フォーティネット、高度なAIと脅威インテリジェンスへの対抗策が進化し、サイバー犯罪者の優位性に変化をもたらすと予測

最新の攻撃をプロアクティブに防御するには、統合、高度なAI、実効性の高い脅威インテリジェンスを最大限に活かすセキュリティ戦略の採用が必要

フォーティネットジャパン株式会社 - 2019年12月11日


幅広い適用領域で(Broad)システム連携し(Integrated)、自動化された(Automated)ソリューションの世界的リーダーである、フォーティネット(Fortinet®、NASDAQ: FTNT)は本日、FortiGuard Labsチームによる2020年以降の脅威トレンドに関する予測を発表しました。この予測においてフォーティネットは、サイバー犯罪者が近い将来悪用すると考えられる手法を明らかにするとともに、迫り来る攻撃への対策に役立つ重要な戦略を解説しています。予測の詳細と主な調査結果については、こちらのブログ(英文)をご覧ください。以下に、本予測のハイライトをまとめます。

サイバー攻撃の軌道の変化
近年、サイバー攻撃の手法は巧妙化しており、その効力とスピードが増しています。組織の多くがセキュリティ戦略に対する考え方を転換しない限り、このトレンドは今後も続くと予測されます。脅威環境の世界的な規模が拡大する中で、高速化や高度化が進む攻撃に対抗するには、マシン速度でのリアルタイムのレスポンスが必要です。脅威との戦いには、人工知能と脅威インテリジェンスの進化が極めて重要な役割を担うと期待されます。

システムとしてのAIの進化
これまで、セキュリティ重視の人工知能(AI)を開発する目標の1つは、人体の免疫システムと同様のシステムをネットワークでも構築することにありました。第1世代のAIは、一連の行動を学習、相関、決定する機械学習モデルを使用したものでした。第2世代のAIは、より高度なパターン検知が使用されました。環境全体に学習ノードを分散することで、アクセス制御のような処理が大幅に改善されました。第3世代のAIは、中央のモノリシックな処理センターに依存するのではなく、地域の学習ノードと相互接続します。これにより、ローカルで収集されたデータの共有、相関、分析の分散処理が可能になります。拡大を続けるエッジ環境の保護を求める組織にとって、これは非常に重要な機能です。

連合型の機械学習
これまでの脅威インテリジェンスは、フィードから取得または内部トラフィック / データの分析から抽出されていました。このような従来型の形式に加えて、機械学習は将来的に新たなエッジデバイスからローカルの学習ノードへと伝送される大量の関連情報を活用するようになります。このリアルタイム情報の追跡と相関により、AIシステムは脅威トレンドをさらに完全に把握できるようになるだけでなく、ローカルシステムがローカルイベントに対応する方法をさらに強化することが可能になります。AIシステムは、ネットワーク全体で情報を共有することで、脅威の検知、相関、追跡、準備を行うことができます。そして、将来的には連合型の学習システムとなります。データセットの相互接続により、学習モデルは変化を続ける環境とイベントのトレンドに対応し、あるポイントのイベントがシステム全体のインテリジェンスを向上できるようになります。

AIとプレイブックの融合で攻撃を予測
AIへの投資は、タスクの自動化だけでなく、攻撃発生の前後に自動化システムによる攻撃の調査と検知を可能にします。機械学習と統計分析の融合は、カスタマイズされたアクションプランをAIと連携し、より効果的な脅威の検知とレスポンスを実現します。プレイブックが隠れたパターンを見出すと、AIシステムはそれ基に攻撃者の次の行動、次に攻撃を受けることが予測される標的、さらには最も可能性の高い攻撃者を特定することさえ可能になります。この情報をAI学習システムに追加すれば、リモート学習ノードは高度でプロアクティブな保護を実装することができます。そして、脅威の検知のみならず攻撃の動きを予測し、事前に対策を講じることで、他のノードと調整してすべての攻撃経路を同時に遮断することが可能になります。

