特別企画

クラウドとAIがもたらす次世代のセキュリティ対策

 高度化し続けるサイバー攻撃の阻止を考える上で、大きな役割を果たすであろうと期待されているのがクラウドとAIという2つの技術です。これらの技術がセキュリティ面でもたらすメリット、さらにはセキュリティ投資の在り方について、日本オラクル 執行役員 クラウド・インサイト本部長である内山憲が解説します。

サイバーセキュリティにおいて攻撃側が圧倒的に有利な理由

 2017年、世界の企業はサイバーセキュリティに10兆円近くの資金を投じたとされています(出典:IDC)。このように多額の投資が行われている一方、サイバー攻撃の被害は増加し続けているのが実情です。最近のインパクトが大きかったインシデント事例としては、シンガポールの医療機関における150万人分の個人情報流出や、大手ホテルグループにおける、5億人分の顧客に影響を与えたとする個人情報の漏えいなどが挙げられるでしょう。また2019年早々には、ドイツにおいて国会議員数百名分の個人情報が流出したというニュースが世間を賑わせました。

 このようにサイバー攻撃の被害が増大している理由の1つとして、構造的な理由のために防御側が不利な立場に置かれていることが挙げられます。例えば、組織内ネットワークへの不正侵入を考えるとき、攻撃側は不正侵入できる脆弱な点を1つ見つければよいのに対し、防御側はすべてを完璧に守らなければなりません。つまりセキュリティ投資をどれだけ行っていたとしても、セキュリティ対策の見落としが1つでもあれば組織内に侵入され、機密情報が盗み出される可能性があるというわけです。

 不正侵入などにつながる恐れがある、脆弱性への対策も後追いになりがちです。多くの場合、脆弱性が発見された後で修正のためのパッチが開発されるためで、防御側はそれが公開されるまで根本的な対策を講じることができません。

 ただインシデントが発生した状況を突き詰めて分析すると、公開されていたパッチを適用していれば防げたというケースが少なくありません。パッチを適用しなかった理由としては、新たな脆弱性の発見やそれを修正するためのパッチが公開されたことに気づかなかった、あるいは脆弱性が発見されたソフトウェアが自社のシステムに含まれていることを知らなかったなどが考えられます。

 多くのパッチはシステムの停止や再起動が必要であることから、パッチの存在は認識していても実際の適用は後回しになるといったこともあります。特にミッションクリティカルなシステムでは簡単にシステムを止められないため、パッチの適用が遅れることが珍しくありません。

AIによる運用の自動化でヒューマンエラーを防止

 このような課題の解決策として有効であると考えられる技術が、クラウドコンピューティングおよびAIです。脆弱性が発見されてパッチの提供が開始されたとき、クラウドサービスであれば、それを提供するベンダー側で適用のための作業が行われます。このためユーザー側で作業する必要はなく、脆弱性の発覚やパッチの提供に気づけなかったとしても、危険な状態のまま運用することを避けられることが大きな理由です。

 クラウドコンピューティングにおける、こうしたセキュリティ上のメリットは広く認識されつつあります。クラウドであるからセキュリティリスクが低い、あるいは高いと短絡的に考えるのではなく、そのクラウドがどのように運用されているのか、もしオンプレミスで運用した場合にセキュリティレベルはどうなるのか。その差を冷静に見極めた上で、クラウドの利用を決断する企業は着実に増えています。

 また、AIを活用してパッチ適用などの作業を自動化するといったことも実用化されつつあります。これによって運用管理の負担を軽減しつつ、システム自身がセキュリティレベルを維持する“セルフセキュリティ”を実現することができれば、システムの安全性は大幅に高められるでしょう。

 運用業務の自動化には、ヒューマンエラーの回避という大きなメリットもあります。事実、情報漏えいの多くが人的ミスに起因していることを考えると、人手に頼らない運用管理を実現することの利点は見逃せません。

 ただ、このような自律的な運用を実現するためには、いくつかのハードルを乗り越える必要があります。その一例として分かりやすいのは、システムの可用性を担保した上でのパッチ適用の実現です。

 例えば、ミッションクリティカルなシステムで脆弱性が発覚し、そのパッチを適用するにはシステムを停止しなければならない場合、ビジネスサイドの都合や要望も視野に入れながらパッチ適用を検討する必要があり、AIを用いても自動化することは困難です。しかし、システムを稼働しながらパッチを適用できるのであれば、セキュリティ上の観点のみで判断することが可能となります。

