金融ジャーナル 2019年5月号P32~P35 掲載記事のご紹介

ますます手口が巧妙化し、件数が増大するサイバー攻撃に対し、セキュリティー対策コストは上昇の一途である。人工知能(AI)を活用することで、マンパワー不足を補う効率化・コスト低減が大いに期待されているが、攻撃側もその効果・効率を上げるためにAIを用いている。敵対的AIと呼ばれる、AIを悪用したサイバー攻撃も存在し、攻撃者はAIをだますスキを絶えず狙っている。将来は「AI対AI」の攻防に臨まざるを得ないだろう。

活用が進むAI

現在、様々な業界・分野で活用が進むAIだが、サイバーセキュリティーはAIの恩恵を受ける領域と言える。サイバーセキュリティー領域におけるAIの市場規模は、2025年までに348億1,000万ドル(CAGR 31.38%) へ拡大するとの予測もある[1]。同予測ではAI全体の市場規模の約2割を占めている[2]

サイバーセキュリティー領域では、人材不足・スキル不足、対策コストの上昇、新たな脅威の急増等が、世界的に深刻化している。人手では追いつかない作業量や検知精度の課題がAI活用の道を開いてきた。AIの活用適用例は広範にわたり、IDアクセス管理におけるなりすましの検出から、標的型攻撃などに対抗する各種サイバー対策、セキュリティーレベルを評価し改善を促すリスクアセスメント、機密情報の漏えいを防御するデータ保護、不正行為の可能性が低い人物を識別する不正検知等がある(図表1)。

なかでも、近年進むデジタル化に応じた新しいID管理や、サイバーディフェンスのパフォーマンス向上への適用、そして機密データ保護策としてのAI活用事例を次に示したい。

  • デジタルID管理

デジタル化を背景に、金融機関の口座開設時に必要な本人確認(ID確認)は、パスポートや運転免許証等の紙ベースで確認する方法から、スマートフォンやPC等を介してバイナリデータで確認する時代へと変化している。さらに口座開設後に必要な本人認証(ID認証)は、なりすまし防止のため、パスワードに加えて、生体認証や多要素認証等を活用した強固な認証方法が必要となってきている。一方、企業においては、相当数のシステムやクラウドサービスを対象に、リスクとコストを削減したID管理も必要とされている。筆者が所属する組織では、AIを用いた機械学習による新しいデジタルID機能(特許出願中)による、ほぼリアルタイムのアクセス権管理・監視・制御の自動化プロセスを提供しており、ユーザーのアクセスデータをもとに、信頼度をスコアリングして、高い信頼度のユーザーには自動承認を提案し、低い信頼度のユーザーの場合はリスクを示し、異常パターン等の高リスクのケースにのみ手動承認を促す等、業務の効率化・可視化・処理精度を向上させている。

・サイバーディフェンス

新種マルウェアの日々の大量発生とマルウェア自体の高度化で、従来型のシグネチャ方式やサンドボックス対策が限界を迎え、機械学習が進展した。ビッグデータおよびAIの拡張性により、大量データを日々迅速に処理するクラウドベースの自動プログラム化へとシフトしている。弊社ではクライアント組織のSOC(セキュリティ・オペレーション・センター)のレベルアップが可能な、AIの機械学習を適用したクラウドベースの統合プラットフォームを提供しており、各種システム・セキュリティーツール・セキュリティープロセスを統合し、迅速な脅威検出・インシデント対応・ダッシュボード機能等のセキュリティー管理のパフォーマンスを向上させている。

・データ保護

企業にとって、データ漏えいには、対応コスト、株価・株成長率の低下、市場シェアの喪失等、重大な財務上のインパクトとなるリスクが常にある。さらにデジタル環境では、電子メールやドキュメントを含む、あらゆる形式の非構造化データが年々増加しており、含まれる知的財産(IP)、個人情報(PII)、その他のセンシティブデータに対する管理を、すべて手動で行うことは現実的ではない。弊社ではAIを用いた機械学習によるスケーラブル分類(SCAML:Scalable Classification through Machine Learning)を開発し、機密性の高いデータ・文書へのラベル付けの自動化で、データ保護管理の精度・コスト削減を向上させている。

AIを活用したサイバー犯罪

冒頭で述べた通り、攻撃者側もその効果・効率を上げるためにAIを活用している。犯罪行為に適用可能なAIシステムの特性としては、比較的安価で、拡張性があり、自動化可能で、匿名性がある点があげられる。