カウンターインテリジェンスとディセプションの機会 
諜報活動の世界で最も重要なリソースの1つが、カウンターインテリジェンスです。これは、注意深い監視下にある環境の攻撃や防護においても同様です。防御側は、脅威インテリジェンスにアクセスできるという点でサイバー犯罪者よりも有利な立場にあり、これは機械学習とAIで拡張することができます。防御側がディセプションテクノロジーを活用すれば、サイバー攻撃者はカウンターインテリジェンスによる反撃に出てくるでしょう。この場合、攻撃者はトラフィックパターンをスパイしていることを見破られることなく、正規のトラフィックと偽装トラフィックを区別する方法を探さなければなりません。防御側は、プレイブックと拡張型AIをディセプション戦略に追加することで、攻撃者の戦略を逆手に取ることができます。つまり、正規のトラフィックを識別しようとする犯罪者の検知だけでなく、偽装トラフィックを洗練させて正規のトランザクションと見分けがつかないようにします。将来的には、あらゆるカウンターインテリジェンスを未然に防ぎ、優れた制御状態を維持できるようになります。

法執行機関との緊密な連携
サイバー犯罪には国境がないとはいえ、サイバーセキュリティにはプライバシーやアクセスなどに関連した固有の要件があります。この要件に対応するために、法執行機関はグローバルな司令部の設置のみならず、民間企業との連携を始めることでサイバー犯罪のリアルタイムでの特定と対応へと一歩近付いています。さまざまな法規制や公共機関 / 民間企業の関係強化は、サイバー犯罪の特定と対応に役立ちます。国際的、そして地域の法執行機関、政府、企業、セキュリティエキスパートの間に存在するギャップの解消に向けた統合的なアプローチは、迅速で安全な情報交換を推進し、重要なインフラストラクチャの保護とサイバー犯罪対策に貢献します。

ますます巧妙化するサイバー犯罪者
組織は、サイバー犯罪者の動きに応じて戦略を変更する必要があります。ネットワークや組織は高度な攻撃検知/対応手法を導入しているため、それを標的にする犯罪者は、さらに強度な手法を使って攻撃しようとします。これに加えて、高度な攻撃手法、攻撃対象領域の拡大、さらにインテリジェントなAI対応システムが登場しているため、サイバー犯罪者はますます巧妙化しています。

高度な回避技術(AET)
このほど発表されたフォーティネット脅威レポートでは、検知の回避、セキュリティ機能とデバイスの無効化、インストール済のソフトウェアの探索や悪意のあるトラフィックの偽装を行うLOTL(環境寄生型)戦略を使った潜伏活動を目的に設計された、高度な回避手法の増加が指摘されています。最新のマルウェアツールには、アンチウイルスやその他の脅威検知手法を回避する機能が既に多数組み込まれていますが、サイバー攻撃はこれまで以上に高度な難読化によって検知を逃れたり、分析を回避したりするようになりました。これは、セキュリティリソースとスタッフの弱点を最大限に悪用しようとする戦略です。

スウォームテクノロジー
過去数年にわたって増加しているスウォームテクノロジーは、機械学習やAIのようなものを活用してネットワークやデバイスを攻撃するものとして、新たな脅威の可能性を示しています。スウォームテクノロジーの進化は、医薬、輸送、エンジニアリング、問題解決の自動化といった分野に大きな影響を及ぼしています。しかしながら、このテクノロジーが悪用され、企業がセキュリティ戦略を更新しない場合は、攻撃者にとって戦局を優位にするテクノロジーになる可能性もあります。サイバー犯罪者は、ボットスウォームを使用することでネットワークに侵入し、内部防御を圧倒してデータの検索と抽出を簡単に実行できます。将来的には、専用の機能を備えたボットが登場し、リアルタイムでインテリジェンスの共有と相関分析を行えば、標的を感染させる攻撃を選択し変更させるスウォームの能力は加速し、複数の標的の同時攻撃も可能になると考えられます。

5Gとエッジコンピューティングの武器化
5Gの登場は、機能的なスウォームを使った攻撃の開発を促進する最初のきっかけになるかもしれません。5Gは、情報とアプリケーションの共有や処理を高速実行できるアドホックネットワークをローカルに構築する方法として使用されます。5Gとエッジコンピューティングの武器化によって侵害されたデバイスは、各々が悪意のあるコードの攻撃経路となります。そして、感染したデバイス群が連携し、5Gの速度で標的を攻撃し始めるのです。標的を絞った高度な攻撃が高速実行されれば、レガシーのセキュリティテクノロジーで効果的な対策を講じることは困難です。

