サイバーセキュリティの領域で近年、AIによる技術革新が新たな潮流を生み出しています。本記事では脅威検知、ディープフェイク検知、セキュリティ運用の3つの分野に焦点を当て、米国をはじめ海外のスタートアップが提供する最新のセキュリティソリューションを取り上げつつ、技術動向や活用スタイルをご紹介します。今後の自社のセキュリティ対策検討の際にご活用ください。

【講演者】

【目次】

• AIが3つの観点でランサムウェアに対処
• サプライヤーや顧客が標的の攻撃をAIで防御
• 高度な検知でディープフェイクを見破る
• 自律的なセキュリティ運用をAIで実現
  
  

AIが3つの観点でランサムウェアに対処

これまで順調に伸びてきたサイバーセキュリティの市場は、今後さらに爆発的に伸びるでしょう。ある調査によれば（※）、サイバーセキュリティへの投資額は2018年時点ではおよそ＄96.3B（billion）であったものが、2024年以降は＄350B以上に達すると予測されています。テクノロジーの進化のスピードがますます速まり、それに伴いサイバーセキュリティの需要も高まり、投資額も増えていくでしょう。

そのような状況のなか、サイバーセキュリティの領域でAIを駆使した次世代のソリューションがさまざまなベンダーから多数登場しています。今回はスタートアップにフォーカスし、脅威検知、セキュリティ戦略、運用管理という3つのカテゴリごとに、ソリューションの概要・特徴やAI活用のポイントを中心に紹介します。

以下、AIを駆使した次世代脅威検知に関して、ランサムウェアとサプライチェーン攻撃、ディープフェイクを詳しくお話します。

ランサムウェアは脅威の中でも対策の重要度が高いものの1つです。被害に遭った企業の数や金額の多さに加え、最近では復旧までにかかる平均日数が重要視されています。現在は平均22日です。海外では今、ランサムウェアへの感染はある程度避けられないという前提のもと、いかに復旧までの時間を短くできるか、事業を継続できるかに焦点が集まっています。

ランサムウェアに特化したソリューションを開発しているスタートアップがHalcyon社です。同社は3つの観点でAIをランサムウェア対策に用いています。

1つ目はランサムウェアを起動させない工夫です。AIによって、既に攻撃が成功したとランサムウェアに思い込ませるなどして起動の段階から防ぎます。

2つ目は複数のAI/MLモデルを使って並行的に分析し、ランサムウェアを高度かつ効果的に検知する工夫です。あわせて、細分化された攻撃ステップごとに特化して振る舞いのマイクロモデルを作成することで、高度な検知を実現しています。

3つ目はランサムウェアの被害を最小限に留めるための工夫です。暗号化のカギにかかわる情報を取得して復号化に活用することで、復旧までの時間を数時間のレベルまで短縮します。

サプライヤーや顧客が標的の攻撃をAIで防御

AIを駆使した次世代脅威検知の2つ目の対象はサプライチェーン攻撃です。攻撃者は近年、本命のターゲットである大手企業や政府機関はセキュリティが強固であり攻撃が難しいため、サプライヤーや顧客（エンドユーザー）といった比較的セキュリティが弱い箇所を標的に攻撃を行い、サプライチェーン全体に被害をおよぼすケースが増えています。サプライヤーや顧客の資産を悪用し、信頼関係などに付け込んで攻撃していきます。。攻撃に悪用するのは主にソフトウェア、インフラ、資格情報、個人情報の4種類です。

そういったサプライチェーン攻撃の対策に着目し、米国で業績を非常に伸ばしているスタートアップがAbnormal社です。一言で表せばフィッシング対策です。多くの企業は日常業務の中で頻繁にコミュニケーションしており、その過程では誰が誰に対して、いつどこからどのアプリケーションを使って連絡しているのか、といったデータが大量にあります。

同社のソリューションでは、それらのデータをアイデンティティ、コンテキスト、リスクの3つの観点でAIが振る舞いを分析し、高度な異常検知を実現します。例えばe-mailなら、4万以上の箇所を分析してリスクスコア化し、そのスコアに従ってブロックや警告などの対処を行います。

 サプライチェーン対策においてはコミュニケーションやフィッシングだけでなく、ソフトウェアのサプライチェーンも注目度が高まっています。

ソフトウェアの透明性を高めるべく、ソフトウェアの中の部品を明確化するSBOM（Software Bill of Materials：ソフトウェア部品表）活用の義務化が世界的な規制整備によって加速しています。ソフトウェアのコンポーネントにOSSが含まれる場合、脆弱性管理や改ざん防止保証、ポリシー統制・実勢、インシデント対応・緩和などを備えたユースケースがあります。

その実現のためには、Shift-LeftやDevSecOpsの考えのもと、開発サイクルに合わせて必要なソリューションを適宜導入することが肝要でしょう。例えば、BACKSLASH社は到達可能性（悪用可能性）を検知し、より早い段階でリスク軽減するShift-Leftソリューションを提供しています。また、devici社は生成AI活用により、デザイン段階で脅威を絞り込みリスクを軽減し、Secure by Designを実現するソリューションを用意しています。

