生成AIは、詩や脚本、そして画像を生成する能力を持ち、世界中の想像力をかきたてています。このツールは人間の生産性を向上させる目的で活用もできる一方、悪意のある行為者が高度な攻撃に使用もできます。
フィッシング攻撃やソーシャルエンジニアリングは、攻撃者が新た登場した強力なツールを利用し信頼性のあるコンテンツを生成したり、あたかも実在する人物のように人間とやり取りをしたりすることもあり、手口がより巧妙になっています。攻撃者は、AIを使って高度なツールを構築し、社外秘データの盗難やユーザーアカウントの乗っ取りを目的に、特定のサイトの攻撃をたくらみます。
新たに生まれたこうした課題から身を守るためには、より洗練された新しいセキュリティツールが必要になります。Cloudflareでは、弊社セキュリティ・ソリューションの有効性を向上させる方法を考える際、「Defensive AI」フレームワークを活用しています。Defensive AIでは、Cloudflareの膨大なネットワークから生成されるデータが鍵となります。その内容は、ネットワーク全体にわたる一般的なデータから個々のお客様のトラフィックに特化したデータまで、さまざまです。
Cloudflareでは、アプリケーション・セキュリティから電子メールセキュリティ、Zero Trustプラットフォームに至るまで、あらゆるセキュリティ分野でAIを活用し保護レベルを高めています。これには、APIや電子メールのセキュリティのために顧客ごとにカスタマイズされた保護を作成したり、弊社の膨大な攻撃関連データを使用してモデルを訓練し、まだ発見されていないアプリケーション攻撃を検出したりすることが含まれます。
以下のセクションでは、AIを活用した攻撃に対するセキュリティを確保する、AIを活用した最新世代のセキュリティ製品の設計事例を紹介します。
異常検知によるAPIの保護
APIは、Cloudflareネットワーク全体のダイナミックトラフィックの57%(2021年の52%から増加)を占めていることからも、現代のWebで多用されていると言えます。APIは新しい技術ではないものの、APIのセキュリティ確保に関しては従来のウェブアプリのセキュリティ確保とは異なります。APIは設計上プログラムによるアクセスが容易であり、その人気も高まっているため、詐欺師や脅威アクターはAPIを標的とするようになりました。セキュリティチームは今、この脅威の高まりに対抗しなければなりません。重要なことは、APIはそれぞれ、その目的と用途において通常特定の目的に限っているため、APIのセキュリティ確保には膨大な時間がかかる点は捨て置けません。
Cloudflareは、アプリケーションへの損害、アカウントの乗っ取り、データの流出を目的とした攻撃からAPIを保護するため、API Gateway向けにAnomaly Detectionを開発したことを発表しています。API Gatewayは、ホスティングされたAPI、およびAPIとインターフェースするすべてのデバイスの間に保護レイヤーを提供し、APIの管理に必要な可視化、制御、セキュリティツールを提供するものです。
API Anomaly Detection(異常検知)は、API Gateway製品スイートにおけるMLを利用した新機能であり、Sequence Analytics(シーケンス分析)の後継製品です。APIを大規模に保護するために、Anomaly DetectionはクライアントのAPI呼び出しシーケンスを分析することで、アプリケーションのビジネスロジックを学習します。そして、そのアプリケーションで予想されるリクエストのシーケンスがどのようなものであるかのモデルを構築します。その結果得られたトラフィックモデルを用い、期待されるクライアントの動作から逸脱した攻撃を特定します。その結果、API GatewayはAPISequence Mitigation(シーケンス不正軽減)機能を用い、学習したアプリケーションの意図するビジネスロジックのモデルを実行し、攻撃を阻止できます。
API Anomaly Detectionはまだ開発中であるものの、API Gatewayをご利用のお客様はこちらよりAPI Anomaly Detectionのベータ版に登録できます。現時点では、ドキュメントを確認しSequence AnalyticsとSequence Mitigationのご利用を始めていただけます。Enterprise、API Gatewayを購入されていないお客様は、Cloudflare Dashboardからトライアルをセルフで始めるか、アカウントマネージャーにお問い合わせください。
未知のアプリケーションの脆弱性の特定
AIがセキュリティを向上させるもう1つの分野に、弊社Webアプリファイアウォール(WAF)があります。Cloudflareでは、毎秒平均5,500万件のHTTPリクエストを処理しており、さまざまなアプリケーションを標的とした世界中の攻撃や乱用に対する比類なき可視性を備えています。
WAFには、新しい脆弱性や誤検知に対する保護を追加することが大きな課題の1つとなっています。WAFは、Webアプリに向けられた攻撃を識別するために設計されたルールが集まって構成されています。脆弱性は新たに日々発見されており、Cloudflareではセキュリティアナリストのチームが脆弱性が発見された際に新しいルールを作成しています。しかし、手動でルールを作成するには時間がかかり、通常は数時間かかります。さらに、攻撃者が既存のルールを回避できる可能性のある既存の攻撃ペイロードを絶えず進化させ、変異させていることも問題の1つとなっています。
そのため、Cloudflareは長年にわたり、常に最新の攻撃から学習する機械学習モデルを活用し、手動でルールを作成することなく脅威軽減策を導入してきました。例えば、当社のWAF Attack Scoreソリューションにその実例を見ることができます。WAF Attack Scoreは、Cloudflareネットワーク上で特定された攻撃トラフィックに基づいて学習されたMLモデルに基づいています。その結果得られた分類基準により、既存の攻撃のバリエーションや回避を特定するだけでなく、新他に現れた未知の攻撃への保護を拡張できます。最近、Attack ScoreはすべてのEnterpriseおよびBusinessプランでご利用可能となりました。