サイバー犯罪者によるゼロデイ攻撃の使用方法の変化
これまで、ゼロデイ攻撃に悪用できる脆弱性の特定、攻撃の開発、実行には大きなコストが必要でした。このため、攻撃者は既存の攻撃ポートフォリオが無力化されるまでゼロデイ攻撃を控えることが一般的でした。攻撃対象領域が拡大し、標的を見つけやすくなったことを背景に、ゼロデイ攻撃で悪用できる脆弱性も増えつつあります。人工知能によるファジングとゼロデイマイニングによって、ゼロデイ攻撃が驚異的に増加する可能性があるため、組織はこのトレンドに対抗するセキュリティ対策を講じる必要があります。

フォーティネットのグローバルセキュリティストラテジスト、Derek Manky(デレク・マンキー)は、次のように述べています。「サイバー攻撃の成功の背景には、拡大する攻撃対象領域と、デジタルトランスフォーメーションで生じたセキュリティギャップが存在します。最近では、前世代のAIやスウォームテクノロジーを統合した、さらに高度な攻撃手法が登場しています。ただし、攻撃者と同様の戦略をネットワーク防御に活用する組織が増えれば、このトレンドを変えることができます。これには、幅広い領域で統合と自動化を行うアプローチに基づいて、ネットワークセグメントはもちろん、IoTから動的なクラウドまで網羅したさまざまなエッジ全体を保護し、可視化することが極めて重要になります」

 

フォーティネットについて (www.fortinet.com)

フォーティネット(NASDAQ: FTNT)は、世界中の大手企業、サービスプロバイダ、そして政府機関を守っています。フォーティネットは、拡大するアタックサーフェス(攻撃対象領域)に対するシームレスな保護とインテリジェンスを提供し、外部との明確な境界が消滅したネットワークでの、増え続けるパフォーマンスの条件に応じるパワーで、現在もまた将来も、お客様に貢献します。ネットワーク上でも、アプリケーションやクラウド、またはモバイル環境であっても、妥協することなく、極めて重大なセキュリティ上の問題に対応するセキュリティを提供できるのはフォーティネットのセキュリティ ファブリックのアーキテクチャだけです。フォーティネットは世界で最も多くのセキュリティアプライアンスを出荷し、世界425,000以上のお客様がビジネスを守るためにフォーティネット に信頼を寄せています。

フォーティネットジャパンについては、fortinet.com/jp をご覧ください。

Copyright© 2019 Fortinet, Inc. All rights reserved. 「®」および「™」マークはいずれも、Fortinet, Inc.とその子会社および関連会社の米国における登録商標および未登録商標であることを示します。フォーティネットの商標には、Fortinet、FortiGate、FortiGuard、FortiCare、FortiManager、FortiAnalyzer、FortiOS、FortiADC、FortiAP、FortiAppMonitor、FortiASIC、FortiAuthenticator、FortiBridge、FortiCache、FortiCamera、FortiCASB、FortiClient、FortiCloud、FortiConnect、FortiController、FortiConverter、FortiDB、FortiDDoS、FortiExplorer、FortiExtender、FortiFone、FortiCarrier、FortiHypervisor、FortiIsolator、FortiMail、FortiMonitor、FortiNAC、FortiPlanner、FortiPortal、FortiPresence、FortiProxy、FortiRecorder、FortiSandbox、FortiSIEM、FortiSwitch、FortiTester、FortiToken、FortiVoice、FortiWAN、FortiWeb、FortiWiFi、FortiWLC、FortiWLCOS、FortiWLMなどが含まれますが、これらに限定されるものではありません。その他の製品名およびサービス名等は、各社の商標である場合があります。フォーティネットは、本プレスリリース内の第三者に帰する声明、認可またはテストについては、検証を行っておらず、また、このような第三者に帰する声明を承認するものではありません。本プレスリリースは、保証または債務保証、または契約として一切拘束を受けるものではなく、記載された製品仕様または製品性能は、ある特定の環境や条件のもとで計測されていることがあります。また、本プレスリリースには、将来の見通しに関して不確実性および仮説を伴う記述が含まれている場合がありますが、本不確実性が現実になったり、あるいは本仮説が正しくないことが判明したりする場合、明文的あるいは暗黙的に記述された内容と異なる結果が生じることがあります。これには、サイバー犯罪活動の動向予測に関する記述などが含まれますが、これに限定されるものではありません。このような動向は予測することが困難であり、また、このような動向に関する公開予測や期待事項は結果として正しくないことがあります。フォーティネットは、このような将来見通しを改正する義務を一切負うものではなく、また改正を発行することもありません。