【ブログ】AIの力を脅威インテリジェンスに活かす（3/14）

2025/03/14

サイバーセキュリティブログ記事一覧サイバーセキュリティニュース

サイバー脅威インテリジェンスサービスCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。

Cognyte | 2025年3月

今日のデジタル時代において、サイバーセキュリティはかつてないほど重要になっています。サイバー脅威の高度化に伴い、従来のセキュリティ対策では不十分になることがよくあります。そこで登場するのが、サイバーセキュリティの分野におけるゲームチェンジャーである人工知能 (AI) です。

このブログ記事では、AIがサイバーセキュリティにどのように革命を起こし、組織や企業が高度化する脅威に対しどのように迅速かつ効果的に対処できるかについて説明します。
（本記事はCognyte社のブログ"Harnessing AI for Cybersecurity"を翻案したものです）

お手頃価格で効率的に脅威をモニタリング。脅威インテリジェンスサービス「Cognyte」はこちら

記事に関するご意見・お問い合わせはこちらへお寄せください。
(ＳＯＭＰＯホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)

サイバーセキュリティにおけるAIの役割
なぜAIが重要なのか？
サイバーセキュリティにおけるAIの実装例
脅威アクターによるAIの悪用
AIを活用した外部脅威インテリジェンス
Cognyte LUMINARにおけるAI活用
まとめ

サイバーセキュリティにおけるAIの役割

AIはサイバーセキュリティにおいて不可欠なツールとなっており、高度化する脅威に対処するための前例のない機能を提供しています。AIの力を活用することで、組織は脅威の検出と対応能力を強化し、プロセスを自動化し、新しい攻撃ベクトルに関する貴重な洞察を得ることができます。
大量のデータを処理し、パターンを認識し、データに基づく洞察をリアルタイムで抽出するAIの能力は、脅威の検出と軽減の方法を変えました。

特に生成モデルを使用してテキスト、画像、動画、またはその他の形式のコンテンツを生成する生成AI (GenAI) は、高度化するサイバー攻撃の攻撃と防御双方でますます重要性が高まっています。

なぜAIが重要なのか？

ソーシャルエンジニアリング攻撃やランサムウェアなど、サイバーセキュリティの脅威が高度化するにつれて、これらのインシデントを検出して阻止するための従来のセキュリティ対策がますます困難になっています。
組織は、潜在的な脆弱性を分析する必要がある膨大な量のデータに対処するとともに、攻撃者や攻撃手法がますます高度化していることにより、サイバーセキュリティの強化が不可欠になっています。革新的なテクノロジを活用することは、これらの進化するリスクを先取りするために不可欠です。

コスト効率化

AIを活用した自動化は、サイバーセキュリティの運用に大幅なコスト削減をもたらします。ログ監視、脆弱性スキャン、パッチ管理などの反復的なタスクを自動化することで、AIは手作業の必要性を減らし、人間のアナリストが時間をより効果的に使えるようにします。さらに、AIは脅威検出の精度を高め、時間とリソースを無駄にする可能性のある誤報の可能性を減らします。
従来のサイバーセキュリティシステムでは、脅威を誤認することがあり、チームが問題ではないことを調査したり、実際のリスクを見逃したりして、非効率につながることがあります。
AIはこれらの落とし穴を回避し、全体的なコスト削減に貢献します。

拡張性とリアルタイム分析の強化

従来のサイバーセキュリティシステムでは、今日の複雑で相互接続されたシステムによって生成される膨大な量のデータを処理するのに苦労することがよくあります。しかし、AI機能は、ネットワークトラフィック、システムログ、ユーザーアクティビティ、脅威インテリジェンスフィードなどの膨大なデータセットを、複数のソースからリアルタイムで効率的に処理および分析できます。
AIは、多くの場合、人間のアナリストが気づかない可能性のある潜在的な脅威の微妙な兆候を発見し、プロアクティブな防衛戦略を維持することができます。

サイバーセキュリティにおけるAIの実装例

AIは、セキュリティプロフェッショナルを置き換えるのではなく、タスクをより効果的かつ効率的に実行する能力を強化します。サイバーセキュリティにおける主なAIのユースケースは次のとおりです。

