コンテンツに移動
セキュリティ & アイデンティティ

脅威インテリジェンスに AI による分析情報を活用

2023年5月9日
Google Cloud Japan Team

※この投稿は米国時間 2023 年 4 月 25 日に、Google Cloud blog に投稿されたものの抄訳です。

本日、サンフランシスコで開催された RSA Conference において、Google の新しい Security AI Workbench が発表されました。これは、昨今の大規模言語モデル(LLM)の進歩を活用し、脅威の増大、扱いにくいツール、人材ギャップというサイバーセキュリティにおける 3 つの大きな課題を解決することを目的としています。脅威インテリジェンスは、これら 3 つ課題すべてに直面している分野だと言えます。そして、LLM は、脅威インテリジェンスの運用方法を変革し、ビジネスのセキュリティ確保に貢献する能力を備えています。

Google Cloud は、次の 3 つの基本原則に基づいて脅威インテリジェンス サービスを提供しています。

信頼性: Mandiant Threat Intelligence が重要な情報を業界最先端の広さ、深さ、タイムリーさで提供していると信頼できます。

関連性: 脅威ランドスケープを組織ごとにパーソナライズし、個々のお客様に対する関連性を高めることで、影響を与える可能性が高い脅威の優先順位をお客様自身が決定できます。

実用的: 元データからセキュリティ管理までのエンドツーエンドのパイプラインを自動化することで、脅威インテリジェンスがさらに実用的なものになります。

信頼性に優れた脅威インテリジェンスを提供

AI の価値は、その運用のベースとなるデータによって決まります。LLM を使って、関連性が低いオープンソースのインテリジェンスを要約しても、お客様にとっては、そのデータを手作業でレビューする以上の価値はありません。そうすることで、すでにあふれている情報の波に、さらなるノイズを加えることにもなりかねません。

であるからこそ、専門家の調査チームと毎年 1,000 件以上の侵害データから得られた Mandiant の最前線のインテリジェンスと、インターネット全体の脅威に関する Google の優れた可視性を組み合わせることで、Google の AI ソリューションの強固な基盤が築かれています。Mandiant は、元の脅威データを実用的なインテリジェンスに変換するために、多くの自然言語処理(NLP)や ML のアプローチを長年にわたって採用してきました。昨今の LLM の進歩により、すでに市場をリードする存在であるインテリジェンス オペレーションの大幅な改善が実現しました。現在、以下の分野で取り組みを進めています。

言語やモダリティ全体でデジタル脅威をより効果的に追跡することで、カバーする範囲を拡大。世界規模の脅威アクターは、フォーラム、メッセージ サービス、ディープウェブ / ダークウェブなど、さまざまな手法で痕跡を隠します。LLM ベースのアプローチは、ディスカッション フォーラム、メッセージ サービス、従来の検索エンジンでは表示されないウェブサイト全体で、複数のモダリティや言語を扱うことを得意にしています。これにより、アナリストはこのような難読化の手口を大規模に見抜くことができるようになります。

データソース全体の可視性を組み合わせることで、より深い脅威インテリジェンスを提供。LLM は、複数のソース全体で関連性のある情報を特定することで、これまで広範な分析の妨げとなっていたデータのサイロ化を解消できます。これにより Mandiant のインシデント対応エンゲージメントで得られた脅威情報、Google のインターネット全域の脅威に対する可視性、公開情報、Mandiant の調査結果を組み合わせることができるため、より完全で状況に合わせた脅威インテリジェンスの枠組みを描くことができます。

元の脅威データを、機械が読め、かつ人間が読める形で、完成した脅威インテリジェンスに変換。LLM により、この自動化を次のレベルに引き上げることができます。つまり元の脅威データから、完成したインテリジェンス情報、新しい検出ルールへの変換まで、人間の専門家の監督の下ですべてのステップを自動化できるのです。これにより多くのケースで、お客様は数日や数週間どころか、数分で最新の進展をほぼ完成した状態で見ることができ、その分析情報を即座に運用に取り入れることができます。

脅威ランドスケープをパーソナライズし、最も関連のある脅威に焦点を当てる

脅威ランドスケープの多くは、ほとんどの組織には関連が薄いものです。だからこそ、すべてのお客様にとって、自組織に関連する脅威ランドスケープに焦点を当てることが不可欠なのです。脅威ランドスケープのパーソナライズは、以下の 2 つの方法で行えます。

パーソナライズされた脅威プロファイルを自動的に作成する

アナリストに AI ベースの自然言語検索を提供することで、脅威プロファイルの拡張を簡素化する

想像してみてください。組織のパーソナライズされた詳細な脅威ランドスケープが、社内外の新しい情報が入手可能になるにつれて進化し、自動的に導き出される様子を。LLM の力をもってすれば、夢物語ではありません。

ご自身の組織のパーソナライズされた脅威プロファイルが自動的に作成され、次のような質問をするシンプルな会話型インターフェースを用いて素早くクエリが実行できます。「この脅威はなぜ重大なのか?この攻撃者は同業他社にどんな影響を与えたか?この攻撃者は最近いつ活動した?どのような戦術、テクニック、手順を使用したのか?なぜ自社の環境が特に危険にさらされているのか?この攻撃活動、ツール、攻撃者によるリスクを軽減するために、どのようなアクションを取るべきか?」  

