MITのAIベースのサイバーセキュリティソリューションは魅力的だが、予防ベースのソリューションが依然として優勢になる可能性あり

MITコンピュータ科学・人工知能研究所（CSAIL）は、AIスタートアップのPatternExと共同で、AIと人間の入力を組み合わせることで、ネットワーク上の攻撃の85%を検知できるハイブリッドソリューションを開発しました。この手法は、現在市場に出回っている他の純粋なAIベースのソリューションと比べて最大10倍の効果を発揮しますが、実際のデータ侵害においては依然として不十分な可能性があります。

AI2システムは、3ヶ月間にわたり、数百万人のユーザーから36億行の「ログ」を入力されました。AIは監視なしでログを解析し、いくつかのパターンを生成・検出します。そして、それを人間のアナリストに提示します。アナリストは、どのイベントが実際にネットワークへの攻撃であるかを確認し、そのフィードバックはAIのさらなる学習に活用されます。

「このシステムは仮想アナリストと考えることができます」と、CSAILの研究科学者カリヤン・ヴェラマチャネニ氏は述べています。彼は、PatternExの主任データサイエンティストであり、元CSAILポスドクでもあるイグナシオ・アルナルド氏と共にAI2を開発しました。「このシステムは継続的に新しいモデルを生成し、わずか数時間で改良できるため、検出率を著しく、かつ迅速に向上させることができます」と、彼は付け加えました。

課題は残る

このソリューションは、すべてのデータ侵害をすぐに終わらせることができる画期的な解決策のように思えるかもしれませんが、実際にはまだ多くの課題が残っています。

現在、システムは人間のアナリストに1日あたり200件のイベントを表示しています。研究者によると、数日間のトレーニングを経て、この数は1日あたり30～40件にまで減少する見込みです。それでも、人間が分析して攻撃かどうかを判断するには、イベント数が多すぎるように思われます。

例えば、PayPalの不正検知部門で働き、毎日「異常なイベント」を監視する業務に携わっている人にとっては、このソリューションは有用となるかもしれません。しかし、より自動化されたマルウェア対策ツールを求める多くの企業にとっては、適切なソリューションではないかもしれません。

Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。

二つ目の課題は、AI2システムが提示するこれらのイベントを監視する責任者は、実際に攻撃であるかどうかを識別できるセキュリティ専門家でなければならないということです。そうでなければ、AI2システムを監視するアナリストは、システムにフィードバックを与える際に、誤ったイベントを選択したり、他のイベントを省略したりする可能性があります。

AIベースのサイバーセキュリティソリューションの問題点

AI2システムの有効性は85%ですが、それでも15%の確率でデータ侵害が発生する可能性があり、これは決して無視できる数字ではありません。これは、より高度な攻撃者がそのようなシステムの存在を知る前の話です。攻撃者がAI2の存在を知り、標的がAI2を使用しているかどうかを確認すれば、AI2を回避する新たな方法を見つけ出し、AI2システムの有効性が低下する可能性があります。

この有効性を達成するには、AI2システムを36億行のログで学習させる必要がありました。GoogleのAlphaGo AIがイ・セドルと対戦する前に3000万局の対局を「視聴」しなければならなかったように、AIベースのソリューションが十分なレベルに達するには、膨大な量のデータを用いて学習させる必要があります。このデータがなければ、その有効性は劇的に低下してしまうでしょう。

AI2システムは、学習と適応の時間があるため、複数のネットワークを同時に攻撃しようとする悪意のあるボットには有効かもしれません。しかし、ゼロデイ脆弱性を悪用した、より高度な攻撃者によってハッキングされているネットワークは保護できない可能性があります。AI2システムはそのような攻撃に関する十分な情報を持っていないため、人間のアナリストにも報告されない可能性があります。