OKI、Webアクセス監視を自社エンジンとAIで効率化する攻撃監視システムを開発

OKI
日々の監視・調査結果をAIが学習し、セキュリティ監視業務を効率化


OKIは、サイバー攻撃による情報漏洩の脅威に対してAIを搭載した攻撃監視システムを開発し、当社セキュリティ監視業務での利用を開始しました。本システムはWebサイトへのアクセスを監視して調査すべき不審な端末を絞り込むものであり、OKIが長年の業務で培った攻撃監視ノウハウとAIを組み合わせて、条件検索では発見が困難だった攻撃の疑いを検知します。本システムを利用することにより、攻撃監視能力が最大で27倍向上（当社セキュリティ業務における本システム利用前後で比較）し、監視業務の高度化と効率化が実現できます。



近年、サイバー攻撃の脅威が増大し、その手口は高度化・巧妙化しています。このような攻撃から企業等の組織が情報資産を守るためには、平時から不正アクセスの兆候を検知することが重要です。しかし、膨大なアクセスから不正の兆候を見つけることは技術的に極めて困難であり、不審な挙動を網羅的に調査するには膨大な作業工数が必要です。

今回OKIが開発したシステムは、Webサイトへのアクセスを対象に2段階で攻撃の疑いを検知します。1段目では、多数の検知シナリオを持つOKI独自のルールエンジンで攻撃の疑いを検知し、その結果を集計することで、端末ごとの振る舞いを特徴化します。2段目ではAIを用いて、マルウェアの共通的な挙動やセキュリティ監視者の攻撃判断結果に基づく学習モデルにより、調査すべき端末を絞り込みます。さらに日々の監視業務における攻撃判断結果をAIが学習し、より攻撃の疑いが強い不審な振る舞いを可視化します。

これにより膨大なWebアクセスを対象とした攻撃監視業務を効率化し、情報漏洩につながる不正の兆候を早期に調査することが可能となります。

OKIは今後、本システムの試行数を増やすべく共創パートナーを募って実証実験を進め、検知性能の向上を図っていきます。

攻撃監視システムの主な特長
1. 端末ごとの振る舞いに基づいた攻撃検知
本システムは、OKIが攻撃監視業務で培ってきた知見やマルウェアの挙動を元に、膨大なWebアクセスに埋もれた攻撃の疑いを検知します。これらの検知結果は端末・時間ごとに集計され、検知された複数の攻撃の疑いの関連性を元に、詳細調査すべき端末を絞り込みます。（図2）



2. AI検知要因の説明による監視者支援
本システムは、2段目の、AIにより検知された端末にどのような攻撃の疑いがあるかを、1段目のルールベースエンジンの検知結果をもとに、監視者に説明します。また、監視者はAIエンジンがその端末のどのような振る舞いの特徴を攻撃として検知したかを確認し、調査すべき観点を把握することができます。（図3）



3. 攻撃判断結果のフィードバックによる自動検知（攻撃判断結果に基づいた学習モデル）
セキュリティ監視者は、2段階の検知により絞り込まれ、ダッシュボード上に可視化された不審な端末について調査を行い、攻撃の有無を最終判断します。この攻撃判断結果をAIの学習用データとして利用することにより、セキュリティ監視者の知見をシステムに取り込み、日々の監視業務を通じて、利用環境に応じた検知性能の向上を実現します。（図4）





沖電気工業株式会社は通称をOKIとします。
その他、本文に記載されている会社名、商品名は一般に各社の商標または登録商標です。


本件に関する報道機関からのお問い合わせ先
広報部
e-mail：press@oki.com
お問い合わせフォーム
https://www.oki.com/cgi-bin/inquiryForm.cgi?p=015j
本件に関するお客様からのお問い合わせ先
イノベーション推進センター　ネットワーク技術研究開発部
電話：06-6260-0700（代表）