サイバー攻撃への対処要否判断をAIで自動化――、富士通研が開発

　株式会社富士通研究所は22日、サイバー攻撃への対処要否を判断するAI技術を開発したと発表した。専門家と同等精度の判断と判断時間短縮を実現しており、被害の最小化に貢献できるという。

　現在、業務ネットワークに対してサイバー攻撃が行われた際には、ネットワーク上のサーバーや端末、セキュリティアプライアンスなどが攻撃を検知した後に、サイバー攻撃分析の専門家が手動で危険性を調査・確認し、被害を最小化するための対処の要否を決定している。こうした対処を行う際には、攻撃を受けた業務端末をネットワークから遮断して再構築するなど、業務が止まりビジネスに影響を与える場合があるため、要対処かどうかの判断は慎重に行う必要があるという。

　一方で、日本では2020年にセキュリティ人材が19万3000人不足すると言われている中で、要対処の攻撃事案かどうかを迅速に判断して早期対処を可能にするために、高度な知識・知見を持つ専門家と同等レベルの危険性判断を実現するAIを開発し、自動化することが期待されているとのこと。

　こうした状況を踏まえて富士通研究所では、高精度なAI技術の開発に必要な学習データを確保するために、大量の業務ログからサイバー攻撃のふるまいを表す攻撃ログを特定し、抽出する技術を開発した。

　同社では、これまでのセキュリティ関連業務・研究で培ってきたノウハウをもとに、攻撃分析で得た約7年間の実績データから、標的型攻撃の諜報活動につながるコマンドや引数などのパターンを攻撃パターンデータベースとして構築。このデータベースを利用することで、膨大なログから一連の諜報活動を正確に特定・抽出することが可能になったという。

　あわせて、抽出した標的型攻撃の一連の諜報活動に対して、攻撃性の高さを算出し重要なコマンドを特定後、その引数を攻撃パターンデータベースに存在する範囲で変化させることにより、攻撃性を失うことなく、新たな諜報活動（標的型攻撃の亜種）を疑似的に生成する技術も開発した。これにより、学習データを4倍に拡張可能になっている。

　なお富士通研究所では、今回生成した学習データによって学習させた判定モデルを利用して評価試験を実施した。約1万2000件にのぼる約4カ月分のデータを活用してシミュレーションを行った結果、セキュリティの専門家が手動で分析した結果との一致率が約95％となり、ほぼ同等の対処要否判断を実現できたという。

　さらに、国立研究開発法人情報通信研究機構（NICT）が運用しているサイバー攻撃誘引基盤「STARDUST」において、企業を狙った実際のサイバー攻撃を使用した実証実験を行ったところ、対処が必要な攻撃事案であると自動判断でき、その有用性が確認されたとしている。

　富士通研究所では、このAI技術により、これまでは数時間～数日間かかっていた、専門家による対処の要否判断が数十秒～数分に短縮できるようになるほか、標的型攻撃の被害状況の全容を短時間で分析する、富士通研究所の高速フォレンジック技術と組み合わせることで、攻撃の分析から対処指示までの一連の対応を自動化できるとアピールしている。

　同社は今後、サイバー攻撃の対処基盤として、マネージドセキュリティサービスなどでの活用を目指していく考えだ。