Cloud CISO の視点: サイバーセキュリティに関する 3 つの有望な AI 活用事例

※この投稿は米国時間 2024 年 6 月 19 日に、Google Cloud blog に投稿されたものの抄訳です。

2024 年 6 月最初の「Cloud CISO の視点」をお読みいただきありがとうございます。今回は、サイバーセキュリティ分野における有望な AI 活用事例を 3 つ紹介します。

これまでのすべての「Cloud CISO の視点」と同様、このニュースレターのコンテンツは Google Cloud 公式ブログに投稿されます。このニュースレターをウェブサイトでご覧になっており、メール版の受信をご希望の方は、こちらからご登録ください。

--Google Cloud、TI セキュリティ担当 VP 兼 CISO、Phil Venables

サイバーセキュリティに関する 3 つの有望な AI 活用事例

Google Cloud、TI セキュリティ担当 VP 兼 CISO、Phil Venables

私は長い間、AI がサイバーセキュリティを劇的に変化させ、長期的には防御側に利益をもたらす可能性があると考えてきました。Google Cloud では、これまでセキュリティの専門家が多大な労力を費やしてきたタスクを AI によって自動化することで、防御側が迅速に対応できるようになると考えています。

完全な自動化という目標に到達するのはまだこれからですが、サイバーセキュリティ分野で補助的な機能を提供する AI の有望な活用事例はすでにいくつか出てきています。今注目すべき 3 つの事例は、マルウェア分析、要約と自然言語検索によるセキュリティ運用チームの支援、そして AI によるパッチ適用プロセスの迅速化です。

Gemini 1.5 Pro は、100 万トークンのコンテキスト ウィンドウのおかげで、マルウェア コードを単一パスで常に 30～40 秒で処理できました。これはテストした他の基盤モデルでは不可能なことであり、多くの場合、分析精度が低くなります。Gemini 1.5 Pro のテストには、WannaCry のマルウェア ファイルを逆コンパイルしたコード全体などをサンプルとして使用しました。単一パスで分析でき、分析結果の提供とキルスイッチの特定にかかった時間は 34 秒でした。

Gemini 1.5 Pro で複数の既知のマルウェア ファイルを調べて、逆コンパイルや逆アセンブルを行ったコードをテストしたところ、毎回驚くほど正確で、人が読める言語で要約されたレポートが生成されました。

Google と Mandiant の専門家はテストの報告書の中で、「Gemini 1.5 Pro は、VirusTotal で当時の検出がゼロだったコードを正確に判断することもできました」と述べています。最近、Google は Gemini 1.5 Pro で 200 万トークンのコンテキスト ウィンドウをサポートすることを発表しました。これにより、防御側により良い成果をもたらすよう取り組むなかで、マルウェア分析を引き続き大規模に変革することができます。

AI を使用して SecOps チームを支援

セキュリティ運用チームは現在、膨大な手作業を必要としています。AI を使用することでそうした労力を軽減し、新しいチームメンバーのトレーニングを迅速に行い、脅威インテリジェンスの分析やケース調査のノイズの選別など、多くのプロセス集約的なタスクを要約によって加速することができます。また、セキュリティの取り組みのニュアンスを理解するモデルも必要です。セキュリティに特化した AI API の SecLM では、複数のモデル、ビジネス ロジック、検索、グラウンディングが統合され、セキュリティ固有のタスク向けに調整された包括的なシステムとなっています。この API は、Google DeepMind による AI の最新の進歩や、業界をリードする Google の脅威インテリジェンスとセキュリティ データの賜物です。

AI で SecOps を強化する有益な方法として、新しいチームメンバーの研修を支援することが挙げられます。AI が自然言語クエリを強化するため、たとえば、独自の SecOps プラットフォームのクエリ言語を覚える必要なく、常に確かな検索クエリを生成できるようになります。

Pfizer や Fiserv のようなお客様は、Gemini in Security Operations で自然言語クエリを使用することで、新しいチームメンバーの研修を迅速に行い、アナリストが迅速に答えを見つけられるようにし、セキュリティ運用プログラムの全体的な効率を向上させています。