脆弱性インテリジェンス

AIは、既知と未知の両方のシステムの脆弱性を継続的にスキャンして特定するために使用されます。履歴データ、脅威フィード、過去のインシデントを分析することで、AIはどの脆弱性が最も悪用される可能性が高いかを優先順位付けし、サイバー犯罪者の標的になる前に、チームがリスクの高い問題にパッチを適用するのに役立ちます。

外部アタックサーフェス管理

AIは、Webサイト、アプリケーション、外部APIなど、インターネットに接続されているアタックサーフェス全体の脅威を継続的にスキャンすることで、組織の外部セキュリティ体制の管理を支援します。攻撃者によって悪用される可能性のある潜在的な脆弱性を特定し、軽減のための推奨事項を提供することで、組織の公開資産の安全性を確保します。

ダークウェブ監視

AIを搭載したツールは、ダークウェブで盗まれたデータ、漏洩した認証情報、組織を標的としたダークウェブ・フォーラム等でのディスカッションを監視します。ダークウェブのフォーラムやマーケットプレース上のパターンとアクティビティを分析することで、AIは潜在的な脅威にフラグを立て、セキュリティチームに早期の警告サインを与え、データが悪意を持って使用される前に迅速に対応できるようにします。

デジタルリスク保護

AI主導のデジタルリスク保護 (DRP) は、ブランドのなりすまし、フィッシング攻撃、サードパーティの脆弱性から生じる脅威など、さまざまなデジタルリスクから組織を保護するのに役立ちます。
Web、ソーシャルメディア、ダークウェブをスキャンすることで、AIは組織の評判を傷つけたり、データ侵害につながる可能性のあるデジタル脅威を特定します。リアルタイムのモニタリングにより、AIは新たなリスクをエスカレートする前に検出して対処できるため、企業はオンラインプレゼンスと機密情報を潜在的な悪用から保護できます。

IDおよびアクセス管理（IAM）

AIはIAMで使用され、ユーザーのログイン・パターンを分析し、疑わしいアクティビティを示す可能性のある異常を特定します。特定の条件下で2要素認証を適用したり、パスワードのリセットを促したりするなどのアクションをトリガーできます。より深刻なケースでは、AIは侵害された疑いのあるアカウントへのアクセスをブロックして、不正アクセスを防ぐのに役立ちます。

エンドポイント・セキュリティ

AIは、組織内で使用されているすべてのエンドポイントを特定し、各エンドポイントが最新のオペレーティングシステムとセキュリティパッチで更新されていることを確認する上で重要な役割を果たします。また、組織のデバイスでマルウェアやその他のサイバー攻撃の兆候を検出するのにも役立ちます。

クラウド・セキュリティ

組織がクラウドインフラストラクチャとアプリにますます依存するようになるにつれて、AIはマルチクラウド環境全体のリスクと脆弱性を可視化するのに役立ちます。チームが複数のクラウドプラットフォーム間でセキュリティを追跡および管理するのに役立ち、潜在的な脅威が深刻な問題になる前に特定され、軽減されるようにします。

サイバー脅威の検出（*DR）

AIは、XDRソリューションとSIEMソリューションの両方で中心的な役割を果たします。XDRはAIを使用して、エンドポイント、電子メール、ID、クラウドアプリ等の異常を監視し、詳細なレビューのためにインシデントを表示するか、定義済みのルールに基づいて自動的に対応します。SIEMプラットフォームは、AIを活用して組織全体からのシグナルを集約および分析し、可視性を強化し、脅威を迅速に特定できるようにします。

情報保護

AIは、オンプレミスとクラウドのどちらに格納されているかにかかわらず、組織内の機密データを識別してラベル付けすることで、セキュリティチームを支援します。また、機密情報を組織外に転送しようとするなど、疑わしいデータの移動を検出し、これらのアクションをブロックするか、フォローアップのためにセキュリティチームに警告することもできます。

インシデント調査と対応

サイバー攻撃対応では、セキュリティ担当者は大量のデータを精査して脅威を特定する必要があります。AIは、複数のデータソースに関連するイベントを関連付けることでこのプロセスを合理化し、時間を節約し、対応作業を改善します。生成AIはさらに一歩進んで、複雑な分析を自然言語に翻訳し、調査チームの質問に答えを提供することで、プロセスをより直感的で効率的にします。

これらのユースケースは、AIがサイバーセキュリティをどのように変革しているかを示しています。
セキュリティチームは、より正確かつ迅速に脅威を管理、検出、対応できるようになります。また、手動のワークロードを削減し、プロアクティブな防御戦略を改善します。

