今のサイバーセキュリティの本質は「時間のゲーム」――生成AI・エージェンティックAI時代に有効なセキュリティ対策の在り方とは「日本が重視する内部犯行への備え」は外部脅威への対策にもなる

サイバー脅威が日々高度化し、複雑化する現代において、企業が直面するセキュリティ課題は増大の一途をたどっている。特にAI技術の進化は、攻撃者と防御者の双方に大きな影響を与えている。サイバーセキュリティの最前線で活躍する企業の有識者に、今のセキュリティリスクの本質と課題、生成AI・エージェンティックAI時代における有効なセキュリティ対策の在り方を聞いた。

PR/@IT
» 2025年07月22日 10時00分 公開
PR

AIが変革するサイバー脅威の現状と「時間のゲーム」

 生成AI・エージェンティックAIへと進化を続けるAI技術は、サイバー脅威を取り巻く状況を急速に変革している。ランサムウェア(身代金要求型マルウェア)による金銭取得を目的とする犯罪者だけでなく、国家が支援する攻撃者もAI技術を駆使して攻撃の規模拡大と自動化を図っている。これにより、企業を効率的かつ効果的に標的化する能力が飛躍的に向上しているのが現状だ。

photo Exabeamのピーター・ハートフェルド氏

 AI技術を活用したSIEM(Security Information and Event Management)+アナリティクスのセキュリティベンダーExabeamでChief Revenue Officer(CRO)を務めるPeter Harteveld(ピーター・ハートフェルド)氏は、現在のサイバーセキュリティの本質が攻撃を発見してから対応を完了するまでの時間をいかに短縮できるかという「時間のゲーム」、つまり「時間が命」となっていることを強調する。対応するまでの時間が長ければ長いほどリスクは高まることから、Exabeamは脅威への対応時間を短縮し、リスクの最小化を目指しているという。

 世界的にセキュリティ人材は不足しており、サイバー脅威の進化に対応できる人材を常に抱えられる企業は限られるだろう。人材不足をAIで補う動きはセキュリティに限らず大きな期待が寄せられており、生成AIはセキュリティチームの運用方法を急速に変革している。ハートフェルド氏は「ベンダーや信頼できるパートナーと手を組むことで能力を蓄え、常に脅威に立ち向かう準備を整えることが肝要だ」と指摘する。

 日本は、特にセキュリティ運用現場における人員不足やスキル不足が常態化しているという課題に直面している。これに加えて、導入製品・サービスから送られるログデータの爆発的な増加も大きな問題だ。

人材不足、スキルアップ、価値証明という課題の解決に生成AI・エージェンティックAIを活用

 これらの課題に対してExabeamは、10年以上前から提供している特許技術を用いた行動解析、機械学習を駆使した検知・アナリティクスを提供している。加えて2024年7月、散在するデータを信頼できる情報に変換してサイバーセキュリティを支援するLogRhythmと合併。LogRhythmのSIEM専門家としての長年の経験と歴史に、Exabeamのアナリティクス能力が融合し、世界で3000を超える顧客と1000件以上のパートナーを擁する企業となった。ハートフェルド氏は「セキュリティ運用とアナリティクス能力を提供する、巨大なスタンドアロン企業が誕生した」と端的に説明する。

 「私たちは多様なSIEMとアナリティクスを融合させることができ、SIEMという土台の上に私たちのアナリティクス能力を積み重ねることが可能だ」(ハートフェルド氏)

 Exabeamのビジネス戦略には、企業の課題解決に基づいた3つの柱がある。第一に、世界中のセキュリティチームが抱える人材不足の問題に対し、チームの能力を増強すること。第二に、即戦力化が難しいセキュリティ担当者に継続的なスキルアップのパスを提供すること。第三に、価値証明が難しいセキュリティ製品について、セキュリティチームが関係者に説明しやすくすることだ。

 人材不足の問題に対してExabeamは、企業のセキュリティ対策において特にAI(生成AI・エージェンティックAI)と機械学習、そして自動化の融合が極めて重要だと考えている。機械学習だけでは現在の複雑なセキュリティリスクの識別と迅速な対応は難しい。生成AI・エージェンティックAIや自動化と組み合わせることで、「時間が命」となっている現在のサイバーセキュリティで求められる対応の迅速性を向上させている。

 Exabeamが提供する製品で重視している点は「SOC(Security Operation Center)アナリストへのアドバイスとガイダンスの提供」「AIモデルの継続的な訓練」「追加課金なしで製品全体へAIを組み込むこと」の3つ。特にエージェンティックAIを組み込むことによって、ティア1(初級)のアナリストでもティア3(上級)のアナリストと同等の成果を挙げられるだけでなく、企業が新人教育にかける時間を短縮し、即戦力化やスキルアップの課題解決を支援できるという。ハートフェルド氏は実績として、「ExabeamのSOCにエージェンティックAIを適用した結果、調査時間が80%削減された」ことを挙げる。

photo Exabeamのギャレス・コックス氏

 日本・アジア地域の営業統括責任者を務めるGareth Cox(ギャレス・コックス)氏は、Exabeamのユニークな点は「統合性」と「総合性」であり、特にサイバーセキュリティでは「ユースケースベース」のアプローチを採っていると強調する。