同様に、AI 生成の要約では、脅威の調査をまとめたり、複雑な情報を明確かつ簡潔な自然言語で説明したりする時間を節約できます。ある大手多国籍専門サービス企業の情報セキュリティ担当ディレクターは Google Cloud に対し、Gemini in Threat Intelligence が提供する AI 要約は、関連性の高い当事者や関係する当事者の詳細、標的にしている地域など、脅威アクターの概要の草案作成に役立つと話しています。

そのお客様によると、「情報の流れが非常にスムーズになり、必要な情報を短時間で収集できるようになった」とのことです。

AI は、調査の要約を生成するためにも役立ちます。セキュリティ オペレーション センターのチームは増え続けるデータを管理する必要があるため、イベントの検出、検証、対応をこれまで以上に迅速に行えるようにすることが不可欠です。自然言語検索と調査の要約は、チームが膨大なアラートの中からリスクの高いものを見つけ出して対策を講じるために、大いに役立ちます。

AI を使用してセキュリティ ソリューションを拡大

Google のセキュリティ向けの ML を担当するチームは、研究者やデベロッパーがファジングの脆弱性発見能力を向上させることができるファジング フレームワークを、無料のオープンソース ツールとして 1 月に公開しました。チームはより多くの脆弱性を発見することを目標として、ファジングのカバレッジを向上させることができるプロジェクト固有のコードを作成するよう AI 基盤モデルに指示しました。これは OSS-Fuzz（オープンソース プロジェクトのためにファザーを実行し、脆弱性が検出されたときは非公開でデベロッパーに警告する無料サービス）に実装されました。

試験運用は成功しました。AI に生成させてファジングのカバレッジを拡大したことで、OSS-Fuzz は 300 を超える OSS-Fuzz プロジェクトをカバーできるようになりました。また、すでに何年もファジングを行っている 2 つのプロジェクトで新たな脆弱性が見つかりました。

チームは「完全に LLM で生成したコードがなければ、この 2 つの脆弱性は発見されず、いつまでも修正されなかった可能性がある」としています。

脆弱性に対するパッチ適用にも AI が活用されました。チームはソフトウェアに脆弱性がないか分析する基盤モデルのために自動化パイプラインを構築し、モデルにパッチを生成させ、最終的に修正をテストしてから、人間による確認のために最適な候補を選びました。

脆弱性の追跡と修正に AI を活用する可能性が増し、重要性が高まっていることは明らかです。作り込まれた AI ツールは、一連のメリットを積み重ねることで、つまり一体となって生産性を飛躍的に向上させる小さな改善を積み重ねることで、セキュリティを変革することもできます。

AI 基盤モデルが責任を持って開発されるようにするには、効果を最大化しリスクを軽減するために、セキュア AI フレームワークまたは同様のリスク管理基盤によって管理する必要があると Google は考えています。

さらに詳しく知りたい方は、CISO オフィスにお問い合わせのうえ、セキュリティ リーダー向けのイベントにご参加ください。また、AI を活用したセキュリティに関するプロダクト ビジョンについては、6 月 26 日に開催される Security Talks イベントで詳しくご紹介します。

