Connect with us

進化する攻撃が旧式の防御を凌駕するとき:なぜ今、積極的なAIセキュリティが必要なのか

ソートリーダー

進化する攻撃が旧式の防御を凌駕するとき:なぜ今、積極的なAIセキュリティが必要なのか

mm
Published
Updated

現在、セキュリティに関わる仕事をしているなら、常に後追いをしているように感じているのではないでしょうか。ニュースでは新たな侵害が報じられ、新種のランサムウェアの話が持ち上がり、防御側が予想していなかった巧妙な手口が次々と現れています。その一方で、多くの保護策は依然として、ネットワークに明確な境界があり、攻撃者の動きがもっと遅かった古いインターネット時代の考え方に依存しています。

これは単なる感覚ではないことを数字が示しています。最新の IBM Cost of a Data Breach Reportによると、2024年のデータ侵害の世界的な平均コストは488万ドルで、前年の445万ドルから増加しています。この10%の上昇はパンデミック期以来最大の急増であり、セキュリティチームがツールや人員にさらに投資しているにもかかわらず発生しています。

2024年の Verizon Data Breach Investigations Reportは、30,000件以上のインシデントと10,000件以上の確認された侵害を分析しています。この報告書は、攻撃者が盗まれた認証情報、Webアプリケーションの悪用、および口実工作などの社会的行動に依存していることを強調し、組織がパッチリリース後、重大な脆弱性の半分を修正するのに平均約55日を要していることを指摘しています。この55日間は、継続的にスキャンを行う攻撃者にとって非常に都合の良い時間枠です。

欧州では、2023年の ENISA Threat Landscape報告書も、ランサムウェア、サービス拒否、サプライチェーン攻撃、ソーシャルエンジニアリングが混在する深刻な状況を指摘しています。サプライチェーンインシデントに焦点を当てた別のENISA調査では、2021年のそのような攻撃は2020年の約4倍に達した可能性があり、この傾向は上昇を続けていると推定されています。 

つまり、状況は単純ですが居心地の悪いものです。ツールが改善されているにもかかわらず、侵害はより一般的に、より高額に、より複雑になっています。多くの組織が依然として防御を行う方法において、構造的な何かがうまくいっていません。

なぜ従来のセキュリティモデルが遅れをとっているのか

長い間、サイバー防御のイメージは単純でした。明確な内部と外部がありました。ファイアウォールやフィルターで強固な境界を構築します。エンドポイントにアンチウイルスを導入し、既知の悪意のあるシグネチャを探します。ルールを調整し、アラートを監視し、何か明白なものが発火したときに反応します。

このモデルは、現在の世界では3つの大きな問題を抱えています。

第一に、境界はほぼ消滅しています。人々は管理されたデバイスと管理されていないデバイスを混在させて、あらゆる場所から働いています。データはパブリッククラウドプラットフォームやSaaSツールに存在します。パートナーやサプライヤーは内部システムに直接接続します。ENISAのサプライチェーン調査のような報告書は、侵入が中央サーバーへの直接的な正面攻撃ではなく、信頼できるパートナーやソフトウェア更新を通じて開始されることがいかに多いかを示しています。

第二に、既知のシグネチャへの焦点は巨大な盲点を残します。現代の攻撃者は、カスタムマルウェアと、防御側が「Living off the Land」と呼ぶ手法を組み合わせます。彼らは組み込みのスクリプトツール、リモート管理エージェント、日常的な管理操作に依存します。各ステップを単独で見れば無害に見えるかもしれません。単純なシグネチャベースのアプローチでは、特に攻撃者が各キャンペーンで細部を変更する場合、より大きなパターンを見逃してしまいます。

第三に、人間は過負荷状態です。Verizonの報告書は、脆弱性の悪用が現在ネットワークへの主要な侵入経路となっており、多くの組織がパッチを十分に速く適用するのに苦労していることを示しています。IBMの調査は、検出と封じ込めに時間がかかることが侵害コストが上昇し続ける主な理由であると付け加えています。アナリストは大量のアラート、ログ、手動トリアージに埋もれている一方で、攻撃者は可能な限り自動化を進めています。

つまり、より速く、より自動化された攻撃者と、依然として手動調査と古いパターンに大きく依存している防御者がいるのです。その隙間に人工知能が入り込んできます。

攻撃者はすでにAIをチームメイトとして扱っている

セキュリティにおけるAIについて人々が話すとき、彼らはしばしば悪意のある行為者を捕らえるのに役立つ防御ツールを想像します。現実には、攻撃者も同様に熱心にAIを利用して作業を容易にしています。

Microsoft Digital Defense Report 2025は、国家支援グループがどのようにAIを利用して合成メディアを作成し、侵入キャンペーンの一部を自動化し、影響力作戦を拡大しているかを説明しています。別の Associated PressによるMicrosoft脅威インテリジェンスの要約は、2024年半ばから2025年半ばにかけて、AI生成の偽コンテンツに関連するインシデントが200件以上に増加し、前年の2倍以上、2023年に見られた数の約10倍に達したと報告しています。