 ここで触れた「ユースケース」とは、企業・組織における事例のことではなく「監視の目的」という意味だ。Exabeamは「何でもかんでもログをSIEMに入れる」のではなく、まず監視の目的を決め、その目的達成に必要なログデータと、それらから何を検知できるかというルールをひも付けて提供する。例えば、「特権昇格の動きを監視したい」という目的には、必要なログデータとルールを明示してコストを最適化し、顧客が具体的な目的を持ってセキュリティ対策に取り組めるように支援する。このアプローチは役員や幹部に製品の価値を証明しやすくする上に、セキュリティ対策のロードマップも示しやすく、将来像を説明する上でも有効だ。

 セキュリティ対策におけるAI活用についてコックス氏は、「AIの性能は“良いデータ”に依存する。質の良いデータを大量にAIに投入できるかどうかが、優れたアウトプットを生み出す鍵となる」と補足する。

 コックス氏によると、Exabeamは「1万のつながり」を持つことで他社と差別化しているという。これは、Exabeamの製品が多様なソースから送られるログデータを分析するために1万種類以上の「パーサー」を有していることを指す。パーサーはログデータを読み込む際に、その特徴(例えば、ユーザー名を指すデータの項目が「user_name」となっているか、それとも「username」となっているか)を解釈し、標準化して取り込むための機能だ。同社のパーサーは日本製品の独自性の高いログにも対応している。多様なソースからログデータを取得できる点が、AI性能における同社の強みだ。

photo
photo “良いデータ”を機械学習、生成AI・エージェンティックAIや自動化と組み合わせて、目的に沿った対策につなげる(提供:Exabeam Japan)《クリックで拡大》

日本が重視する「内部犯行への備え」は正規ログインによる外部脅威にも対応できる

 コックス氏はExabeamの日本市場での展開に関して「私たちは10年にわたって機械学習に取り組んでおり、日本でも7年前からサービスを提供している」と話す。現在、NTTデータや旭化成、鴻池運輸をはじめとする多くの事例を公開している。

 コックス氏によると、日本で最も多く寄せられる要望は「内部犯行への備え」だという。「オーストラリアや東南アジアといった国では、まず外部からのサイバー脅威、次に内部犯行という優先順位だが、日本は内部犯行への備えを最優先する点が特徴的だ」

 Exabeamが重要視し、独自性があると考える点に「インサイダー(内部)からの脅威対策」もあるという。ハートフェルド氏は「ノーマル(正常)な行動」を平時に把握しておくことの重要性を強調する。ここから導かれるのが、何をもって「アブノーマル」(異常)とするかという問いだ。「異常な行動がどれくらい“まれ”なのか」「その異常行動がビジネスに影響するリスクはどれくらいなのか」を理解しなければ、多くの誤検知(偽陽性)を出してしまい、セキュリティチームを疲弊させてしまう。

 Exabeamの製品はシステムへのアクセス時に正常な行動と異なる場合、それがどれくらい“まれ”な行動なのか、そしてビジネスリスクがどれだけあるのかを即座に分析できるという。

 具体例として、ある従業員が毎日システムにアクセスし、常に同じようなパターンの行動を取る状況で、その従業員のクレデンシャルを盗んだ犯行者がデータを持ち去ったケースがあったとする。従業員が普段ログインしない場所からログインし、会社の核となるシステムにアクセスしようとするといった犯行者の行動は、一つ一つが「異常」と判断できる。システムはこれらの行動を量的に判断し、リスクポイントを積み重ねる。Exabeamの製品は異常な行動を時系列で示し、「なぜこれが“まれ”で、リスクが大きいのか」という文脈的な説明をアナリストに提供して、次に採るべき対応を勧告できるのだ。

 昨今のサイバー脅威は、クレデンシャル情報が盗まれ、外部から「正規のID、パスワード」を用いて内部にログインし、正しい認証情報を使って機密情報や個人情報を奪う攻撃も多い。内部犯行だけでなく、それに見せかけた正規ログインによる外部脅威にも対応できることは、多様化するサイバー脅威に備える上で重要性が高いと言えるだろう。

サイバー攻撃の波を予知する能力を備えた“将来型”のセキュリティ戦略を

 サイバー犯罪者がAIを活用し、攻撃スピードと効率を向上させている現在、日本企業が有効なセキュリティ戦略を立てるにはどうすればいいのだろうか。

 ハートフェルド氏は、戦略を共に立てるパートナー選びにおいて「スピード」「効果」「効率」を重視すべきだと訴える。Exabeamは将来を見据えた製品提供において、「データ反映の迅速性」「検知能力の継続的改善」「AI能力の強化」「自動化の適用」「ベンチマーキング情報の提供」を重視している。

 「歴史的に見て日本は新しい技術にすぐには飛びつかない傾向がある。現在は、それでは手遅れになる可能性が高い。セキュリティ責任者はAIのような新しい技術をこれまで以上に速やかに受け入れ、限られたリソースの中でAIを活用したセキュリティ戦略を用いて常に先手を打つ必要があるのではないだろうか。サイバー攻撃の波を予知する能力を備えた“将来型”のセキュリティ戦略を共に構築できるように支援したい」(ハートフェルド氏)

photo

Copyright © ITmedia, Inc. All Rights Reserved.


提供:Exabeam Japan株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2025年8月21日