その他の最新情報

セキュリティ チームからこれまでに届いた今月のアップデート、プロダクト、サービス、リソースに関する最新情報は以下のとおりです。

• AI とサイバーセキュリティの交差に関する最新情報をご紹介する Google Cloud Security Talks にぜひご参加ください: 6 月 26 日に、Google Cloud や幅広い Google セキュリティ コミュニティからエキスパートが一堂に会し、さまざまな知見やベスト プラクティスのほか、セキュリティ ポスチャーを強化する実践的な戦略をご紹介します。詳細はこちら。
• 即断即決: AI でサイバーセキュリティにおける OODA ループの効果が高まる仕組み: 取締役会で長年使われてきた OODA ループは、リーダーがより良い意思決定を迅速に行うために役立ちます。AI を活用して OODA ループをさらに効果的にしましょう。その方法をご紹介します。詳細はこちら。
• Google が Forrester Wave の Cybersecurity Incident Response Services Report でリーダーに: Google は、The Forrester Wave: Cybersecurity Incident Response Services Report（2024 年第 2 四半期）においてリーダーに選出されました。レポートの詳細をご覧ください。詳細はこちら。
• 新しい Privileged Access Manager を使用して常時オンの特権からオンデマンド アクセスに移行: 過剰な権限や昇格されたアクセス権の誤用に関連するリスクを軽減するために、Google Cloud の組み込み機能、Privileged Access Manager をリリースしました。詳細はこちら。
• Assured Workloads を使用して FedRAMP High に対応したネットワークを構築する方法: FedRAMP High に対応したネットワーク アーキテクチャを安全にデプロイするためのベスト プラクティスをいくつかまとめました。これらをぜひご活用ください。詳細はこちら。
• BigQuery と Sensitive Data Protection を併用した暗号化と復号: BigQuery が Sensitive Data Protection と統合され、相互運用可能な確定的暗号化および復号を実行するネイティブ SQL 関数がサポートされるようになりました。詳細はこちら。
• Google Sovereign Cloud によって、選択というメリットがヨーロッパのお客様にもたらされている仕組み: Google Sovereign Cloud と、お客様、現地の主権パートナー、政府、規制機関とのコラボレーションが発展しています。その仕組みをご覧ください。詳細はこちら。

脅威インテリジェンスに関するニュース

• 脅威アクターによって Snowflake の顧客インスタンスがデータ窃盗と恐喝の標的に: Mandiant は、金銭的動機による脅威キャンペーンで、データ窃盗と恐喝を目的として Snowflake の顧客データベース インスタンスが標的となったケースを確認しました。詳細はこちら。
• ブラジルのユーザーと企業を標的とするサイバー脅威の分析情報: 世界情勢におけるブラジルの経済的および地政学的な役割が高まり続ける中、脅威アクターはさまざまな動機から、ブラジルの人々が社会のあらゆる側面で依存しているデジタル インフラストラクチャを悪用する機会をさらに追求するでしょう。詳細はこちら。
• ゴールドのフィッシング: 2024 年パリ オリンピックにサイバー脅威が迫っている: Mandiant は、パリ オリンピックでサイバー エスピオナージ、破壊活動、金銭目的の活動、ハクティビズム、情報工作などのサイバー脅威活動のリスクが高まっていると、高い確度で評価しています。詳細はこちら。
• ランサムウェアの再燃: 2023 年に恐喝の脅威が急増: Mandiant は、2023 年にランサムウェアの活動が 2022 年より増加したことを確認しました。これはデータ漏洩サイトへの投稿が大幅に増えたことと、Mandiant が主導したランサムウェア調査の数に中程度の増加が見られたことに基づいています。詳細はこちら。

Google Cloud セキュリティおよび Mandiant のポッドキャスト

• Google on Google Cloud: Google が自社のクラウド利用を保護する方法: Google は自社のクラウドを利用していますが、明らかに独自の立場をとっています。Google はクラウドの他のお客様と何が似ていて、何が違っているのでしょうか。そうした要因は、クラウド セキュリティのアプローチにどのような影響を与えるでしょうか。Google のパブリック クラウド利用を担当するプリンシパル ソフトウェア エンジニアの Seth Vargo が、ホストを務める Anton Chuvakin、Tim Peacock とともにクラウドについて考察します。ポッドキャストを聴く。
• 公共部門から Threat Horizons へ、Crystal Lister のご紹介: Google のテクニカル プログラム マネージャーである Crystal Lister が、公共部門から Google Cloud Security へ、そして Threat Horizons レポートの指揮を執るまでに至るキャリアパスについて、Anton と Tim の両人と語ります。ポッドキャストを聴く。
• 防御側の優位性: クラウドの侵害への対応から得た教訓: Mandiant のコンサルタントである Will Silverstone 氏と Omar ElAhdan 氏が、2023 年におけるクラウドの侵害の傾向に関する調査について、ホストの Luke McNamara と語ります。ポッドキャストを聴く。

月 2 回発行される「Cloud CISO の視点」をメールで受信するには、こちらからニュースレターにご登録ください。また 2 週間後に、Google Cloud からセキュリティ関連の最新情報をお届けします。

ー Google Cloud、TI セキュリティ担当 VP 兼 CISO Phil Venables