AIのサイバー犯罪には、パスワードやキャプチャ(画像)の認証破り、検知ツールをすり抜ける高度なマルウェア作成、人が書いたものと見分けがつかないフィッシングメールの作成・送付、被害者候補を呼び出すソーシャルエンジニアリングまで様々であるが、どれも従来からの攻撃手法である。それらがAIによる自動化で、より大量に精度を上げて生成可能となり、被害を拡大させている。

AI活用を経たサイバーセキュリティーの未来像

今後の防御側と攻撃側の「AI対AI」の攻防はどう拡大し、どうリスクを低減していくべきだろうか。ここ5年間で敵対的AI (adversarial AI)と呼ばれるAIを悪用したサイバー攻撃が確認されている。偽りの情報をオンラインで広める自動クラウド・ターフィング攻撃(Automated Crowdturfing Attacks)や、AIの学習データを誤った情報で汚染して、恣意的に機械学習の結果を操作するデータ中毒攻撃(data poisoning attacks)等、AIシステムに対する巧妙な操作で、誤った振る舞い・判断を起こさせる、新しい脅威モデルが出現している。

AIの機械学習とは、学習データから得た規則性や判断基準に基づいて、未知のものを予測・判断する高度な複雑性を捕らえるモデルである。そのため基本的にはブラックボックスで、開発者はAIがどう機能するのかを理解していても、AIがある判断を下したときの理由までは説明できない。この説明できない複雑な振る舞いが、悪用の余地を生み出し、敵対的AIを強力な脅威にしている。

機械学習の一種にディープラーニングがあるが、回帰ベースの分析と異なり、ニューロンやユニット層のネットワークを用いる。AI、機械学習、ディープラーニング等の定義については図表2を参照いただきたい。

ディープラーニングは、ネットワーク内の個々のニューロン間における、非常に多数の相互作用に基づく、非常に高い複雑さを生み出すことで、より精緻な振る舞い予測を可能としているが、その複雑性ゆえに、一層攻撃を受けやすくなっている。統計的機械学習の手法であるランダム・フォレスト(random forests)やサポート・ベクターマシン(support vector machines)等の最先端のモデリング技術もまた脆弱であることが示されている。

現在、世界中の政府がAIの「経済的利益」と「国家安全保障」の両面を国家戦略に表明しており、米国は今年2月の大統領令で、AIに関する国家戦略の概要(AIイニシアチブ)を示した。これには研究開発投資はもとより、国防高等研究計画局(DARPA: Defense Advanced Research Projects Agency)による敵対的AIへの防御技術の開発プロジェクトを含めている[3]

信頼に足るAI技術 – AIモデルの保護

AIの脅威はまだ初期の段階にあるが、将来のセキュリティー戦略として、ビジネスへのインパクトやAIモデルの保護策を理解しておく必要がある。セキュリティー戦略の策定において優先される三つのステップを示す(図表3)。

AIを含む、新たなテクノロジーの活用は、サイバーセキュリティーの課題であり続ける。5G(第5世代移動通信)を日本は、2020年東京オリンピック・パラリンピックに向けて導入するが、5Gもしかり、そこには新たなサイバーセキュリティー脅威が存在する。また、攻撃側には、国家レベルの活動組織も存在している。防衛には従来の枠組みを超えた、民間企業を含む、新たな連携体制が必要である。世界経済フォーラムは2018年にサイバーセキュリティセンターを設立した。弊社は同センター(The World Economic Forum Centre for Cybersecurity)の創立パートナーとして、世界の主要なサイバーセキュリティーリーダーと共に「信頼 (Trust)」「協力(Cooperation)」「十分なスキル( Adequate skills)」の確保を目指す活動をリードしている。

[1] 2018年1月2日, MarketsandMarkets™, Press Release, Artificial Intelligence(AI)in Cybersecurity Market worth 34.81 Billion USD by 2025
https://www.marketsandmarkets.com/PressReleases/ai-in-cybersecurity.asp

[2] 2018年2月14日, MarketsandMarkets™, Press Release, Artificial Intelligence Market worth 190.61 Billion USD by 2025
https://www.marketsandmarkets.com/PressReleases/artificial-intelligence.asp

[3] 2019年2月11日, The White House, Artificial Intelligence for the American People
https://www.whitehouse.gov/ai/