセキュリティを突破できるようなマルウェアを自動的な生成させることができてしまうことになります。

これはもはや新しいウイルスを作るための専門的な知識も試行錯誤も必要なく、ひたすらデータの蓄積と分析によって新しい脅威が生み出される環境が現代のネットワーク社会には存在していることを意味します。

AIの進歩がネットワークセキュリティの分野において今後どのような影響を及ぼすことになるのか、まだ不透明な面が多く正確に予測できる人は少ないと言われています。2010年代後半にセキュリティシステムの精度が大幅に上昇し、一時期はサイバー攻撃に対して明らかに優位な立場に立つことができたともいわれました。AIの進歩はそれをさらに後押しし、ネットワーク社会の秩序に貢献する役割が期待された面もあります。

この期待は現在でも変わっていませんが、一方で先述したようなサイバー攻撃を行う側もAIのメリットを活用することで攻撃の巧妙化を進めていく可能性が指摘されるようになっています。

このように機械学習はセキュリティの分野においてこれまでとはまったく異なる環境を生み出したといっても過言ではありません。攻撃する側も防御する側も人間の技術や知識によって新しい手口や方法が生み出されながら競争が繰り広げられていた状況だったのが、これからは機械自らが膨大なデータを土台にして続々と新しい手口を生成し、精度を高めていく時代に入りつつあるのかもしれません。

そうなると結局「つねに最新のセキュリティ環境を導入してサイバー攻撃に備える」という心構えは変わらないことになります。ただ利便性が向上するのは間違いなく、大企業などコストをかけられる環境でない中小企業や個人経営の店舗がAIを活用し少ない負担で最新のサイバー攻撃に備えられる環境を用意できるようになっていくでしょう。この点ではよい傾向にあると言えます。維持・管理の負荷も少なく済む点も広く普及ができる点でメリットです。そして広く普及すればするほどデータが蓄積していく制度が向上していく。この好循環をこれからどう築いていくかもネットワーク社会全体のポイントになるのかもしれません。

https://www.shadan-kun.com/

サイバーセキュリティクラウドが提供する「攻撃遮断くん」はWebサイト・Webサーバへのサイバー攻撃を可視化し、遮断するセキュリティサービスです。
ブルートフォースアタック、クロスサイトスクリプティング、Webスキャンと言ったサイバー攻撃をリアルタイムで検知・遮断しています。
ユーザーごとに提供される管理画面で、契約したWebサーバへの攻撃の情報を確認することができます。