BLOG | OFFICE OF THE CTO

ITセキュリティ オートメーションへのAIの活用

Lori MacVittie サムネール
Lori MacVittie
Published December 19, 2022

紛争時、井戸に毒を入れるというのは古くからの卑劣な手法ですが、井戸を利用できなくするにせよ、戦力を強化する手段として井戸を利用して病気を広めるにせよ、町の井戸は常に重要な攻撃ベクトルでした。

現代では、インフラストラクチャ、アプリケーション、デジタル サービスに変更を加えるための自動化を開始するスクリプトまたはAPIエンドポイントを井戸に例えることができます。ほとんどの組織(近日公開予定の2023年版アプリケーション戦略状況レポートによると78%)が、まさにそれを行うために、IT全体で豊富な自動化セットを導入しています。Facebook、Twitter、Amazonなどが運営する複雑なハイパースケール システムでも、変更を加えるための自動化が導入されていることを考えると、これは当然のことです。

その理由は、昔の共有井戸のように、1つのスクリプトが数分で数千のシステムに影響を与えることができるからです。以前は、同じ数のシステムを手動で変更しようとしたら、数日から数週間もかかったでしょう。自動化は、あらゆる種類の操作を人間では不可能な方法で拡張できる、戦力を強化する手段なのです。自動化は、プロセス、プラクティス、そしてビジネスを拡張するための基盤です。実際、『デジタル ビジネスのためのエンタープライズ アーキテクチャ』で私たちが行ったように、組織は自動化なしではデジタル ビジネスを運用できないと主張する人もいます。自動化は、組織がデータをうまく活用し、SRE運用を採用し、最新のアプリケーション デリバリを通じて適応する能力をデジタル サービスに組み込むために構築する必要がある6つの重要な機能の1つです。

しかし、自動化で問題なのは、それが自動的に行われることです。いったん始まると、そうした複数のシステムにわたって連鎖的に発生する変更を途中で止めることは困難です。変更の速度が自動化の原動力の1つであり、一度始まった変更を止めることは、不可能ではありませんが非常に難しいのです。

インターネットを利用しているなら、自動化によって意図しない変更が伝播され、最終的にはインターネットの大部分に影響が及んだという話を聞いたことがあるはずです。スクリプトに不正なパラメータが組み込まれていた場合、Enterキーが押されるか、APIエンドポイントが呼び出されたら、そのスクリプトを撤回することはほぼ不可能です。いったん実行されたら、井戸に毒を入れられたのと同じです。

IT自動化のセキュリティに関して私が警鐘を鳴らすのはこれが初めてではありません。これは見過ごされ、十分に調査されていない攻撃ベクトルであり、いずれは悪用されることになるでしょう。その「いずれ」が数十年先だとしても、より差し迫った脅威であるヒューマン エラーは依然として存在します。Uptime Instituteの最新の調査によると、「組織の40%近くが、過去3年間にヒューマン エラーが原因で大規模なサービス停止に見舞われています。」

そこで、AI(より正確にはML)の出番です。

IT自動化の保護に機械学習を活用する

機械学習は特に、データ ポイント間のパターンと関係を明らかにすることに長けています。今日、市場のほとんどは、セキュリティと運用上の課題を解決することを目的とした機械学習の利用に注目しています。これには、ユーザーがボットと人間のどちらであるかの識別や、攻撃の認識、さらには差し迫ったサービス停止の予測などが含まれます。

あまり開拓されていない分野が、アプリケーション インフラストラクチャの保護(AIP)です。例えば、F5 Distributed Cloud AIPは、機械学習を使用して、オペレータと管理者が重要なシステムとどのようにやり取りしているかを理解し、そのやり取りが標準から逸脱するとすぐに通知します。これは、攻撃者がアクセスできてはならないディレクトリにアクセスしようとしたり、正規外の使用法でパラメータを使用してコマンドを呼び出そうとしたりするのを検知するのに役立ちます。

この最後の部分をもう一度読んでください。正規外の使用法でパラメータを使用してコマンドを呼び出すのです。

そう、ここです。異常なパラメータや異常なコマンドの実行の試みを検知するAIP(および一般的な機械学習)の能力において、セキュリティが特別であることは何もありません。つまり、このテクノロジーをIT自動化に簡単に適用して、ヒューマン エラーや意図的で悪意のあるコマンドを検知することができるのです。

ターゲット システムへのアクセス レベルが適切であると仮定すれば、こうした機械学習ソリューションは間違いなく、偶発的な不正なパラメータ、横方向の通信の試み、その他の攻撃(ランサムウェア)からシステムを保護する手段となります。

アプリケーション、アプリケーション デリバリ、自動化のためのインフラストラクチャは依然として魅力的な攻撃ベクトルです。組織は自動化の導入を進めると同時に、自動化の使用の悪影響を、偶発的か意図的かにかかわらず、考慮する必要があります。そこから、防ぎようのないタイプ ミスからも悪意のあるキー入力からもシステムを保護する方法を検討しなければなりません。

自動化は戦力を強化する手段であり、終止符となり得ます。つまり、意図したユース ケースにも悪意のあるユース ケースにも役立つのです。これは、それを保護する必要があることを示唆しています。機械学習は、AIと運用を統合して、デジタル ビジネスの重要な構成要素であり続けるインフラストラクチャを保護するための1つの方法となるでしょう。