サプライチェーンはやはり物理の世界にも影響するものであり、それにはAIを駆使したレジリエンス力の強化が役立つと考えています。サイバーのリスクだけではなく、地政学や自然災害、ESGなどさまざまなリスクが存在します。

例えば、製造業が半導体の原料不足を追跡したい場合、世界中に広がっている自社のサプライチェーンのどこでどのようなリスクがあるのか先回りして把握し、問題が深刻化する前に対処することが有益でしょう。そういった取り組みをAIで効率化するレジリエンス力強化プラットフォームの領域では、Dataminr社やInteros社といったスタートアップが海外で注目を集めています。

高度な検知でディープフェイクを見破る

AIを駆使した次世代脅威検知の対象の3つ目は、ディープフェイクです。詐欺に利用されたり選挙で悪用されたりするなど、社会問題と化しています。攻撃者はディープフェイクを＄1.3程度と安価で作成できこともあって被害が拡大しており、2024年は世界で被害総額が＄1T（trillion）を超えると言われています。例えば香港では、ディープフェイクで作成した本人のなりすまし映像によるオンライン会議によって、＄25Mの振込先事件が起きました。

AIを活かしたディープフェイク対策で評価が高いスタートアップがReality Defender社です。写真だけでなく動画や音声も含めて横断的に検知できます。そして、20,000以上のマルチモデルと手法による高い検知精度も差別化ポイントです。例えば、他社のソリューションの多くは、特定のモデルを使ったディープフェイクの写真や動画なら検知できますが、他のモデルを使ったものは検知できません。その点、Reality Defender社は20,000以上のモデルを網羅しているため、より幅広い検知が可能です。

優れた利便性も高評価の一因です。既存のアプリケーションとAPI連携によって、ワークフローの中でリアルタイムに検知できます。ある金融業では、コールセンターの音声と連携させてディープフェイクに対策するといった事例も登場しています。

ここまでにランサムウェアとサプライチェーン攻撃、ディープフェイクに対するAIを駆使した検知を紹介してきましたが、その他の対策も含め、セキュリティ戦略や投資計画を適切に立てて進めていくことが肝要であるのは言うまでもありません。その際には、導入したソリューションがNISTやMITREといったフレームワークに則って包括的にカバーできているのかなどの可視化、ROIの測定といった現状分析が必要です。

そういったセキュリティ戦略を支えるCDPO（Cyber Defense Planning and Optimization）のソリューションが、onyxia社やavertro社などのスタートアップから提供されています。可視化やROIとともに、導入機器のライセンスや設定の分析、設定変更による改善効果の見積もりなども行えます。それらの情報のリアルタイム整理やレポート作成、将来予測などにAIを有効活用しています。

自律的なセキュリティ運用をAIで実現

 現在、多くの企業がセキュリティソリューションの運用について、複雑性や難易度が高まっている一方で、スペシャリストの人材が不足しているなどの問題を抱えています。その解決のために、運用タスクとプロセスの両者の自動化が2018年頃から始まりましたが、最近はAI Agentによる自律した運用の自動化が注目を浴びています。

伴走型のAIによって、ドキュメント作成／検索／翻訳、自然言語クエリ―／分析／可視化／推奨といった自動化を行います。加えて、AI自身がタスクの目的と実際の環境を認識し、必要なクエリ―やAPI連携などを生成して情報を集め、計画立案や決断などを行うサイクルを回すことまでも自律的に行います。そのようなAIを活用したセキュリティ運用ソリューションを提供するスタートアップがいくつかあります。

AIを駆使したセキュリティ運用で今後注目されるのがAI SOCです。一般的にセキュリティ運用は、1日平均で45,000以上のアラートが上がるのに半分近くしか調査されないなど、対処すべき事象の数が多く、なおかつ、多様性や緊急性、人材不足なども加わり、ますます困難になっています。

そこでAIを活用することで、今までは人間が30～60分かけていた調査を数秒で完了できるようになります。アラートの有害性を調査するTier 1、詳細調査による原因追及と影響範囲把握を行うTier 2、未然に防げる脅威を先行して発見し修正するTier 3のそれぞれにおいて、AIを活用したソリューションを提供するスタートアップが続々と現れています。

このように脅威検知、セキュリティ戦略、運用管理それぞれの領域で、スタートアップ各社が提供するAIを駆使したソリューションを適宜利用することで、企業やリスク最小化とセキュリティ投資最適化をより効率的に実施していけるでしょう。

※注1：
※Source: Momentum Cyber Proprietary M&A & Financing Transaction Database, Pitchbook, 451 Research, and Gartner
Note: Strategic Activity represents acquisitions (M&A) and equity investments (Financing) of and in cybersecurity companies