●セキュリティ・ベンダー、彼らの製品のAI機能を評価せよ
昨今、AI(人工知能)が注目を集めていることは言うまでもないが、それはセキュリティ分野にも及んでいる。AIを活用して、脅威を予測したり、防御したりすることを掲げているセキュリティ・ベンダーが増えている。

このほど、ガートナー ジャパンが開催した「ガートナー セキュリティ&リスク・マネジメント サミット 2017」において、米Gartner リサーチ リサーチ ディレクターのマーク・ホーヴァス氏が「人工知能とセキュリティ・ベンダー:流行のマーケティングで終わるか、真の希望なのか」というテーマで講演を行った。

同氏の講演から、AIはバズワードで終わってしまうのか、それとも、終わりなきセキュリティ戦争の救世主となるのか考えてみたい。

○AIをセキュリティ分野に導入するかどうかの論点は3つ

まず、ホーヴァス氏はセキュリティ分野におけるAIの立ち位置について、「マルウェアが洗練されてきたため、現在のテクノロジーでは検知が難しくなってきている。AIを活用して、マルウェアを作る攻撃者さえ出てきた。そこで、AI活用の検討が始まるが、その際は、ROIを可視化する必要がある」と説明した。

こうした背景を前提に、AIをセキュリティ分野に導入するかどうかの論点として、以下の3つが紹介された。

人工知能というマーケティング用語が過度に使用されている中で、 誇大表現と真の価値をどのように見分ければよいか
自社にAIベースの製品が適しているかどうかをどのように見極めれば よいか
AIのメリットを実現するには組織やスタッフをどのように変える必要が あるか

また、2020年までに、AI駆動型の機能を提供すると主張するセキュリティ・ベンダーの割合は 現在の10%から40%に増えるため、セキュリティ/リスク管理のリーダーはAIの使用を批判的に評価する必要があるという。

○AIが既存の投資を上回り、定量が可能な改善をもたらすかを判断

最初の論点である「AIの価値の見極め」について、ホーヴァス氏は、AIベンダーの主張を検証して、既存の投資を上回るとともに定量化が可能な改善をもたらすかどうかを判断する必要があると語った。

判断を行う際のポイントは「自動化」「正確性」「不眠不休」「複数のパラメータの相関性」となる。

よくトレーニングされたAIは、セキュリティのエキスパートのチームに比べてケタ違いのスピードで大規模なデータセットを復習でき、人間が実行する同様の処理に比べて相当の改善が期待できるという。

また、ホーヴァス氏は、ベンダーが提供する異常検知とセキュリティ分析に対するAIの有効性を評価する品質指標を定義する必要性についても説明した。具体的には、以下の指標が考えられるという。

従来のテクニックで得られる結果と比べ、これらの結果はどの程度優れているか
システムは継続的に学習するか、または定期的な再トレーニングが必要か
トレーニング・データの出所と範囲は何か、自社で所有しているデータとどの程度似ているか
中立的なサードパーティまたは事例研究からの結果はあるか
他の顧客と結果を共有するか
そのシステムを再トレーニングできる唯一のベンダーか

AIのセキュリティに対する適用例としては、「アプリケーション・セキュリティの テスト」「マルウェアの検知」「脆弱性テストの対象の選択」「SIEM管理
」「ユーザー/エンティティ挙動分析」「ネットワーク・トラフィック分析」が紹介された。

●ミスをするのは当たり前、ならば早期に失敗するべし
○パイロットを実施して「とにかく失敗」を

2つ目の論点「自社にAIベースの製品が適しているかどうかの見極め」について、ホーヴァス氏は「早期に失敗することが重要」と述べた。シリコンバレーではAIについて「とにかく失敗しろ」というのが合言葉らしい。

「早期に失敗する」には、製品を購入する前に、自社のデータとテスト用インフラストラクチャを使って、パイロット版(概念実証)を実行すればよい。具体的には、現在のスタッフとインフラストラクチャによって、「現在のプロセスを事前に定量化」「パイロット版の期待値を定量化」を行い、パイロット版を少なくとも30日間実行する。

「ミスをするのは当たり前のこと。ならば、評価中にミスをしたほうがよい」とホーヴァス氏。

○AIのメリットを享受するために、組織をどう変更するか

3つ目の論点「AIのメリット実現に向けての組織の変更」については、AI製品に対するコミットメントの評価において、次の項目を検討する。

データ・サイエンティストを雇う必要があるか、あるいは現在のスタッフを活用できるか
データ・キュレーションにどのようなツールを利用でき、どの程度のトレーニングが必要か
結果から正確性が失われた際、製品から不良データを特定および排除するのはどの程度困難か
時間とともに結果の正確性が低下した場合、何をする必要があるか

加えて、ホーヴァス氏は、セキュリティ・プロセスに占めるAIの割合が大きく なったら、AIの評価と管理にリソースを割り当てて、持続可能にする必要があると説明した。

小さな組織であれば、コンサルタントを雇うか、開発者またはセキュリティ担当者を トレーニングする。 また、大規模な組織であれば、常勤採用を検討する。

最後に、ホーヴァス氏は同社からの提言として、セキュリティ/リスク・マネージャーのための行動計画を紹介した。

直ちに実行すべき事項は「AIプロジェクトを検討中の領域をレビュー」「コスト/メリットと既存の技術を対比させた上での評価」となる。

90日以内に実行すべき事項は「自社のデータを用いてパイロット版を実行」「5年以上継続するために必要となる変更項目を評価」となる。

1年以内に実行すべき事項は「メリットを維持するために人員を増やす」「技術の変化に合わせ、自分のアプローチを再評価」となる。

他の技術と同様にAIもまた導入にあたっては、その特徴を理解した上で、自社にとってどのようなメリットをもたらすのか、どのような体制で運用を行うのかを明らかにしておく必要があるようだ。AIのイメージに惑わされることなく、本質を見極めて、導入に踏み切りたいものである。