11月13日のBCNセッション（特別講演）「AI対AI時代のサイバー防衛論 ～なぜ、AIによる攻撃には、AIによる防御が不可欠なのか～」では、プロイノベーションの久原健司・代表取締役がセキュリティー領域でのAIの活用術を取り上げた。


　ランサムウェア攻撃はいっこうに衰えの兆しを見せず、業務停止や社会的信用の失墜に追い込まれる企業・団体が続出している。なぜ、そのような事態がなくならないのかーー。久原代表取締役は「巨大ビジネスになってしまったからだ」と述べ、儲かるビジネスだからこそ攻撃側が進化し続けていると説明した。攻撃用ツール一式をRaaS（Ransomware as a Service）として提供する業者の登場によって攻撃者が増え、サプライチェーン攻撃の手法で攻撃対象が拡大しているのだ。

　攻撃側がAIを活用するようになったことも大きい。「本物そっくりの偽メールの作成」「亜種ランサムウェアの大量生成」「攻撃地点の自動探索」「複数のAIによるマルチエージェント攻撃」によって、マルウェアは致命的レベルにまで進化。AIによって自動化された攻撃は数十分で完了するのに対して、防御側の分析と対応策決定は手作業の場合、少なくとも数時間が必要となる。

　このような非対称性を解消するには、防御側もAIを積極的に活用する必要がある、というのが久原代表取締役の考えだ。例え話でいえば、静的な“防火壁”から動的な“免疫系”へと防御戦略を切り替えるイメージだ。防火壁の場合、いったん破られると次の防御策はなく、建物の内部は燃え尽きてしまう。しかし、免疫系は病原体を継続的に検知・学習して自ら戦ってくれるので、長期にわたって被害を最小限に食い止められるのである。

　具体的な対抗策は三つある。

　初めは、潜伏状態にある異常を常時の振る舞い分析（UEBA）で見抜くこと。ユーザー操作や機器のログデータを収集して通常の行動パターンをAIに学習させておき、それと異なる動きが見られたらアラートを出させるわけだ。

　次に、攻撃の前触れとなる不審な動きをEDRやXDRで検知する予測的防御。Wordからの通信や大量ファイルの暗号化などがそうした兆候の典型的な例だ。

　最後は、対処のアクションをSOAR（Security Orchestration, Automation and Response）ツールで瞬時に自動実行させることだ。「IPアドレス調査」「端末隔離」「担当者への通知」などの典型的なアクションはプレイブックとして事前に作成・登録しておけばよい。

　「このような要素を具現化するには、さまざまなセキュリティー対策ツールが自動的に連携できる仕組みが必要。それができるツールの登場を待ち望んでいる」と、久原代表取締役。企業のセキュリティー投資はぜひAI活用に振り向けてほしい、と述べた。