ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. ソリューション・サービス
  3. サイバーセキュリティソリューション
  4. NEC Cyber Security Journal
  5. NEC セキュリティ×AIインタビュー
ここから本文です。

NEC セキュリティ×AI インタビュー

AIを活用した脅威分析サーバを開発
SOC運用の最大80%の効率化を目指す

研究所とサイバー攻撃の最前線が共創して生み出した「脅威分析サーバ」

NEC
サイバーセキュリティ戦略本部
主任
木津 由也

こうした課題を解決するために開発されたのが、AI(人工知能)を活用した「脅威分析サーバ」である。NECのサイバーセキュリティ戦略本部内に、SOCの課題に呼応したプロジェクトチームを発足。NEC研究所とSOCの知見を融合しながら、アナリストの分析業務を支援する新たなシステム基盤を具現化する取り組みがスタートした。その中核メンバーとしてシステム開発を主導したのがNECサイバーセキュリティ戦略本部 主任の木津由也だ。

「研究所が最初に設計したプロトタイプには、既にAIを活用するアイデアが盛り込まれていました。しかし有松さんから“開発者自身がSOCの分析現場を知ることで、さらにいいものが作れるはず”という話を受け、私も含めたメンバーが基本的なアナリスト教育を受け、分析業務を肌で感じながらシステム化を行うことにしたのです。これが研究と開発の現場をつなぐ非常にいいシナジーを生み出しました」(木津)

中でも、日々膨大に収集される実データを使った検証は、当初開発したシステムを大きく見直すきっかけになったという。

「分析対象となるデータ量が想像以上だったのです。それが数カ月で数倍にも増えていき、常に変化していくのにも驚きました。そこで増加するログデータに対応した分析性能を確保するため、NECのデータベース“InfoFrame Relational Store(IRS)”を採用しました。これならデータ量が増大してもサービス品質を保証できると判断したからです。またリアルタイム性を考慮する設計を施したほか、最大性能を引き出すため、データベースのチューニングも行いました。さらに既存の運用を変えることなくAI活用ができるように配慮しています」(木津)

拡大する脅威分析サーバのイメージ
AIによる自動判別(誤検知・レベル付)、アラート通知などによりアナリストの工数を大幅に削減することに成功した

システムを長時間使うアナリストの負担や手間を軽減するため、使い勝手にも注力。タブやポップアップ、折りたたみを活用し、画面遷移なしでさまざまな解析を可能にするデザイン、目を疲れさせない色合い、アナリストの待ち時間を短縮する表示形式など、現場から寄せられた要望を最大限に盛り込んだという。

アナリストの判断をAIで支援。平均80%以上の運用効率化を目指す

脅威分析サーバは現在、サイバーセキュリティ・ファクトリーで活用。通信データから抽出した特徴とアナリストの判断結果を基に、AIがアラートを誤検知(解析不要)なのか、攻撃だとすればどのレベル(レベル1-4)なのかを自動的に分類。アナリストの負担を大幅に減らしている。

「偽陰性(見逃し)をほぼゼロに維持した状態で効率化の成果は確実に出てきています。今後もチューニング方法の改善などで偽陰性を限りなくゼロに近づける一方、運用効率化80%以上達成を目指していきたいと考えています」(木津)

AI活用によって、人的負担の大きいアラートイベントの絞り込みが自動化されれば、サービス品質も高いレベルで標準化され、アナリストは未知なる攻撃への対処法や検知精度の向上策を練るといった、本来の業務に注力することができる。

「サイバー攻撃が増加するほど、アラートイベント対応にかかる時間が増え、それがルーチンワーク化していく傾向にあります。しかし高度化する攻撃を迎え撃つには、より専門的な知識やスキルを磨いていくことに時間を割いていかなければならない。そこを支援してくれるのがAIなのだと思います」(有松氏)

ただし、AIに頼っているだけではクリエイティブなセキュリティ人材は育たない。「AIを超えるスペシャリストを育て、未知なる攻撃に備えていくことが次なる重要なテーマ」だと有松氏は付け加える。

現状の脅威分析サーバは、ファイアウォール、サンドボックス、IDS/IPSといったネットワーク機器のアラートイベントを解析対象としている。だがNECの実証実験では、マルウェアなどの解析でもAIが有効との結果が得られた。このため、より高度な知識と技術、分析工数が必要となるマルウェア分類/解析支援の領域でのAI活用も検討が進められているという。

「NECが持つAIの技術は、マルウェア解析支援だけではなく、ログ解析支援やパケット解析支援、スパム検知など、幅広い分析業務に適用できるテクノロジーです。将来的にはアナリストの判断支援や事後検知に加え、攻撃者側の思考パターンをAIで予測する事前検知も実現できる可能性があると個人的には考えています。今後もそういった研究テーマに取り組み、SOC運用の効率化とアナリスト支援の技術開発にチャレンジし続けていきたいと考えています」(木津)

おすすめコンテンツ

ページの先頭へ戻る