シグネチャ検出の先へ:SecOpsの最新化
AIを活用した行動検知で高度な攻撃者を上回る
従来型のサイバーセキュリティモデルだけでは、現在の組織が直面する膨大で多様かつ高速な脅威には太刀打ちできません。今や攻撃を仕掛けたり検知を回避するための高度なツールやAI機能を簡単に入手できるため、従来の事後対応型モデルに依存するセキュリティチームは、これらを駆使する攻撃者に対し遅れをとり続けることになります。
現代のセキュリティ運用チームは、増加の一途をたどる無差別攻撃を迅速に検出して対応できる新し��いサイバーセキュリティモデルを取り入れるだけでなく、同時に、明確な目的と高度な調査に基づいて攻撃してくる組織的な脅威アクターにも、素早く状況判断して防御できる能力も備えている必要があります。
今では、組織はこれまで実装に膨大なコスト、時間、労力を要していた行動異常分析および検出機能を、既存のSecOpsプロセスとツールに追加できるようになりました。確立された通常のパターンから逸脱するアクティビティを特定することにより、行動分析(およびコンテキスト指向の手法)は、脅威が実害を及ぼす前に気付き、対応し、調査することを支援します。
従来の検出と行動異常検出との違い
行動分析そのものは新しい考え方ではありません。これまでも、単一システムの挙動分析やフィッシングメールの分類などの個別のユースケースを分析するためのポイントソリューションの実装は、サイバーセキュリティの手法として使用され、役立っています。しかし、行動分析を大規模に実装することは、ほとんどの組織にとってコストやリソースの面で現実的ではありませんでした。
AIとML技術が広く使えるようになったことで、このハードルは大きく下がりました。今では、組織はAIやMLを基盤とするツールを使用して、様々なシステムや環境から集めた大量のデータ(アクティビティログ、アプリケーションの使用状況、ネッ��トワークトラフィックなど)を分析および分類できるようになりました。最初に「正常な活動」を定義し、新しいデータを継続的に監視することで、その基準から逸脱した挙動を検知することができます。
従来のサイバーセキュリティ運用チームは、過去に観測された攻撃パターンを基にしたシグネチャベースおよびルールベースのツールに依存してきました。これらのツールを使用することで、リアルタイムのイベントデータや侵害後の調査で収集された過去のログデータから、悪意のある活動の証拠を分析することができます。しかし、現代の攻撃のマルチベクトル化して複雑化しており、高度な攻撃者の手法も洗練され、静的な検出および緩和技術は、ほぼ時代遅れになっています。
行動分析は、従来の手法に代わる重要な代替手段です。セキュリティ情報イベント管理(SIEM)や拡張検出および対応(XDR)など、既存のセキュリティ技術と組み合わせて使うことで、企業のインフラストラクチャおよび企業資産を狙った最新および従来の脅威の両方を効率的かつ迅速に検知し、軽減することを可能にします。
行動分析は、ネットワーク、システム、エージェント、ユーザーの行動から新しい異常なパターンを特定することによって機能します。過去に観察され記録された行動パターンや攻撃の痕跡に依存しません。言い換えれば、行動検知は、攻撃の痕跡ではなく、新たな脅威を検出するように設計されているため、セキュリティチーム�は今までのようなサイバー攻撃の事後対応から、そもそも攻撃を防止し、未然に防ぐことへと軸足を移すことができます。
シグネチャベース vs 行動分析
シグネチャベース/ルールベースのツール
既知の脅威情報(パターン、悪意のあるIP/ドメイン、マルウェアの動作)を検索
本質的に事後対応型(主に侵害後に攻撃を特定)
インサイダー脅威、ゼロデイ攻撃、その他の最新の脅威に弱い
行動分析
典型的な挙動から外れた異常と例外(システム、エージェント、ユーザー、ネットワークの異常なアクティビティ)を検出
事前予防的(攻撃が起こる前、または発生した直後に検出)に設計されている
AIの進歩により、導入が安価、手に入れやすく、拡張も容易になった
他の手法と比べた行動分析の利点
行動分析を中核的なセキュリティ戦略として採用している組織は、従来の手法と比較して、次の3つの利点があります:
1. 従来のシグネチャベースの検出を補強できる。
シグネチャベースおよびパターンベースの可観測性アプローチは、後追い型です。この技術にのみ依存する組織が特定できる攻撃は、過去に発見・分析されてシグネチャおよび侵害インジケーター(IOC)としてまとめられた攻撃のみに限られます。