脅威アクターによるAIの悪用

サイバーセキュリティチームと同様に、脅威アクターも、攻撃を自動化、加速、強化するためにAIをますます活用しています。この適応には、専門的なスキルや広範なトレーニングを必要とせずに、新しいサイバー犯罪者の参入障壁を下げるなど、さらに重要な意味があります。さらに、次のようなさまざまな種類のサイバー攻撃の規模と高度さが大幅に増加します。

ランサムウェア

ランサムウェアグループは、ターゲットの調査、システムの脆弱性の特定、データの暗号化、エンドポイントの検出を回避するためのランサムウェアの適応と変更など、さまざまな方法でAIを使用できます。たとえば、最近出現したランサムウェアグループ「FunkSec」は、急速に悪名を高めており、AIを利用したマルウェア開発を利用していると報じられています（外部リンク）。

ソーシャルエンジニアリング

AIは、ソーシャルエンジニアリング攻撃 (悪意のある目的を達成するために人間の行動を操作することを目的とするサイバー攻撃) の研究段階と実行を支援できます。

フィッシング

GenAIは、電子メール、SMSメッセージ、電話通信、またはソーシャルメディアで使用される高度にパーソナライズされたリアルなテキストを作成して、目的の結果を得ることができます。さらに、AIを使用してリアルタイムのコミュニケーションを自動化し、サイバー犯罪者やその他の悪意のあるアクターが個人情報やアカウントの資格情報を盗んだり、アカウントのパスワードをリセットしたりすることができます。

ディープフェイク

AI主導のディープフェイクは、脅威アクターが個人の外見を欺く正確さで偽装し、検証システムをバイパスして機密リソースにアクセスすることを可能にします。さらに、偽情報キャンペーンやその他の種類のサイバー攻撃の一部として使用されることもあります。

悪意のあるLLM

通常は、有害な出力を生成する大規模言語モデル (LLM) （外部リンク）の改変バージョンです。このようなGPTは、攻撃を進めるための攻撃ベクター (マルウェアなど) やサポートする攻撃材料 (詐欺メールや偽のオンラインコンテンツなど) を生成できます。
たとえば、最近の研究（外部リンク）では、ダークウェブのフォーラムやグループメッセージングプラットフォーム（外部リンク）で取引されている、GhostGPTと呼ばれる新しい悪意のあるGenAIチャットボットが発表されました。これは、マルウェアの作成、エクスプロイトの開発、ビジネスメール侵害 (BEC) 詐欺、フィッシングなど、さまざまな悪意のあるアクティビティのために販売されています。

脆弱性の悪用

AIはソフトウェアの脆弱性を効果的に見つけることができ、攻撃者はそれを使用して、パッチが適用される前に脆弱性を見つけることができます。また、ワンデイ脆弱性やゼロデイ脆弱性に対するコードエクスプロイトの作成を自動化することもできます。

SNSボットネット

ハクティビストや国家アクターなどの脅威アクターは、AIによって生成されたボットネットを使用して、ソーシャルメディアに誤った情報を氾濫させ、世論を操作します。ボットは、ディープフェイク動画や多言語による投稿といった説得力のあるコンテンツを生成し、影響力作戦の規模と高度さを大幅に向上させます。

AIを活用した外部脅威インテリジェンス

AIが革新的なサイバーセキュリティの重要な領域の1つは、外部脅威インテリジェンスです。

外部脅威インテリジェンスには、組織を脅かす潜在的または現在の攻撃に関する情報の収集、分析、および配布が含まれます。AIは、さまざまなソースからのデータ収集を自動化し、パターンを特定し、潜在的なリスクを迅速かつ正確に予測することで、このプロセスを強化します。
このプロアクティブなアプローチにより、組織はサイバー脅威の先を行き、重要な資産を保護できます。

AI主導の脅威インテリジェンスの主な機能　出典：Cognyte

データの集計と分析

AIを活用した脅威インテリジェンスプラットフォームは、ダークウェブ、グループメッセージングプラットフォーム、その他のオンラインフォーラムなど、複数のソースからのデータを分析し、関連付けます。包括的なデータ集約は、組織の業界に関連する現在および新たな脅威に関する幅広い視点を提供します。
分析のもう1つの側面は、自動リスクスコアリングと分類です。Gen AIは、データレイク内の検出結果をフィルター処理するために使用されます。その後、各検出結果に脅威レベルが割り当てられ、(例:ランサムウェア、フィッシング)分類されます。これにより、アナリストは、より焦点を絞った実用的な洞察を得ることができます。

