サイバーセキュリティ分野に興味深い新参者が参入しました。その名も「Chronicle」です。Googleの親会社傘下であることで注目を集める同社は、Alphabetの「ムーンショット」インキュベーター「X」から誕生しました。先週、Mediumの2つのブログ記事で発表されたChronicleは、企業が自社のセキュリティデータを把握できるよう支援することに注力し、CEOによると「サイバー攻撃が被害をもたらす前に阻止する」ことを目指しています。
WannaCryのような世界的なコンピュータ感染や、MeltdownやSpectreのようなコンピュータプロセッサの脆弱性が蔓延する時代に、Googleのような企業がサイバーセキュリティに注力し、リソースを投入するのは良いことだ。しかし、それがどのように機能するかについては、まだ情報が限られている。
同社の共同創業者兼CEOであるスティーブン・ジレット氏はブログ投稿で、同社の事業の一つは「企業が自社のセキュリティ関連データをより適切に管理し、理解するのに役立つ、新たなサイバーセキュリティ・インテリジェンスおよび分析プラットフォーム」であると述べた。ジレット氏はさらに、すでにいくつかの企業がこのプラットフォームの初期バージョンを試用していると付け加えた。彼らのシステムは、人工知能の一種である機械学習も活用する予定だ。
同社はすでに公表されている情報以外詳細は公開していないが、機械学習は企業が収集する大量のサイバーセキュリティデータを解釈するための強力なツールとなる。
「Google のデータを活用してエコシステム全体のサイバーセキュリティを向上させるという考え方は、Google だけが持つ情報を非常に直接的に応用したものだと思います」と、Shape Security の CTO であり、かつて Google でクリック詐欺対策責任者を務めたシューマン・ゴセマジュンダー氏は語る。
データに溺れる
Chronicleは、企業が社内防御システムが生成する「セキュリティアラート」を理解するのを支援する。ジレット氏の説明によると、アラートの数は毎日数万件にも及ぶという。「典型的な大規模組織が導入する数十種類のセキュリティ製品から生成されるデータの急増は、逆説的に、脅威の検知と調査を容易にするどころか、むしろ困難にしている」とジレット氏は述べている。しかも、膨大なデータの保管には莫大なコストがかかる。
カーネギーメロン大学のコンピュータサイエンス准教授、ブライアン・パーノ氏によると、企業のネットワーク活動に関するデータはイベントログの形で提供される場合があるという。コンピュータネットワークにおけるイベントとは、朝に誰かがマシンにログインしたという単純なものから、コンピュータ間の通信、あるいはダウンロードされたファイルまで多岐にわたる。これらのイベントログには、ログイン失敗などのセキュリティ警告も含まれる場合がある。ウイルス対策ソフトウェアも、他のセキュリティデバイスと同様に通知を出す。パーノ氏は、Chronicleが分析対象としているのは、こうしたデータ全般なのではないかと推測している。
次のステップは「異常検出」を行うことだとパルノ氏は言う。これは、そのデータを調べて、通常のトラフィックと異常なトラフィックの違いを把握するプロセスである。
AIを解放する
ここで機械学習が活躍します。機械学習は膨大なデータから洞察を引き出すことができます。「セキュリティアナリストは、『たくさんのアラートが届いたので、どうにかしてトリアージする必要がある』と言いながら、多くの時間を費やしてしまうことがよくあります」とパーノ氏は言います。目標は、真の脅威と通常のトラフィックを区別することです。
機械学習はデータからの学習に優れています。典型的な例としては、学習アルゴリズムに大量のネコ科動物の写真を与えて猫の外見を教えるというものがあります。そして、猫の外見に関するルールを明示的にプログラムするのではなく、アルゴリズム自身に解読させます。すると、そのソフトウェアは新しい画像の中にひげのある動物と思われるものを認識できるようになります。
この場合、データはペットの毛皮ではありません。ジレット氏がブログ記事で述べているように、セキュリティアラートやイベントログといった情報です。エンジニアはシステムを「良いもの」でトレーニングする傾向があるとパーノ氏は言います。つまり、通常のトラフィックの様子を見せることで、システムがそこから学習できるようにするのです。なぜなら、ほとんどのトラフィックは無害なものだからです。
「主に善のために訓練し、『善と認識できないものはおそらく悪だ』と考えているのです」とパーノ氏は言う。Chronicleは、アルゴリズムを訓練して、善のトラフィック、悪のトラフィック、あるいはその両方からのシグナルを認識できるようにしている可能性がある。(Chronicleには、2012年にGoogleが買収したマルウェア検出に特化したVirusTotalも含まれる。)つまり、Chronicleは企業自身のサイバーセキュリティ状況を迅速に分析できるように設計されたプラットフォームだ。(同様に、別の新興企業がCIAのような諜報アナリストが報告書やその他のデータを解釈するのを支援するAIシステムを開発している。)
パルノ氏は、このシステムは、コンピューターがマルウェアに感染するなど、何か問題が起こった後に何が起こったのかをつなぎ合わせる骨の折れる作業もスピードアップできると語る。
しかし、コンピュータセキュリティと暗号学を専門とするパルノ氏は、慎重な見方を示す。「歴史的に見て、機械学習をセキュリティ問題に効果的に適用するのは困難でした」と彼は付け加える。それは、機械学習が彼が「平均的なケース」と呼ぶものを特定するのが得意だからだ。SiriやAlexaがユーザーの言葉を99%理解できれば、それは基本的に許容範囲内だ。しかし、セキュリティの世界では、99%では不十分だと彼は言う。「異常検知の最大の弱点は、攻撃者が『よし、攻撃を通常の活動に見せかけるように、非常に慎重に構築するだけだ』と決めつけてしまうことです」