 例えば、最新のデータベース製品には、ノンストップでのパッチ適用を可能にする仕組みを取り入れることで、パッチ適用の自動化をはじめ、運用の自律化を果たしているようなものも存在します。

 このように、AIの価値を最大化するためには、それに合わせてサービスやシステムを最適化することも重要です。

未知の攻撃手法への対処で期待されるテクノロジー

 なおAIについては、防御側にとって有利に働く技術になる可能性が高いと考えています。まず、AIを活用して運用を自動化すれば、前述したようにヒューマンエラーに起因するセキュリティ上のリスクを排除することが可能です。

 また、脆弱性への対応にAIを利用すれば、新たな脆弱性の発見からパッチの開発・提供に至るまでのサイクルを大幅に短縮することにつながり、脆弱性を突いた攻撃に対して迅速に対処することも可能になるでしょう。

 このAIのテクノロジーの中でも、特に期待されるのがGAN(Generative Adversarial Network)です。既存の機械学習では学習のために必要な情報を「教師データ」としてあらかじめ準備する必要がありますが、GANではAI同士が問題を出し合うようにしてトレーニングを行う仕組みにより、教師データの用意にかかる労力を大幅に削減することができます。

 サイバー攻撃への対処にAIを使うことを考えた場合、教師データの準備が迅速な対応を図る上でのボトルネックになりかねないことを考えると、その手間を削減できるGANのメリットは極めて大きいと言えます。

 さらにGANを利用すれば、AI同士がせめぎ合う中で、それまでのサイバー攻撃では使われていない未知の攻撃手法をAI自身が“発見”する可能性も生まれます。これにより、新たな攻撃手法であっても適切に検知して対応することも期待できるでしょう。

 ただ攻撃側もAIを利用することが考えられるため、単純にAIを使えばセキュリティを強化できるとは言えません。確かにAIは防御側に有利な技術であると考えられますが、その優位性を保つためにはGANをはじめとした最新の技術を活用し、攻撃側に先回りして防御力を高めるかを追求する姿勢が欠かせないでしょう。

セキュリティにおける投資判断は経営トップの専権事項

 今後、サイバー攻撃の手法が高度化し洗練していくのは間違いなく、さらに攻撃自体の自動化が進むことなどにより、これまで以上に多くの企業が被害を受ける可能性は高いと考えられます。

 このような背景から、企業におけるセキュリティ対策の重要性が増加し続けるのは間違いありません。しかし、そこで難しいのはセキュリティに対する投資判断です。そもそもセキュリティへの投資は利益を生み出すものではなく、情報漏えいなどといったネガティブな事象を回避するものでしかありません。そのため、リターンから投資額を判断するなど、何らかの基準を定めて定量的に判断するといったことは困難です。

 そこで重要となるのが自社のビジネス戦略やポリシー、あるいは経営哲学です。それらに基づいてサイバー攻撃が自社のビジネスに与える影響を見極め、適切な投資額を判断していくことが必要でしょう。この判断はCISO(Chief Information Security Officer)やCRO(Chief Risk Officer)といったポジションの範疇で考えるのではなく、経営トップが自らの責任において判断していく必要があるのではないでしょうか。CISOやCROは、その判断に基づいて組織を動かし、セキュリティ対策を進めていくという役割を担うという形です。

 ただ経営トップがサイバー攻撃の現状やセキュリティ対策のトレンドまでを把握することは現実的ではありません。このため、CISOやCRO、あるいは情報システム部門などが積極的に情報を収集し、ここで解説したクラウドやAIの活用などを含め、効率的にセキュリティ対策を講じていく必要があるでしょう。

著者プロフィール:

  • 日本オラクル株式会社 執行役員 クラウド・インサイト本部長 内山憲
  • アーサー・アンダーセン・ビジネス・コンサルティングやマッキンゼー・アンド・カンパニーなどで金融業界や自動車産業、小売業界などに対しての企業コンサルティングに従事。その後、Mastercardの事業部門であるMastercard Advisorsで日本地区責任者を担当し、日本における同社のビジネスを牽引した。2018年6月より現職。