セキュリティ運用におけるAI活用のポイント

資料をダウンロード

トレンドマイクロ主催のサイバーセキュリティカンファレンス「2024 Risk to Resilience World Tour Japan」。イベント全体のテーマは「AI×セキュリティが進む先」です。
基調講演においても、当社の大三川が「AI時代」の到来と、「AI×セキュリティ」を牽引していく当社の意思を表明しましたが、実際のAI活用に即したナレッジが、専門家からも共有されました。
トレンドマイクロで10年以上にわたり調査研究、ログ分析、機械学習や統計的手法による脅威ハンティングなどに従事してきた、シニアスレットリサーチャーの東結香（ひがし・ゆか）が、経験をもとに、「AIを活用するために大切なこと」と「セキュリティ運用でAIを活用するには」という2つのポイントを解説しました。

AIを活用するために大切なこと

昨今では、自動運転や医療の現場でもAIの活用が進み、生活の身近な領域で恩恵を受けられるようになってきました。業務の生産性向上を目的に、法人組織での導入も進んでいます。しかしながら、AIによってすべての問題が解決するわけではない、ということに多くの方々が気づきつつあるのではないでしょうか。「思うように精度が上がらない」「間違った回答を出力する^※」などの声も聞かれ、挙句には、トライアルは行ったものの正式導入は断念した、という組織もあるようです。
※AIが事実とは異なる内容や、文脈とは無関係な内容を生成する現象のことを「ハルシネーション（hallucination：幻覚）」といいます。まるで幻覚を見ているかのように「もっともらしい嘘」を出力するため、このように呼ばれています。

AIはただ導入すればよいというものではありません。うまく活用していくために、人間がAIを設計する必要があるのです。その際に考慮に入れておくとよいポイントとして、「ノーフリーランチ定理」と「醜いアヒルの子定理」を紹介します。これらは、AIがいくら進化したとしても変わらない普遍的問題につながるものです。

ノーフリーランチ定理
かつてアメリカのバーで、飲み物を注文した客に「無料のランチ」を提供していた。しかし実際には、飲み物の料金は高めに設定されており、また、提供されたハム・チーズ・クラッカーなどの塩分が高い食品により、客はさらに多くの飲み物を頼むこととなった。その結果、実は「無料のランチ」などはなく、常に料金を払っているのであり、「何も失わずに何かを得られることはない」ということを伝える格言。

この定理が、アルゴリズム開発のコンテキストにおいて示すのは、“何らかの犠牲を払ってどこかの性能を上げる”という考え方が重要であるということです。あらゆる問題に対して高性能なアルゴリズムはなく、「特定の分野で高性能のアルゴリズムは、他の分野ではあまり性能が良くない」か、あるいは、「どの分野でも平均点だが、とびぬけて性能が高い分野はない」かのいずれかに収束することが証明されています。したがって、人間が解決したい課題や問題に合わせてアルゴリズムを選択することが、AIを活用するうえで重要となります。

醜いアヒルの子定理
アンデルセン童話でおなじみの、アヒルの雛たちに交じって孵った白鳥の雛の話に由来。アヒルの雛たち（兄弟たち）は、自分たちと色や大きさが異なることから白鳥の雛を排除するが、アヒルの母親は、白鳥の雛が上手に泳げることから自分の子どもだとみなす。アヒルと白鳥の雛を比較するポイントは複数あり、兄弟たちと母親とで重視する“アヒルらしさ”の基準が異なっている。何かを分類するには主観的な基準が必要であることを示している。

この定理は、AIに何らかの判断や分類をさせることはできず、人間による主観的な基準設定が必要、ということを示しています。
これら2つの定理から、万能なAIは不可能に近く、その活用においては人間による「課題設定」とアルゴリズムの「適所適材」という考え方が必要なことが読み取れます。

「適所適材」については人間とAIにも当てはまります。もともとAIを導入する目的は、人間が苦手な分野を機械に任せることによる生産性の向上であることが多いでしょう。ただ、AIは7～8割の精度に達するには非常にコストパフォーマンスが良いものの、それ以上を目指すと指数関数的にコストが増大します。一方人間は、最初に育成コストが掛かっても、ある段階から自走することができ、コストはそれほど大きくかからなくなっていきます。AIと人間を組み合わせて、例えば90%の精度まではAIに任せて、90%を99%の精度にするのは人間が行う、というのもひとつの考え方です。

AIは7～8割の精度に達するにはコストパフォーマンスが良いが、それ以上の精度に達するには人間のほうが適していると考えられている

セキュリティ運用でAIを活用するには？

多くの組織において、セキュリティ担当者が大量のログの分析やアラート対応に追われて疲弊してしまうという課題があります。こうした労力を下げつつ、検出の精度をキープする（あるいは上げる）ために、AIを活用できると考えられます。

ただ、AIが何らかの事象を「不審」と判断したとしても、「どこの」「何が」「どのように」不審なのか等、人間が理解できる形の根拠が示されなければ、AIが助けるどころか仕事を増やしてしまう可能性があります。AIが「不審」と言っている以上は放置するわけにもいかず、「不審」の原因をあちこち捜索するはめにもなりかねないからです。

そこで、普段運用しているメンバーの「変だな」という不審な点に対する気づきを言語化することがまず必要です。人間が「不審」だと思うポイントの例としては、ファイル名が乱数などで構成され通常と異なる、ディレクトリに通常時には存在しないはずのファイルがある、通常と異なるIPレンジとの通信が行われている、などが挙げられます。

人間が「不審」と思う感覚を整理しモデル化することで、何が「不審」なのかをAIに判断させ、優先順位をつけてアラートをあげてもらうようにすることで、セキュリティ運用の負荷低減が期待できます。理想的なサイクルとしては、言語化した気づき→仮説→検証→実運用、というフローを継続的に廻していくことが、人間の良きパートナーとしてのAIの育成に効果的です。