拓海先生、最近部下から「APTの検出をAIで自動化すべきだ」と言われまして、正直ピンと来ていないんです。要するに現場の仕事を楽にするってことですか?
素晴らしい着眼点ですね!大丈夫、落ち着いて聞いてください。論文の要点を結論から三つにまとめると、1) 膨大なアラートを意味ある「インシデント」に自動でまとめる、2) 攻撃の段取り(ATT&CK)を意識して関連付ける、3) 最後に優先度を付けて分析者の負荷を劇的に下げる、ということなんです。
なるほど。アラートが多すぎて現場が埋もれているのは確かです。ただ投資対効果が心配で、導入に大きなコストや専門人材が必要なら躊躇します。これって要するに人手を減らすのではなく、やるべき作業を優先順位付けして効率化するということ?
その通りです。大丈夫、一緒にやれば必ずできますよ。まず押さえるべき点は三つです。1つ目は自動化は分析者を置き去りにしないという設計思想です。2つ目は複数の小さなアラートをつなげて一つの攻撃計画として扱うことで、誤検知(false positive)を減らすことができる点です。3つ目は結果に優先順位を付けて、人は意思決定に集中できるようにする点です。
専門用語が出てきましたが、ATT&CKって何ですか。現場で聞いても反応に困る単語がありますので、実務目線で教えてください。
ATT&CKはMITRE社がまとめた「攻撃の段取り」を整理したカタログです。難しく言えば攻撃の戦術と技術を分類したフレームワークですが、実務では「攻撃者がどう動きやすいかのチェックリスト」と考えればよいです。例えるなら、不審人物の行動パターンを一覧にして見張りのチェック項目にするようなものです。
そして論文ではこれをどう使っているのですか。攻撃の段取りをどの段階で当てはめるんでしょうか。あと、現場でのデータはバラバラでノイズが多いのですが、それでも効果はあるのですか。
良い質問です。論文は四段階の流れを提案しています。1) アラートの雛形化と統合で似たアラートをまとめ、2) アラートをつなげたグラフを作り、3) そのグラフを分割して「インシデント」に分け、4) 最後に因子グラフ(Factor Graph)を使ってインシデントごとにスコアを付けるのです。ATT&CKは因子グラフで「この段取りは妥当か」を評価するための知識として機能します。現場のノイズはアラートをグルーピングしてグラフで扱うことでかなり抑えられますよ。
因子グラフ(Factor Graph)という言葉も出ました。数式や専門家がいないと扱えない印象が強いのですが、普通の現場で運用できますか。人の判断との結び付けはどうするのですか。
因子グラフを難しく感じるのは自然です。簡単に言えば因子グラフは“項目同士の妥当性を評価する仕組み”です。現場では因子グラフが出したスコアを「優先度」として表示し、分析者はその優先度順に確認するだけで業務が回る設計になっています。つまり専門家が毎回数式を読む必要はなく、システムは人が意思決定しやすい形に整えてくれるのです。
分かりました。最後に私の言葉で確認させてください。これは要するに、散らばったアラートを意味あるまとまりにまとめ、攻撃の筋(ATT&CK)を照らして妥当性を評価し、優先順位を付けることで、熟練担当者が少ない体制でも効率的に防御できるようにする仕組み、ということで合っていますか?
素晴らしいまとめです!その理解でまったく合っていますよ。大丈夫、導入は段階的に進められますし、まずはデータ統合とアラートのテンプレート化から始めて、価値を確認しながら進められます。必ず成果が見える形で進めましょうね。
