AIがネットワークセキュリティに及ぼす影響と変化

この記事では、前回の「ネットワークの管理・運用におけるAIの活用」に引き続き、ネットワーク技術とAI(人工知能)がどのような関係にあるのか、AIによってネットワークをはじめとしたITインフラの構築・運用がどのように変わるのか、ということを紹介します。今回は、ネットワークセキュリティにAIが及ぼす影響と変化、そしてエッジコンピューティングという概念とネットワークの関係について取り上げます。

AIで進化するセキュリティ

まずはじめに、ネットワークセキュリティとAIの関係について紹介します。AIは、ネットワークを守る側にも利用されますが、時には攻める側にも利用されることがあります。ここでは、ネットワークを攻める側について、攻撃手段やAIの利用方法について説明し、その攻撃にどのように対処していくかを解説します。

サイバー攻撃の高度化

企業や組織に対するサイバー攻撃は、増加の一途を辿っています。さまざまな企業がサイバー攻撃を受け、情報漏洩や業務停止に陥った事例が報道されています。攻撃の量だけでなく、手口も高度化しています。そのため、従来の運用業務の枠内では対処しきれないことも増えてきています。総務省が発表した情報によるとサイバー攻撃関連の通信数が2015年から2022年の間に8.3倍まで増大しているという報告が上がっています。

近年のサイバー攻撃では、我々が日々の業務で扱うデータが攻撃対象となっており、その中には機密情報や個人情報などのデータも含まれています。このデータを暗号化し「人質」にとるランサムウェアや、データを窃取して身代金を要求するノーウェアランサムなどの攻撃が存在します。実際に、病院や企業がランサムウェアによって院内・社内のデータが暗号化され、その解除を求めて高額な身代金が要求された事例があります。

また、一般的なインターネット検索エンジンでは検索できない、秘匿性の高いインターネットの領域「ダークウェブ」でつながったハッカー(クラッカー)集団による、特定の組織への集中的な攻撃が近年の傾向となっています。

標的型攻撃の増加

近年増加しているサイバー攻撃の形態として「標的型攻撃」があります。標的型攻撃は、特定の企業や組織を対象にしたサイバー攻撃です。具体的には、関係者を装って特定の企業、組織のメールアドレスにウイルス、マルウェアなどを含んだメールを送信し、受信した従業員が文中のリンクをクリックすることで被害を受けてしまうというものです。標的型攻撃で被害が発生しやすいのは、攻撃者がターゲットを特定して準備をしているため、文面や添付ファイルの内容も本物と見分けがつきにくいためです。

近年では、AIなどによる翻訳の高度化により、外国のハッカー集団からの、自然な日本語での攻撃も増加しています。

ゼロデイ攻撃の脅威

標的型攻撃と合わせて増加しているのが、「ゼロデイ攻撃」です。ゼロデイ攻撃とは、OSやアプリ、ネットワーク機器などの未発表の脆弱性に対して、修正が行われる前に攻撃を行うことです。

ソフトウェアやハードウェアの脆弱性は、素早くハッカー集団内で共有され、攻撃の対象となります。通常、脆弱性をソフトウェアやハードウェアの提供者が認識すると、修正パッチを開発し、配布されます。しかし、開発には時間がかかり、修正パッチが適用されるまでは、ゼロデイ攻撃への対策としては、攻撃されることを前提に、被害を広げない防御が基本方針になります。

攻撃者にも利用される生成AI

「生成AI」は、その便利さから多くの分野で活用されていますが、同時に悪用される危険性もあります。ChatGPTなどの公開されている生成AIには、悪意のあるプログラムなどを作成しないリミッターがかかっていて、そのような指示をしても断られるようになっています。しかし、ダークウェブではリミッターのない生成AIが利用されていると言われています。

また、生成AI自体が悪意のあるユーザーの指示に従い、Webサイトを攻撃するということが起こりつつあります。実際に、生成AIが既存のハッキングに関する知識をもとに、Webサイトの脆弱性を自ら発見し、攻撃できることを実証した最新の研究も存在します。

参考: Fang, et al., 2024, LLM Agents can Autonomously Hack Websites

そして、2024年以降は、このような生成AIを用いた攻撃が急激に増加すると見られています。

ルールベースAIによる対策

ここからは、上述のような新しい脅威に対して、どのように対処していくかについて紹介していきます。

サイバー攻撃への対策の基本は、ホワイトリストやブラックリストなどのルールに基づくフィルタリングです。これは、通信を許可するデバイスや経路、プロトコル、宛先をルール化し、許可するかしないかの判断するものです。この技術・機能は従来からありますが、近年ではルールベースあるいはロジックベースのAIという表現もされます。

ただし、ルールの設定は、基本的に人間が行うため、あらゆる通信をルール化して制御することは不可能で、完璧な対策ではありません。

機械学習型AIによる対策

上述したゼロデイ攻撃は、攻撃パターン自体が未知であるため、ルールベースAIだけでは対処が困難です。そのような攻撃も含めて、ルールベースAIで対処できない範囲をカバーするのが、機械学習モデルを用いたAIです。

機械学習は、事前に与えた大量のデータから、パターン(関係性)を見出して予測やグループ分けを行うアルゴリズムのことです。ネットワークセキュリティに機械学習型のAIを活用することで、通信における異常を自動的に検出し、対処することができます。

例えば、「正常なネットワークの振る舞い」を学習させた機械学習AIは、パターンから外れた異常な通信を精度高く検出できます。これは「異常検知」と呼ばれ、悪意のある攻撃だけでなく、機器の故障や設定ミスによるトラブルも迅速に検出できます。

生成AIを活用したリスクの洗い出しと訓練

先ほど紹介した研究事例のように、生成AIはWebサイトの脆弱性を自ら発見し、攻撃することができますが、この技術を正しく活用することで、稼働中または新規に構築したネットワークにおけるリスクを洗い出すことも可能です。システムやネットワークのリリース前に、生成AIを用いて自ら攻撃を仕掛けることで、設定漏れなどを検出し、対策できます。

人間によるテストと、生成AIによる攻撃テストを組み合わせることで、網羅的にリスクをチェックし、より安全なネットワークを実現できます。

なお、ChatGPTなどの公開された生成AIは、ユーザーが入力した内容を学習する場合もあるので、自社の機密情報や重要な設定情報などを入力しないようにしましょう。本格的に生成AIをセキュリティ対策に活用する場合は、自社専用に追加で学習した生成AIモデルをクローズドな形で利用することになるでしょう。いくつかのITベンダーから、そのようなセキュリティ対策のための生成AIソリューションが提供されています。

まとめ

この記事では、ネットワーク技術とAI(人工知能)がどのような関係にあるのか、AIによってネットワークをはじめとしたITインフラの構築・運用がどのように変わるのか、ということを紹介しました。特に、ネットワークセキュリティにAIが及ぼす影響と変化について取り上げました。他にも、Junipediaではみなさんの情報収集に役立つさまざまなコンテンツを発信しています。ぜひ、参考にしてください。