N D R
×
A I
AIでセキュリティリスクを可視化する
これまでのセキュリティは "いたちごっこ" これからは「検知して、守る。」
N D R
×
A I
これまでのセキュリティは "いたちごっこ" これからは「検知して、守る。」
N D R
×
A I
これまでのセキュリティは "いたちごっこ" これからは「検知して、守る。」
従来のファイアウォールやIPSは、脅威の侵入を防ぐことで自社IT環境を防御してきましたが、こうした防御をすり抜ける悪質な技術が発達したことで、従来型のセキュリティでは対策が後手に回っている状況です。
テレワークが普及し、この1年間でさまざまなシーンにICTが浸透しました。 とはいえ、同時にセキュリティへの対策に頭を悩ませている情報システム部門の方も多いのではないでしょうか。
・セキュリティ対策の費用対効果がよく分からないので、コストの増加だけが気になっ てしまう ・テレワークの普及でセキュリティ上の懸念は増えたが、過度な行動監視はしたくない しかし手放しに社員を信用することもできない ・サイバー攻撃自体についてよく分かっておらず、実際に自社が攻撃されているのかど うかも分からない
・これまで様々な製品を購入してきたが、それらを適切に運用/把握できておらず、 全体の指針があやふやになっている ・経営者に投資価値を理解してもらえるか不安 ・なりすましやEmotet等のメールセキュリティ及び利用している SaaS の セキュリティ面が不安
・セキュリティのために制約や監視が増えると、業務へのモチベーションも下がってしまう ・巧妙化する攻撃に対して、個人の意識に頼った運用には限界がある ・コンプライアンスや監視の強化がセキュリティ対策として有効なのかが疑問
最も重要なのは自社のNWをしっかりと把握し、環境に合わせた適切な対策が実施されることです。そして必要以上の人的負担をかけずに、それでいて的確でなければなりません。それを実現するのが、「NDR × AI」という考え方です。 サイバー犯罪はより複雑化・無差別化しています。 今必要なのは攻撃された「被害者」を炙り出すような考え方ではなく、ルールで縛り付けるような後ろ向きな姿勢でもありません。 本当に悪いのは「攻撃を仕掛ける者」であるという考え方のもと、従業員が安心してパフォーマンスを発揮するための、攻めのサイバーセキュリティ体制です。
NDR(Network Detection and Response)とは、ネットワーク内を包括的に可視化し、様々な脅威に対してリアルタイムでの検知を目指す考え方です。言葉自体はまだ新しいものですが、その概念は以前から存在し、境界型製品やエンドポイント等の点で対策する製品だけでは守りきれない脅威に対抗するためには、避けて通ることのできないテーマでした。しかし、社内インフラの可用性と利便性は保ちつつも、サイバーセキュリティをしっかりと取り入れていくためには、その両者のバランスを見極めることが不可欠です。
社内環境に影響を与えない
リアルタイムの
インシデント検知
事前に脅威の定義を
必要としない
NDRを謳う製品は数多くありますが、ここにAI(機械学習)の考え方を取り入れることで、 より高精度でありながら、人的負担をかけない取り組みを実現することができます。
AIが社内ネットワークに流れる日常の通信状況を漏れなくチェック。パターン特性などを自己学習します。
記憶されているパターンから外れる「異常」な通信をリアルタイムに検知して可視化します。
検知された「異常」が脅威であるのか、害のないデータなのか、最終的なジャッジは人が行い、対処します。
Darktrace の Enterprise Immune System は、事前の定義やルール付けを行わず、その環境のコミュニケーションを学習し、独自のモデルを作成します。そのため、既存のソリューションでは気づけなかった異常、あるいは全く違った観点から、予兆レベルでの脅威検知を自動的に行うことが可能です。
例えばあるユーザーから、特定の外部サイトへの通信が発生した場合、Darktrace はそれを既知の情報と照らし合わせる「白か黒か」ではなく、日常の中でいかに「珍しいか」の判定を行います。時間帯や頻度等も加味されるため、よりユーザーの「いつもと違う」の発見に役立ちます。これにより、既存の製品では見つけることのできなかった、未発見のC&Cサーバや、密かに行われるボット / ビーコン的な通信の検知にも役立つのです。
「AI」による新たな視点が、膨大なデータベースから白か黒かを照らし合わせるような作業ではなく、「胸騒ぎ」や「違和感」といった、より人間らしい目線での気づきを可能にします。
