MITが、ディープラーニングによるサイバーセキュリティの変革について調査
あらゆる組織やDeep Instinctを含むサイバーセキュリティベンダーは、より賢く、より速く、より企業経営にダメージを与える攻撃を仕掛けているランサムウェアグループとの技術革新競争にさらされています。攻撃は、サンドボックス検知や敵対的AIさえ使用して回避能力を強化しているため、より賢くなっています。攻撃のスピードアップも顕著で、最近の調査では、最速のランサムウェア脅威であるLockBitは6分以内に暗号化できることが明らかにされています。また、研究者は、脅威者が政府組織やサプライチェーンを標的とすることが増えており、ランサムウェア攻撃が2021年に105%急増したことも発表しています。
では、人的・資金的リソースが無限にあるように見える悪質な攻撃者に対して、我々どのように対抗すればよいのでしょうか。Deep Instinctとの提携により新たに発表されたMIT Technology Review Insightsでは、代表的なソリューションであるディープラーニング主導のマルウェア防御について考察しています。
サイバーセキュリティ業界へのディープラーニングの応用は、多くのツールが未知の脅威を検知・防止できないため、企業にとって特に大きなリスクとなる時期に来ています。MITは、International Data Corporation(IDC)のResearch Vice President, Security and TrustであるMichael Suby氏にインタビューを行い、攻撃、エンドポイント、エンドユーザー自体の進化について言及し、「悪質な攻撃者にとって、エンドポイントに侵入、潜伏、そしてそれを使って一連の攻撃を行うという仕組みができあがっている」と述べています。
人工知能(AI)の最も進んだ形態であるディープラーニングは、50年以上前から存在していましたが、スーパーコンピューティングとクラウドの進歩のおかげで、現在では産業構造をも作り替えるような破壊的変化を牽引する存在となっています。ディープラーニングは、自律走行車(Tesla)、音声認識(Siri)、推薦エンジン(Netflix)、言語ツール(Google翻訳)など、21世紀で最も重要なイノベーションの中核を担っており、脅威防止への活用は、サイバーセキュリティのパラダイムを変え、防衛側に有利になることが期待されています。
MITのTechnology Reviewでは、ディープラーニングの起源、サイバーセキュリティ攻撃のコスト、企業向けアプリケーションにおけるディープラーニングの採用について検証しています。また、現在多くのEDRおよびEPP技術を支えている機械学習と、Deep Instinctが先駆的に採用しているディープラーニングとの主な違いについても詳しく解説しています。
また、リアルタイムの予防を第一とするアプローチにおける組織およびコスト上の利点を分析し、日々の運用における複雑さの課題についても触れています。並行して、Deep InstinctのCEOであるGuy Caspiは、論文の中で新しい技術アプローチだけにとどまらない必要性などをさまざまな視点で伝えています。彼は、「私たちが敵の先を行くには、世界を検知よりもまずは予防という考え方に変える必要がある 」と説明しています。
すべての組織がディープラーニングを活用したサイバーセキュリティ ソリューションへの投資を始めているわけではありませんが、投資している組織はすでにその恩恵を受けています。MITは、Honeywell Building Technologies(HBT)の副社長兼ゼネラルマネージャーであるMirel Sehic氏と会談し、「ディープラーニングは、ブラックリスト、ヒューリスティックベース、または標準的な機械学習アプローチよりも優れている」と述べています。
この視点は、他のDeep Instinctのお客様も共有しており、ベンチマークや価値実証(POV)において、次のように観察しています:
- Deep Instinctは、既存のツールよりも大幅に多くのマルウェアを防止
- マルウェアは、実行後ではなく、実行前(20ミリ秒以下)に検知
- 武器化されたPDFやExcelファイルなど、特定のマルウェアの配信手段は、独自のツールでは捕捉されなかったが、Deep Instinctでは阻止された
- Deep InstinctによるCPU消費量は、既存のツールと比較して著しく低い(Unit 221Bの調査レポートでも指摘されている)
Deep Instinctの導入後、顧客は以下のような恩恵を受けています:
- アラートレベルの大幅な低下:誤検知の低下
- 高度なマルウェア分類による脅威情報の詳細化
- 数週間に一度の更新から年に数回の更新になり、チーム管理が軽減
- 阻止した具体的な攻撃の詳細と、脅威の分析に関する定期的な報告書
既存の技術やSecOpsチームのやり方を変えるには、ある程度の時間と労力が必要ですが、それによるメリットは永続的に得ることができます。
ディープラーニングとそれがサイバーセキュリティにどのように適用されているかを知る入門書として、MITの研究は素晴らしい出発点です。