過去 24 時間に起きた変化に基づき、その日にどのようなセキュリティ対策を取るべきかの推奨事項を毎日共有することもできます。たとえば、脅威アクターがお客様の業界をターゲットにしており、お客様が攻撃対象となりうる新しい手法を使用しているとわかった場合、早急に対応措置を行えるよう通知が行われます。

脅威ランドスケープや環境に大きな変化があった場合、実行可能な次のステップが自動的に提供されます。

従来、このようなタイプのパーソナライズは、大規模で知識豊富な組織のみが利用可能でした。LLM を活用することで、Mandiant がこのレベルのパーソナライゼーションをすべてのお客様に大規模に提供することが可能になります。

LLM を使えば、検索を大幅に効率化できます。脅威に関する情報は数あれど、それらを整理し、分析情報を実用化するためには多くの労力を要します。LLM の要約機能により、脅威のトピックを完全に理解することが難しかった時代は終わりました。図 1 は、クエリに関連するさまざまな脅威インテリジェンスのアーティファクトを LLM を使い要約したものです。LLM の柔軟性をもってすれば、構造化されたインテリジェンスとともに、完成したインテリジェンス レポートの要約を提供し、さまざまなオーディエンスに合わせ、要約の範囲と技術的な深さをカスタマイズできます。

https://storage.googleapis.com/gweb-cloudblog-publish/original_images/fig1-ai-ml-rsa-2023.gif

図 1: Mandiant Threat Intelligence プラットフォームで動作する LLM ベースの要約機能。

現在、検索における LLM の活用を進めている最中ですが、近々会話型インターフェースのサポート開始を予定しています。これにより脅威ランドスケープを把握する労力を軽減し、スキルのハードルを下げることができます。こうした反復検索はステートフルで共有しやすいため、アナリスト同士の共同作業が容易になります。

脅威インテリジェンスをより実用的に

従来、脅威インテリジェンスに基づいてセキュリティ運用を行うことは負担の重いマニュアル タスクでした。そのため、ビジネスにおける脅威インテリジェンスの価値が制限されていました。脅威インテリジェンスに関する最近のグローバル調査によると、回答者のほぼ半数が、脅威インテリジェンスの適用を最大級の課題として掲げています。Mandiant は、お客様がセキュリティ プロダクトやワークフローにおいて、パーソナライズされた脅威インテリジェンスに基づいて容易に行動できるようにすることを重点に置いてきました。

現在提供している組み合わせの中で最もパワフルなものの一つとして、Chronicle Security Operations のイベントデータに Mandiant の世界クラスの脅威インテリジェンスを適用し、AI ベースのモデルを使用して、Mandiant がアクティブな侵害調査により追跡しているセキュリティ侵害インジケーター(IOC)をキュレートして優先順位を付けるという機能があります。Mandiant Breach Analytics for Chronicle は、図 2 で示すように、アクティブな侵害の兆候となるような未検知の一連のイベントを、優先順位を付けて提供します。

Breach Analytics for Chronicle により、お客様は新たな手法を使用する不正行為者をたやすく発見し、自社が次の被害者になる前に封じ込めることができます。AI ベースのモデルは、一致したものをキュレートし、優先順位を付け、Indicator Confidence Score(IC-Score)を割り当てます。これは、悪意のあるアクティビティへの使用に対する信用度を示します。

最近では、LLM を活用して、Mandiant 独自の膨大な研究のリポジトリから抽出したインジケーター / アクター / マルウェア コンテクストを要約し、SOC 内のセキュリティ アナリストに信頼性のある脅威インテリジェンスを提供しています。これにより、IOC のコンテキストを理解するために何百ものレポートや構造化されたデータソースを探し回らずに済み、労力が軽減され、専門性への依存度も低くなります。Mandiant は、近日中にこの機能をリリースする予定です。

https://storage.googleapis.com/gweb-cloudblog-publish/original_images/fig2-ai-ml-rsa-2023.gif

図 2: 現在の侵害で使用されたマルウェアと脅威アクターの AI サマリーを提供する LLM

今後の展望

LLM を信頼性、関連性、実行可能性の柱に適用することで、脅威の過多を軽減し、手作業や手間を省き、セキュリティにおける人材ギャップを解消することが可能になります。今まさに、脅威インテリジェンスがあらゆる規模の企業に価値を与えていく方法についての、大いなる変革が始まろうとしています。上述の例は、短期、中期、長期において追加していく機能に関するものです。今後もプロダクト チーム、AI 研究チーム、エンジニアリング チームが一丸となって、お客様のセキュリティに変革をもたらしていきます。

脅威インテリジェンスにおける AI 利用について詳しくは、RSA Conference の N6058 ブースにぜひお越しください。または cloud.google.com/security/ai をご覧ください。


- Google Cloud セキュリティ 脅威インテリジェンス、検出&アナリティクス PM 責任者 Vijay Ganti
- Mandiant、データ サイエンス リサーチ責任者
Scott Coull 氏

投稿先