Japan
サイト内の現在位置を表示しています。
AIを活用した脅威分析サーバを開発
SOC運用の最大80%の効率化を目指す
NEC セキュリティ×AI インタビュー 日増しに増加・巧妙化するサイバー攻撃によって、企業の被害が深刻化している。これによって大きな課題となっているのが、セキュリティアナリスト※(以下、アナリスト)にかかる監視・分析負担の増大だ。そこでNECではアナリストを支援するシステム基盤の強化策として、AI(人工知能)を活用した脅威分析サーバを開発。SOC運用における最大80%の効率化を目指した取り組みをグループ一丸となって行っている。その開発の背景やメリットについて話を聞いた。
- ※膨大なログを監視/分析し、悪意ある攻撃を発見して重大インシデントを防ぐ分析官。高度な専門知識、判断の正確性とスピードが求められる。
サイバー攻撃の増加・高度化に伴い専門知識を持ったSOCの運用が重要に
サイバーインテリジェンスセンター
センター長
有松 龍彦 氏
企業の最新技術や公的機関の機微情報などが組織的な犯罪集団に狙われる中、サイバーセキュリティ対策強化の必要性がますます高まっている。NECではサイバーセキュリティ対策の中核拠点として「サイバーセキュリティ・ファクトリー」を設立。24時間365日体制で進化するサイバー攻撃に対応する取り組みを行っている。
その中で顧客のセキュリティ運用を担うSOC(セキュリティ監視センター)として中核的な活動を支えるのが、NECのグループ会社である(株)インフォセックである。サイバーセキュリティ・ファクトリーでセンター長を務めるインフォセックの有松龍彦氏は、SOCによる運用の重要性を次のように説明する。
「現在のサイバー攻撃は、既存のファイアウォールやIDS/IPSといったセキュリティ機器、アンチウイルスソフトなどでは、もはや防御できないほど高度化しています。内部侵入されることを前提に被害拡大を防ぐには、ログ解析の範囲をネットワーク機器やサンドボックスだけでなく、サーバやプログラム、クライアントにまで拡大する必要があります。そこでは当然、分析などの専門知識を持ったアナリストの質的・量的な向上が求められてきます。ただし、顧客の増加及び攻撃自体の多様性から分析するべきログが前年比で3倍以上に増えており、お客さまである企業側で、こうした専任要員を確保していくのは非常に困難。そこで我々のような専門組織にセキュリティ運用をアウトソースするニーズが年々拡大しています」
拡大する高度化するサイバー攻撃に立ち向かうにはアナリストとシステム基盤、双方の強化が必要
このように攻撃の拡大とニーズが急拡大する一方、SOC運用は大きな課題を抱えている。それは、急増するアラートイベント(何らかの形で人の介入や確認を必要とする事象)への対応だ。
「お客さまへの攻撃検知の報告は、単にセキュリティシステムが出したアラートをそのまま伝えるわけではありません。経験を積んだアナリストが“これは問題のないイベントだ” “これは攻撃の可能性が高い”と1件1件解析して分類し、緊急性の高いものに絞って、報告と対処を行っています。現状、セキュリティシステムから上がるアラートは約80%が誤検出で、マルウェアの被害、不正なアクセス、改ざんの発生など攻撃成功が疑われるイベントは全体の数パーセント未満に過ぎません。それでも疑わしいアラートイベントを見過ごすことはできないため、アナリストにかかる監視・分析負担が年々増大しているのです。新メンバーの育成にも、経験豊富なアナリストの人手が必要なため、SOC運用を支援する何らかの仕組みが必要だと考えていました」と有松氏は振り返る。
