PRESS RELEASE (技術)
2019年1月22日
株式会社富士通研究所
サイバー攻撃への対処要否を判断するAI技術を開発
専門家と同等精度の判断と判断時間短縮を実現し、被害最小化に貢献
株式会社富士通研究所(注1)(以下、富士通研究所)は、サイバー攻撃を受けた際に対処の要否をAIで自動判断する技術を開発しました。
業務ネットワークに対してサイバー攻撃が行われた際には、ネットワーク上のサーバや端末、様々なセキュリティ・アプライアンスが攻撃を検知後、サイバー攻撃分析の専門家が手動で危険性を調査・確認し、被害を最小化するための対処の要否を決定しています。
今回、高精度なAI技術の開発に必要な学習データを確保するため、大量の業務ログからサイバー攻撃のふるまいを表す攻撃ログを特定し抽出する技術を開発するとともに、抽出した数少ない攻撃の学習データを攻撃性が損なわれないように拡張し、十分な量の学習データを生成する技術を開発しました。本技術を活用したシミュレーションでは、専門家による対処要否判断と比較し、約95%の一致率と要対処の攻撃事案の見逃しゼロを達成しました。また、判断にかかる時間を数時間から数分に短縮できることを確認しました。
本技術を活用することで、要対処と判断されたサイバー攻撃に対しすぐに対策を実施することができ、損失防止や業務継続に寄与します。
本技術の詳細は、1月22日(火曜日)から1月25日(金曜日)まで滋賀県大津市で開催される「2019年暗号と情報セキュリティシンポジウム(SCIS 2019)」にて発表します。
開発の背景
近年、業務ネットワークに対するサイバー攻撃は増え続けています。サイバー攻撃の1つである標的型攻撃(注2)では、攻撃者は遠隔操作が可能なマルウェア(注3)を巧妙な手口で組織内に送り込んだ後、マルウェアに感染した端末を遠隔操作して諜報活動を行います。これに対して企業は、セキュリティ・アプライアンスなどの監視機器が不審な活動を見つけたとき、損害を被る可能性が高い危険な攻撃であるかどうかを、セキュリティの専門家が手動で調査・確認し、対処が必要な攻撃事案かどうか時間をかけて判断しています。対処を実行する際は、攻撃を受けた業務端末をネットワークから遮断して再構築するなど、業務が止まりビジネスに影響を与える場合があるため、要対処かどうかの判断は慎重に行う必要があります。
経済産業省の統計(注4)によると、日本では2020年にセキュリティ人材が19万3,000人不足すると言われています。標的型攻撃を受けた時に要対処の攻撃事案かどうかを迅速に判断して早期対処を可能にするためには、攻撃に関する高度な知識・知見を持つ専門家と同等レベルの危険性判断を実現するAIによる自動化が期待されています。
図. 企業のサイバー攻撃への対応
拡大イメージ
課題
対処要否の判断を可能にするAI技術の開発には、攻撃情報の学習において次のような課題がありました。
- サーバや端末、ネットワーク機器には、正規の動作ログと攻撃操作のログが混在して大量に蓄積されています。AI技術で適切な学習を行うためには、大量のログの中から危険性のある標的型攻撃の痕跡を選別する必要があります。しかし、標的型攻撃による諜報活動はOSのコマンドなどを使うため、ログの区別が困難です。
- 膨大に存在するログから攻撃操作ログを抽出し、学習データとして大量に確保することは非常に困難です。AI技術では、少量の学習データを元に、ノイズ付加などの加工と変換を行うことでデータ量を増やすことは可能ですが、標的型攻撃の学習データは単純な加工処理では攻撃性が失われる場合があり、データ拡張が難しいことが課題でした。
開発した技術
今回、精度の高いAIの判定モデルの生成に必要な、十分な量の標的型攻撃に関する学習データを確保する技術を開発しました。開発した技術の特長は以下のとおりです。
- 学習データの抽出技術
これまでのセキュリティ関連業務・研究で培ってきたノウハウを元に、攻撃分析で得た約7年間の実績データから、標的型攻撃の諜報活動につながるコマンドや引数などのパターンを攻撃パターンデータベースとして構築しました。このデータベースを利用することで、膨大なログから一連の諜報活動を正確に特定・抽出することが可能になりました。
- 学習データの拡張技術
抽出した標的型攻撃の一連の諜報活動に対して、攻撃性の高さを算出し重要なコマンドを特定後、その引数を攻撃パターンデータベースに存在する範囲で変化させることで、攻撃性を失うことなく、新たな諜報活動(標的型攻撃の亜種)を疑似的に生成します。これにより、学習データを4倍に拡張することが可能になりました。
効果
開発技術を、富士通研究所が開発したAI技術「Deep Tensor(ディープテンソル)」と組み合わせて、今回生成した学習データによって学習させた判定モデルの評価実験を行いました。12,000件に上る約4カ月分のデータを活用してシミュレーションを行った結果、セキュリティの専門家が手動で分析した結果との一致率が約95%と、ほぼ同等の対処要否判断を実現することができました。さらに、国立研究開発法人情報通信研究機構(NICT)が運用しているサイバー攻撃誘引基盤「STARDUST(スターダスト)」(注5)において、企業を狙った実際のサイバー攻撃を使用した実証実験を行ったところ、対処が必要な攻撃事案であると自動判断し、その有用性を確認しました。
本AI技術により、これまで数時間~数日間かかっていた専門家による対処の要否判断を、数十秒~数分で高精度に自動判断することが可能となります。さらに、標的型攻撃の被害状況の全貌を短時間で分析する、富士通研究所の高速フォレンジック技術と組み合わせることで、攻撃の分析から対処指示までの一連の対応を自動化でき、サイバー攻撃への即時対処と被害の最小化への貢献が期待できます。
今後
サイバー攻撃の対処基盤として、マネージドセキュリティサービスなどでの本技術の活用を目指します。
商標について
記載されている製品名などの固有名詞は、各社の商標または登録商標です。
以上
注釈
- 注1 株式会社富士通研究所:
- 本社 神奈川県川崎市、代表取締役社長 古田英範。
- 注2 標的型攻撃:
- 特定の組織や個人を標的にして執拗に情報窃取やシステム破壊を行う攻撃。
- 注3 マルウェア:
- 悪意のあるソフトウェア。
- 注4 経済産業省の統計:
- 2016年に経済産業省が公開した「IT人材の最新動向と将来推計に関する調査結果」
http://www.meti.go.jp/press/2016/06/20160610002/20160610002-7.pdf - 注5 サイバー攻撃誘引基盤「STARDUST」:
- 国立研究開発法人情報通信研究機構(NICT)が開発したサイバー攻撃の観測用基盤。政府や企業などの組織を精巧に模擬した環境に攻撃者を誘い込み、攻撃者に察知されないように攻撃活動を長期観測することで、攻撃者の組織侵入後の詳細な挙動を明らかにし、サイバー攻撃対策・対処に必要な情報を収集することを目的としている。
本件に関するお問い合わせ
株式会社富士通研究所
セキュリティ研究所
044-754-2681(直通)
fjsfpsy-ir@ml.labs.fujitsu.com
プレスリリースに記載された製品の価格、仕様、サービス内容、お問い合わせ先などは、発表日現在のものです。その後予告なしに変更されることがあります。あらかじめご了承ください。