実際には、これはネイティブスピーカーが書いたような、好きな言語でのフィッシングメッセージのように見えます。また、攻撃者が上級リーダーや信頼できるパートナーを装うのを助けるディープフェイクの音声やビデオのように見えます。AIシステムが盗まれた大量のデータを選別し、あなたの環境、スタッフ、第三者に関する最も価値のある詳細を見つけているように見えます。

最近の Financial Timesのサイバー攻撃におけるエージェント型AIに関する記事は、AIコーディングエージェントが偵察からデータ窃取までのほとんどのステップを限られた人間の入力で処理した、ほぼ自律的な諜報活動さえも描写しています。その特定の事例についてどう感じるにせよ、進む方向は明らかです。攻撃者は、退屈な作業部分をAIに任せることを非常に喜んでいます。

攻撃者がAIを利用してより速く動き、より巧みに溶け込み、より多くの標的を攻撃するのであれば、防御者は従来の境界ツールと手動のアラートトリアージだけで十分であると期待することはできません。防御にも同様の知性を持ち込むか、さもなければギャップは広がり続けます。

反応的な防御から積極的なセキュリティ思考へ

最初の真の変化は技術的ではなく、精神的なものです。

反応的な姿勢は、明確な問題の兆候を待ってから対応できるという考えに基づいて構築されています。新しいバイナリが検出される。トラフィックが既知のパターンに一致するためアラートが発火する。アカウントに明らかな侵害の兆候が現れる。チームが飛び込み、調査し、クリーンアップし、おそらくそのパターンが再び機能しないようにルールを更新します。

攻撃が遅く稀な世界では、これで十分かもしれません。しかし、絶え間ない探査、迅速に動く悪用、AI支援キャンペーンが存在する世界では、手遅れです。単純なルールが発火する頃には、攻撃者はしばしばあなたのネットワークを探索し、機密データに触れ、代替経路を準備していることが多いのです。

積極的な姿勢は異なる場所から始まります。あなたは常に敵対的なトラフィックに接触されていると仮定します。いくつかの制御は失敗すると仮定します。異常な行動をどれだけ速く発見できるか、どれだけ速く封じ込められるか、そしてそこからどれだけ一貫して学べるかを重視します。その枠組みでは、核心的な質問は非常に実用的なものになります。

  • 主要なシステム、アイデンティティ、データストアに対する継続的な可視性はありますか?

  • 既知の悪意のあるシグネチャだけでなく、通常の行動からの小さな逸脱に気づくことができますか?

  • その洞察を、チームを疲弊させることなく、迅速で繰り返し可能な行動に結びつけることができますか?

AI自体が解決策ではありませんが、現代の環境が要求する規模でこれらの質問に答えるための強力な方法です。

AI駆動型のサイバーセキュリティ態勢とはどのようなものか

AIは、脅威に対する単純な「はい」か「いいえ」の見方から、より豊かで行動ベースの全体像へと移行するのに役立ちます。検出側では、モデルはアイデンティティ活動、エンドポイントテレメトリ、ネットワークフローを監視し、あなたの環境にとって何が正常に見えるかを学習できます。既知の悪意のあるファイルをブロックするだけでなく、アカウントが通常とは異なる場所から通常とは異なる時間にログインし、以前に触れたことのないシステムにピボットし、その後大量のデータの移動を開始したときにフラグを立てることができます。個々のイベントは見落としやすいかもしれませんが、組み合わされたパターンは興味深いものです。

露出側では、AI支援ツールは実際の攻撃対象領域をマッピングできます。パブリッククラウドアカウント、インターネットに接続されたサービス、内部ネットワークをスキャンして、忘れられたテストシステム、設定ミスがあるストレージ、公開された管理パネルを見つけることができます。これらの発見を生のリストではなく、実用的なリスクストーリーにグループ化できます。これは、チームが中央の監視なしに独自のモデルやツールを立ち上げる「シャドウAI」が組織内で成長している中で特に重要です。この傾向は、IBMがより最近の Cost of a Data Breach研究で重大なリスク領域として指摘しています。 

対応側では、AIはより速く、より一貫して行動するのに役立ちます。一部のセキュリティオペレーションセンターはすでに、AI支援システムを利用してリアルタイムで封じ込め手順を推奨し、人間のアナリストのために長い調査タイムラインを要約しています。米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、 人工知能リソースにおいて、AIが異常なネットワーク活動を検出し、連邦システム全体の大量の脅威

Related Topics:
mm

//www.motomtech.com/">MotomtechのCEOであり、北米およびヨーロッパのクライアント向けにAI駆動のソフトウェア製品を設計・構築するチームを率いています。製品戦略と応用機械学習の交差点で活動し、組織が現実世界の問題を実用的なAIソリューションへと転換することを支援しています。