対照的に、行動分析は先行型です。初期段階で異常なアクティビティを検出し、フィッシング詐欺、疑わしいネットワークアクティビティ、またはシステムやサービスに対する通常とは異なるユーザーインタラクションなどの攻撃の兆候(IOA)を特定します。この早期の異常ベース検出により、サイバーセキュリティチームは攻撃者よりも先に行動し、実害が出る前に侵害の試みを阻止することができます。
2. 総合的で手頃な価格の防御エコシステムを構築できる。
従来のツールは、システム、ユーザー、ネットワークなどの狭い範囲に焦点を当てたもので、文脈的な考慮が不足しています。一方、行動分析は、複数の情報源からのデータをまとめて扱うことで、文脈を考慮した分析を提供します。内部および外部のコンテキスト情報を使用することで、異常な挙動すべてを悪意のあるものとしてフラグ付けされるのを防ぐことができます。システムまたはネットワーク上でモデルが学習されれば、アクティビティが悪意のあるものか良性かを指定された可能性の範囲内で判断することができます。
これまで、この種のコンテキスト情報に基づく分析を行うには、大量の種類の異なるデータセットを保存、処理、分析するためのかなりの計算能力と労働集約的な作業など、導入に高額な費用が必要でしたが、AIを活用したデータエンジニアリングとイベント相関技術の進歩により、豊富なコンテキストを使用した分析は、従来の人間主導型の分析手法よりもはるかに手頃な価格で利用できるようになりました。
3. 現代の脅威や働き方に柔軟に適応できる。
行動分析モデルは継続的に学習し、新たな脅威や新しいワークフローに適応します。例えば、AIエージェントを実装した場合、モデルは徐々にエージェントの自律的な行動を学習し、それを正常なものとして定義します。AIエージェントが侵害されたり、許可された活動パターンから逸脱した場合、モデルがこの異常な挙動を検出し、必要に応じ��てエージェントを停止するか、または人間の介入なしに実行できるアクションを制限します。
行動検出は、働き方の変化にも順応します。例えば、ビジネスをグローバルに拡大し、新しい国に新しい支社を設立することもあるでしょう。最初の調整期間を過ぎれば、モデルは、現地からの特定の時間帯のリモート・ログインは本質的に不正なものではなく、新しい通常のパターンとして学習します。
行動異常分析の活用戦略
多くの組織では、エンドポイント、セキュリティ、IDプラットフォームなどに、何らかの行動分析機能をすでに組み込んでいますが、分散するこれらの機能を十分に使いこなせていなかったり、セキュリティ疲れで見落としが生じることがあります。そのようなお客様は以下のベストプラクティスを実施することで、行動検出を効果的に実装および使用することができます。
1. 対象範囲と統合する領域を明確にする。
既存の機能や環境の価値をより高めることを模索している場合も新しいソリューションを検討している場合も、まず潜在的なユースケースを明確にしましょう。例えば、ラテラルムーブメントやデータ流出の試みを検知するなど、潜在的な内部脅威の特定に注力したいと考えるかもしれません。ユースケースをさらに絞り込んで定�義することも可能です。たとえば、同一ユーザーが短時間内に2つの遠く離れた場所からネットワークにログインしているように見える場合、「Impossible Travel(不可能な移動)」を検出する必要があるかもしれません。または、従業員が社内のセキュリティポリシーに違反するような方法で機密情報を移動または共有する場合に、繰り返されるデータ損失防止(DLP)違反を阻止したい場合もあります。
2. モデルをトレーニングして最適化する。
行動分析は、複数のシステムおよびセキュリティ保護ポイントにわたって、自動化および連携させることができます。この自動化を可能にするAIモデルと統合のトレーニングと最適化を優先的に行いましょう。モデルは初期の訓練で「正常」がどのようなものかを理解し、調整と再トレーニングを継続的に行うことで、進化する脅威の挙動に対する対応力を向上することができます。
また、訓練を早めるために、意図的に疑似攻撃パターンを投入して学習を促進する方法もあります。時間が経つにつれて、モデルは学習した挙動から、異常の中でも悪意のあるものと良性のものとを信頼度スコアを割り当てて判断できるようになります。
