高精度な判定モデル生成にまつわる課題を解消、数時間~数日間かかる判定作業を数十秒~数分に短縮
サイバー攻撃への対処要否をAIが自動判断、富士通研が開発
2019年01月23日 13時30分更新
富士通研究所は2019年1月22日、企業や組織がサイバー攻撃を受けた際、対処が必要かどうかをAIが自動判断する技術を開発したと発表した。膨大なログから標的型攻撃の操作データのみを抽出する技術、抽出した攻撃操作データを変化させ4倍量に拡張する技術の2つを開発し、高精度な判定モデルを生成するために必要な学習データを確保できるようにした。
近年は企業や組織をターゲットとした標的型攻撃が多発しているが、現在のところ、セキュリティ機器が不審な活動を発見した場合は、セキュリティ専門家が手作業で大量のログを調査/確認し、封じ込めや根絶、システム復旧などの対処が必要となる危険な攻撃かどうかを判断している。対処を行えばシステム停止や再構築作業が生じ、業務にも大きな影響を与えるため慎重な判断が必要だが、そのぶん時間がかかっていた。
今回発表された技術は、この対処要否の判断にAI技術を適用し自動化することで、判断にかかる時間を「数時間~数日間」から「数十秒~数分」レベルに短縮するもの。具体的には、対処要否を判断する高精度な判定モデルを生成するための「学習データの抽出技術」および「学習データの拡張技術」となる。
こうした判断の自動化を実現するためには、AIの学習データとして用いる標的型攻撃の操作ログが大量に必要だ。しかし、システム/ネットワーク機器に記録された大量のログには正規操作のログも混在しており、そこから攻撃操作のログだけを選別することが難しかった。同時に、こうして入手できる攻撃操作のログはわずかな量であり、精度の高いモデルを生成できる十分な量のデータを用意することも課題だった。ノイズ付加などの加工/変換でデータ量を増やすテクニックも存在するが、標的型攻撃のデータは単純な加工処理をすると攻撃性(攻撃操作の特徴)が失われる場合もあるという。
富士通研究所ではまず、これまでのセキュリティ関連研究/業務で培ったノウハウを生かし、攻撃分析で得られたおよそ7年間ぶんの実績データから、標的型攻撃の諜報活動につながるコマンドや引数といったパターンを「攻撃パターンデータベース」として構築した。これを利用することで、正規の操作も含まれる膨大なログから、攻撃者の諜報活動にまつわる一連の操作を正確に特定、抽出することを可能にしている。
また、上記の技術で抽出された一連の諜報活動操作から攻撃性の高い重要なコマンドを特定し、その引数を攻撃パターンデータベースに存在する範囲で変化させた擬似的な攻撃データを自動生成することで、モデルの精度を損なわないかたちで学習データ量を4倍に拡張する。
富士通研究所によると、今回開発した技術を適用して生成した学習データを用いた判定モデルの評価実験では、セキュリティ専門家が手作業で分析した結果との一致率が「約95%」となり、ほぼ同等の対処要否判断が実現した。また、情報通信研究機構(NICT)が運用するサイバー攻撃誘引基盤「STARDUST」における実証実験で、企業を狙った実際のサイバー攻撃に対し「対処が必要な攻撃事案」であることを自動判断できたという。
富士通研究所では、今回開発した技術によって対処の要否判断が数時間~数日間から数十秒~数分へと短縮され、また専門家の手作業からAIの自動判断へと効率化されるとしている。今後、、標的型攻撃の影響範囲を短時間で分析する同研究所の「高速フォレンジック技術」とも組み合わせ、サイバー攻撃の対処基盤としてマネージドセキュリティサービスなどでの活用を目指すと述べている。