パロアルトネットワークスは3月21日、「日本企業のサイバーセキュリティにおけるAI・自動化活用」に関する結果をまとめたレポートを公開した。同調査は、 民間企業でサイバーセキュリティの管轄・運用・監視業務に関わる管理職・現場担当者 (392名) ~内訳:管理職(264名)、現場担当者(128名)を対象に実施したもの。

求められるインシデントの検出・対応に要する時間を短縮する仕組み

チーフサイバーセキュリティストラテジスト 染谷征良氏は、「ビジネスのデジタル化により、サイバーセキュリティのリスクが大きくなり、ビジネスに与えるインパクトが拡大している」と指摘した。

  • パロアルトネットワークスチーフサイバーセキュリティストラテジスト 染谷征良氏

こうした中、セキュリティインシデントがビジネスに与えるインパクトを排除し、説明責任を果たすため、インシデントの検出と対応に要する時間を最大限に短縮する仕組みが不可欠になるという。

例えば、個人情報保護法では、インシデント発生してから3日~5日までに報告することを義務付けている。染谷氏は、「各国のデータプライバシーの法規制は、インシデント発生時に速やかに通知することを義務付けているが、昨今、対策の不備や通知義務を怠った場合の罰金が高額になっている」と語った。

サイバー攻撃や内部犯行などの不正な活動が行われ始めてから気づくまでに要する時間は「インシデント検出時間(MTTD)」と、また、インシデントに気付いてから収束に必要となる対応が完了するまでに要する時間は「インシデント対応時間(MTTR)」と呼ばれている。

  • セキュリティインシデント対応で重要な「MTTD」と「MTTR」

インシデント対応におけるAIと自動化活用の国内動向

染谷氏は、今回の調査で、全体の95%が何かしら課題を抱える中、87%が内製化の変革の必要性、89%が業務変革の必要性を考えていると回答したと紹介した。

「セキュリティ業務全般」にAIを活用していない企業の82%が活用予定または検討中と回答し、また、「セキュリティインシデントの対応」に自動化を実施していない企業の74%が自動化実施を予定または検討中と回答しており、セキュリティ業務の変革の手段としてAIと自動化が検討されていることが明らかになった。

同調査では、全体の23%がセキュリティ業務にAIを活用していると回答し、「内部不正の検出(65%)」、「サイバー攻撃の検出(64%)」、「未知の脅威の検出(60%)」が上位3位の回答となった。

また、MTTDのMTTRいずれもセキュリティの運用・監視業務のKPIとしている企業の50%が脅威を迅速に検出するためにセキュリティデータのひも付けや相関分析にAIを活用していると回答した。一方、KPIに設定していない企業でのAI活用は16%にとどまり、さらに64%がエンジニアの手作業に依存しているという。

染谷氏は興味深い結果について、「AIがセキュリティ人材の仕事を奪うという意見は少なかった。セキュリティ人材は不足しているので、AIに目を向けている人が多いといえる。これからのマーケットは AIドリブンのセキュリティに進んでいく」と語った。

一方、セキュリティ運用・監視の組織を社内に整備している企業の53%がインシデント対応に自動化を活用していることが明らかになった。その目的は「手作業によるミスをなくすため」(59%)が圧倒的に多く、これに「対応のばらつきをなくすため」が続いており、経験やスキルが異なる人材による対応のばらつきを排除したインシデント対応の品質均一化が重視されているという。

脅威の迅速な検出と対応にフォーカスしたAIと自動化の活用

続いて、染谷氏は脅威の迅速な検出と対応にフォーカスしたAIと自動化の活用について、説明した。

インシデントの検出と対応に要する時間短縮を目指す企業は、AIと自動化の積極的な活用で課題を解決しているという。染谷氏は、「エンジニアの手作業による監視では目的を達成できなくなっている。MTTDとMTTR両方をKPIに設定している企業は、AIによってセキュリティデータの相関分析を行っている。加えて、7種類のデータを活用している。より多くのセキュリティデータを統合して分析して、インシデントを早期に発見することを目指している」と説明した。

  • 脅威の迅速な検出を目的としたセキュリティデータとAI活用 引用:「日本企業のサイバーセキュリティにおけるAI・自動化活用」

一方、自動化については、MTTDとMTTR両方をKPIに設定している企業の35%が60%以上のインシデント対応業務を自動化しているが、そうでない場合のインシデント対応業務の自動化はわずか13%と22ポイントの開きがあることがわかった。

染谷氏は、「自動化はセキュリティ投資の効果の最大化、人材戦略の変革に貢献する」と語った。

実のところ、国内企業ではアラート対応などの定型業務に疲弊してやめるセキュリティ人材が増えているという。そこで、テクノロジーが問われない定型業務にAIや自動化を適用することで、「セキュリティ人材がレッドハンティングやセキュリティ戦略の立案といった業務に注力すべき」と染谷氏は述べた。

統合プラットフォームで運用の簡素化を

同社は、セキュリティ運用の成果をもたらす要素として、AIと自動化に加えて、統合プラットフォームが必要としている。Cortex事業本部技術部部長 室井俊彦氏は、「人間中心のセキュリティ運用はもう成り立たない。運用はすべて自動化すべきだが、実際はそうなっていない。それを実現するのが統合プラットフォーム」と述べた。

  • パロアルトネットワークス Cortex事業本部技術部部長 室井俊彦氏

同社は、セキュリティ運用におけるAIの活用と運用の自動化を実現する統合プラットフォームとして、「Cortex XSIAM」を提供している。

例えば、同製品では収集されたあらゆるセキュリティデータをAIが分析して、インシデントを検出しようとしているという。また、AIが提案するCopilot機能も提供している。

室井氏は、同製品ではAIを活用することで、認証ログ、エンドポイントのログ、ネットワークのログなど複数のログのひも付けができるようになるため、対応すべきインシデントの数が減らせると説明した。具体的には、1日に対応すべきインシデントの数を1000程度から250程度と4分の1まで減らせるという。

また、自動化に関しては、品質プロセスの改善に加え、見切れなかったアラートも見られるようになるとのことだ。