3. AIを活用して高度な防御を実現する。
従来、行動分析では、異常を評価し表面化するために、さまざまな機械学習アルゴリズ��ムが用いられてきました。現在は、細かく調整されローカルに拡張された生成AI(GenAI)モデルやエージェント型AIを組み合わせることで、保護された環境内での異常の検出をさらに効率化することができます。このような高度な機能により、行動分析ソリューションは、人手による調査の負荷を軽減し、広範な知識ベースと照合して異常を相互参照し、アップストリーム制御の変更適用、ホストの隔離、ユーザーアカウントの停止を含む、次の段階の防御を自動化します。
4. 他ツールとの相互運用性を重視する。
行動分析ソリューションは、既存のツールと連携可能なものを選択することが重要です。連携できないものを選択した場合、既存のソリューションを破棄して置き換えるために、時間と費用を無駄にしてしまう可能性が高くなります。行動分析は、既存の検知・レスポンス機能(特にSIEM)と連携できることが重要です。従来のSIEMツールは、イベントをリアルタイムで分析し、複数のソースからのイベントデータを相関付けることで、事前定義された攻撃パターンを特定し表面化します。一方、最新のSIEMシステムは、行動分析の側面を取り入れ、ユーザーとデバイスの挙動を経時的に評価し、IOAの内部参照モデルを継続的に洗練させます。
5. 誤検知を予期する。
す�べての異常が、悪意のあるものとは限りません。多くのAI駆動型のアプローチと同様に、誤検出と検出漏れのリスクは存在します。挙動を誤って分類されてしまうことを最小限に抑えるには、協業の輪を回しながら、何らかの形で人による介入が必要になる場合があります。分類の精度を高めるには、特にノイズを低減するようモデルを調整することが重要です。保護対象の環境や、自社の運用モデルに合わせて、インテリジェントな相関およびエンリッチメントソースを実装して、悪意のある、または通常とは異なる挙動の発見に、さらにコンテキストを追加することも可能です。
また、モデルが安定して環境に馴染むには時間が必要であること、微妙な判断が必要なケースでは人間の監視が必要となることに留意してください。成功には技術だけでなく、検知結果を理解して適切に対応できる熟練したチームと、明確に定義された運用プロセスも重要です。
6. 成功の指標を定義する。
主要パフォーマンス指標(KPI)を設定し、行動分析への投資価値を経時的に測定します。たとえば、初期侵入を検知するまでの時間、最適な防御行動を予測する精度、攻撃者の滞留時間をどれだけ短縮したか、防いだ攻撃が仮に成功した場合の潜在的な影響を評価することができます。
正しい異常検知戦略を使用していますか?
急速に進化するセキュ��リティの脅威や、巧妙化する攻撃者から防御するには、従来のシグネチャベースおよびルールベースの防御だけでは不十分です。行動異常検出をセキュリティ運用戦略に組み込むことで、潜在的な脅威が実害を与える前に特定する、総合的なサイバー防御のためのより積極的なアプローチを確立できます。
Cloudflareは、様々なMLとAI技術を活用し、グローバルなコネクティビティクラウドを運用することで、最先端のサービスを企業に提供しています。ユーザーとエンティティの行動分析(UEBA)は、統合リスクポスチャーサービスの一部であり、セキュリティサービスエッジ(SSE)、Webアプリケーション、APIセキュリティソリューションを単一のプラットフォームに統合した一連の機能群です。行動検出とリスクスコアリングの機能をSSEまたはセキュアアクセスサービスエッジ(SASE)プラットフォームに組み込むことで、その利点を活用しながら管理の複雑さを軽減し、運用効率を向上させることができます。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
このトピックを深く掘りさげてみましょう。
最新の脅威に先手を打ち、AI導入におけるセキュリティを保護するための戦略については、電子書籍『AI時代のセキュリティを最新化』をご覧ください。
著者
James Todd — @jamesctodd
CloudflareフィールドCTO
記事の要点
この記事では、以下のことがわかるようになります。
従来の事後対応型サイバーセキュリティツールでは不十分な理由
行動分析は、シグネチャベースの検出をどのように強化するか
行動分析を実装するための6つのベストプラクティス