機械学習を駆使する次世代の「サイバー防御」とは：KeyConductors

世界のサイバー脅威の防御の姿とは？　見えない攻撃、企業に潜む不正行動を見つけるダークトレースの事例を紹介する。

[宮田健，キーマンズネット]

　2016年10月26日、千葉、幕張メッセで開催された「第6回情報セキュリティEXPO秋」で、世界のサイバー脅威の現状把握と、これからの防御の姿を考える講演が行われた。見えない攻撃、企業に潜む不正行動を見つけるために「最新の技術」を投入するDarktrace（ダークトレース）の事例を紹介しよう。

ダークトレースが目指す未来の防御は

ダークトレース CEO ニコール・イーガン氏

　「機械学習を駆使する次世代のサイバー防御」と題された講演では、ダークトレース CEOのニコール・イーガン氏が、同社の先進的なアプローチを紹介した。

　イーガン氏は現在のサイバー攻撃を「信頼への攻撃」（Attack for Trust）と定義する。サイバー攻撃はいま、例えば「投票システム」や「訴訟」に対して行われているという。同社が実際に観測した事例では、ある法律事務所への攻撃にハッカーが雇われ、原告が保持していた証拠を盗み出すということが行われた結果、訴訟に敗北してしまったという。これは法律事務所の信頼を失わせる行為であり、このような攻撃が日々、行われているとイーガン氏は述べる。

　「例えば銀行に対して、50ミリ秒だけ残額を変えるような攻撃を行う。どの口座に対して残高が変えられたのかは分からないように。これが信頼への攻撃だ。例えばエネルギー業界では、石油掘削に多くのセンサーが使われており、海中、地中のどこを掘れば石油が出るのか、出ないのかが分かる。もし攻撃者がそのセンサーを攻撃し、情報を書き換えてしまったら、石油業界は信頼を失う。こういう攻撃が今後たくさん登場するであろう」（イーガン氏）

　これらの攻撃は、企業の中に深く静かに忍び込む。攻撃者は普段のシステムの動きをチェックし、定常状態を見定め、そこに紛れ込むように潜む。そのため、検出すること自体が困難だ。

　イーガン氏はこれらの攻撃が、AIや数学など多数の専門家とともに行われているとする。国家が国家を攻撃するかのような先進的なもので、「もはやこれは「アルゴリズム対アルゴリズムの戦争」である」とする。「機械対機械の戦いになると、もはや人間にはそのスピードに追い付けない。政府を含め、全ての業種がこの将来の姿に向け対応を始める必要がある」。

対策の1つは「機械学習によるサイバー防御」

　そのためには「機械学習」の力を借りるべきだとイーガン氏は述べる。「ケンブリッジ大学の数学専門家とともに、このモデルを考えている。これまでの機械学習はいま存在するマルウェアを教え込んでいるが、この場合は未知のマルウェアは検出できない。だから、機械学習の専門家が、過去のものをトレーニングするのではなく、教師がいなくても単独で学ぶ「機械学習」が必要だ」。

　イーガン氏はこのようなスタイルの守り方を、1つの例え話で解説する。「これは人体における「免疫システム」と一緒だ。免疫システムはあなたのDNAを認識し、自分とそれ以外を認識することができる。そのため、未知のバクテリアが入ってきたとしても、すぐに異物として認識できる。企業のサイバー防御も同じで、「免疫システム」の例え話ならば理解しやすいだろう」とイーガン氏は解説する。

　若干雲をつかむような話だが、イーガン氏はこのように説明する。「機械学習はそれぞれの会社で大きく異なるネットワークの仕組み、見た目などを見て、自己学習が学ぶ。モバイルやデスクトップPCなどデバイスはさまざまだが、何が正常で何が異常なのかを学び、複雑度自体を防御手法の1つとして使う。これはこれまでのルールベースや署名ベースの防御とは異なる仕組みだ」。

数学理論と機械学習がこれからのサイバー防御を変える

ニコール・イーガン氏

　これらの新しい守り方は、数学者、諜報活動に従事する者などが共同で研究したアルゴリズムによって構成されているという。攻撃の最新情報を基に専門家がアルゴリズムを組み上げたあと、そのアルゴリズム同士を、過去に起きたことから未来の発生確率を予測する「ベイズ理論」を用いて判定する。それをイーガン氏は「数学理論と数学理論を戦わせ、案を出す。これを元に、大きな問題になる前に対処を行う。これが機械学習の重要なポイントだ」と説明した。

　企業においては、誰かが入ってくることや、誰かがそこにいるというだけでも多くの情報を取ることができる。エアコン情報や照明、デバイスの出入りなどの情報から、異常を特定できるかどうか。また被害が拡大しようとするときに検出、排除ができるか。そのときに、数学的アルゴリズムを使った仕組みが重要な役割になるとイーガン氏は述べる。

デジタル抗体で自己防衛するネットワークを

ニコール・イーガン氏

　ダークトレースが検出する「潜んだ攻撃」は、今やその3分の1が「IoT機器」からのものだという。「先日見つかった攻撃は、ビデオ会議の機器に潜んでいた。録音機能に潜んで、2週間分の録音を外部に送ろうとしていた。その企業は株式公開している企業であり、そこで行われる会議は重要な情報。ダークトレースはデータを送信する前に検出ができた」という。

　さらにイーガン氏はIoT時代の脅威の事例を語る。「スポーツスタジアムではセキュリティレベルを上げるため、顔認識の機器が設置されていた。これがある国に向け、ビーコンを発していたことが検出できた。これが、いままさに行われている現実の攻撃だ」。

　その他にも、IoT機器はバックドアなどがあらかじめ設置されているような危険性もある。「IoT機器はレガシーな技術が使われていることも多く、最新のエンドポイントを守るようなSIEMの仕組みやサンドボックスなどは対応できないことを考えなくてはならない」。

　この対処も、やはり「免疫系」といった考え方が必要だとイーガン氏は述べる。「「デジタル抗体」が必要だ。免疫系と一緒で、普通じゃないものを理解、分析し、対応できるようになるべきだ。生活パターンを見て通常と異常を判断し、異常なところだけを検出、検疫する仕組みを用意すべきだ」。

　イーガン氏の狙いは、この仕組みを導入したことで、人間は人間にしかできないことを行う時間を作ることだという。「人間が追い付くための時間を確保する。これらの機械学習を搭載したソリューションは、攻撃をゆっくりさせることができる。人間がいる時間帯に、人間が対応できるようにし、人間は本当に重要な攻撃に対応してもらう」。

機械学習は不安……そこをどう変えるか

　機械学習に対する「不安感」に関しても、イーガン氏はある程度楽観的だ。「確かに、自動運転の自動車に乗るのは不安を感じるだろう。しかし、2回目、5回目と繰り返し乗ることで、自動運転を「信頼」できるようになるはず。機械学習も同様」。つまり、機械学習によって出てくる提案が、正しいものであればあるほど、繰り返されるほどに「信頼」を勝ち得ると考えているのだ。

　イーガン氏は「もはや「戦場」は企業ネットワーク内部に移行している」と述べる。これまでのルールやシグネチャによる対応は不完全であり、いかに大規模、かつ熟練したセキュリティチームでも、今日の脅威のスピードには追い付けないだろうと予測する。だからこそ、機械学習が効く。そのためには、マシンとの信頼関係を築いていかなければならないのだ。