アノマリ検出

AIシステムは、ネットワークトラフィックとユーザーの行動を継続的に監視して、従来のセキュリティ対策を回避する可能性のある侵入や異常なアクティビティのわずかな兆候を検出します。通常の行動のベースラインを確立することで、これらのツールは悪意のある可能性のある逸脱を検出できます。

予測機能

AIは、悪意のある可能性のあるアクティビティと脅威アクターを特定できるため、組織はサイバー攻撃を発生前に予測して防ぐことができます。この予測機能は、予防的なサイバーセキュリティ対策に不可欠です。

自動対応

AIは、検出された脅威への対応を自動化し、影響を受ける資産を分離し、リアルタイムでリスクを軽減できます。これにより、インシデントへの対応にかかる時間が短縮され、潜在的な損害が最小限に抑えられます。

包括的なレポート

AI主導の脅威インテリジェンスサービスは、詳細なレポートとドキュメントを提供し、完了した作業を要約し、組織に固有の脅威を強調表示し、検出された潜在的な脅威に基づいて自動アラートを提供します。これらのレポートは、サイバーセキュリティのレジリエンスを強化するために、経営幹部が情報に基づいた戦略的な意思決定を行うことを可能にします。

Cognyte LUMINARにおけるAI活用

Cognyteの外部脅威インテリジェンス・ソリューションであるLUMINARは、AIを搭載した敵によって引き起こされるものを含め、組織が高度なサイバー脅威の先を行くことを支援するように設計されています。
サイバー犯罪者が戦術、技術、および手順 (TTP) を強化するために人工知能を使用することが増えている中、LUMINARはGenAI機能を活用して、進化する脅威を検出して対応するだけでなく、脅威の分類とリスクの優先順位付けを合理化します。

LUMINARのGenAIリスクスコアリング・アシスタントは、AIによって強化された複雑な脅威に対処するための重要なツールです。収集された大量のデータを自動的にフィルタリングし、偽陽性を効率的に特定し、関連するリスクに焦点を当てます。このアシスタントは、脅威の関連性と緊急性に基づいてリスクスコアを割り当て、さまざまなベクトルにわたる脅威を分類します。
GenAIアシスタントは、新しいAI主導の戦術に動的に適応し、タイムリーで正確な脅威検出を提供します。この自動化されたプロセスにより、セキュリティチームは高リスクのインシデントに優先順位を付け、リソースを効果的に割り当てることができます。
LUMINARは、GenAIを活用した脅威インテリジェンスフィードの継続的なストリームを提供し、サイバー脅威の包括的なグローバルカバレッジを提供します。
LUMINAR AIサイバーフィードは、悪用された脆弱性、新たに特定されたマルウェア、脅威アクターの進化するTTP、世界中の組織に影響を与える重大なサイバーインシデントなど、重要な情報を幅広く追跡します。
サイバー脅威と攻撃に関するオープンソースのデータを関連付けることで、LUMINARの分析を強化し、組織に実用的なインテリジェンスを提供します。これにより、セキュリティチームは貴重な洞察を抽出し、セキュリティリスクを効果的に軽減するためのプロアクティブな戦略を開発できます。
LUMINARは、GenAIを利用したグローバル脅威インテリジェンスダッシュボードを備えており、常に進化するサイバー脅威の状況に関する実用的な洞察を提供します。このインタラクティブな基盤により、セキュリティチームと脅威アナリストは、新たなセキュリティ脅威に関する重要なデータをシームレスに確認および分析し、最も活発な攻撃グループ、蔓延しているマルウェア、サイバー攻撃者によって最も頻繁に悪用される脆弱性などの重要な詳細情報を強調表示できます。
さらに、ダッシュボードでは、攻撃を受けている業界や標的となっている地域など、特定の懸念領域に焦点を当てた分析が可能になるため、セキュリティチームは常に最も関連性の高い脅威を認識できます。
またプラットフォームでは、GenAIが検出したTTPと関連するIoCに即座にアクセスできるため、迅速で情報に基づいた対応と効果的な緩和戦略が容易になります。