AIを使ってHTTPリクエストを悪意のある可能性に基づいて分類するAttack Score
セキュリティアナリストによる対応は不可欠であるものの、AIと急速に進化する攻撃ペイロードの時代において強固なセキュリティ態勢を構築するには、新しい脅威ごとにルールを作成する、人間のオペレーターに依存しないソリューションが必要になります。Attack Scoreと従来のシグネチャベースのルールの組み合わせは、人間が行うタスクにおいてインテリジェント・システムによるどのような支援が可能かを示す一例です。Attack Scoreでは、新しい悪意のあるペイロードを識別し、アナリストがルールを最適化するためにこれを用いることができます。これにより、WAFの全体的な保護とレスポンスタイムを向上させるポジティブなフィードバックループが強化されます。
長期的には、顧客固有のトラフィックの特性を考慮するようAIモデルを適応させ、正常かつ良性のトラフィックからの逸脱をより適切に識別できるようにします。
フィッシング対策にAIを活用
アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁(CISA)の報告では、サイバー攻撃の90%はフィッシングから始まるとされており、Cloudflare Email Securityは年のメールの2.6%を悪意のあるものメールとしてマークしています。AIによって強化された攻撃の台頭により、従来のメールセキュリティプロバイダーは時代遅れとなりつつあります。
Cloudflare Email Securityは、あらゆる脅威ベクトルにおいてフィッシング攻撃を阻止するクラウドネイティブなサービスです。Cloudflare Email Security製品は、ジェネレーティブAIなどのトレンドが進化し続ける中でも、AIモデルによってお客様を守り続けています。Cloudflare当社のAIモデルは、フィッシング攻撃のあらゆる部分を分析し、エンドユーザーにもたらされるリスクを判断します。当社のAIモデルの中には、顧客ごとにパーソナライズされたものも、全体的に訓練されたものもあります。Cloudflareではプライバシーを最優先しているため、当社のツールでは個人を特定できない情報のみがトレーニングに使用されます。2023年、Cloudflareは約130億通のメールを処理し、34億通のメールをブロックしており、メールセキュリティ製品ではAIモデルの学習に使用できる豊富なデータセットが得られています。
弊社ポートフォリオの一部として、Honeycomb(ハニカム)とLabyrinth(ラビリンス)の2つの検出があります。
_ハニカム_は、メール送信者ドメインレピュテーションモデルです(特許取得済み)。このサービスは、誰がメッセージを送信しているかのグラフを構築し、リスクを判断するモデルを構築します。モデルは特定の顧客のトラフィックパターンに基づいて訓練されているため、良好なトラフィックがどのように見えるかがすべての顧客に応じて訓練されたAIモデルが実現しています。
_Labyrinth_では、お客様ごとにML(機械学習)を用いた保護を行っています。詐欺師は、弊社クライアントの中から実在するパートナー企業からのメールを偽装しようとします。Labyrinthでは、各クライアントの既知および正当なメール送信者の統計リストを収集できます。そして、メールが検証されていないドメインから送信されているもののメール自体に記載されているドメインがリファレンス/検証済ドメインである場合、なりすましの試みを検出できます。
AIは当社のメールセキュリティ製品の中核であり、製品内でAIを活用する方法を常に改善しています。AI強化型フィッシング攻撃を阻止するための当社のAIモデルの詳細をお知りになりたい場合、こちらのブログ記事をご覧ください。
Zero Trust AIが守るセキュリティ
Cloudflare Zero Trustにより、ネットワーク境界の内外を問わず、すべての人とデバイスに対して厳格な本人確認を実施することで、管理者にはITインフラへのアクセスを保護するツールがもたらされます。
頻繁な検証によって生じる摩擦を減らしながら、厳格なアクセス制御を実施することが大きな課題のひとつとなっています。既存のソリューションは、インフラ内でのリスクの進化を追跡するためにログデータを分析するITチームにも、プレッシャーを与えています。膨大なデータから希少な攻撃を見つけ出すには、大規模なチームと多額の予算が必要になります。
Cloudflareは、行動ベースのユーザー・リスク・スコアリングを導入することで、このプロセスを簡素化しています。AIを活用してリアルタイムのデータを分析し、組織への危害につながる可能性のあるユーザーの行動やシグナルの異常を特定します。これにより、ユーザーの行動に基づいてセキュリティ態勢を調整する方法が管理者に提案・推奨されます。
Zero Trustユーザー・リスク・スコアリングは、組織、システム、およびデータにリスクをもたらす可能性のあるユーザーのアクティビティや行動を検出し、関係するユーザーに低、中、または高のスコアを割り当てます。このアプローチは、ユーザーおよびエンティティの行動分析(UEBA)と呼ばれることもあり、担当チームはこれに基づきアカウント侵害の可能性、企業ポリシー違反、その他の危険な活動を検出し、修復できます。
弊社がリリースする最初のコンテキスト動作は「あり得ない移動(impossible travel)」であり、ユーザーがその期間に移動し得ない2つの場所でユーザーの認証情報が使用されているか否かの識別に役立ちます。これらのリスクスコアは将来さらに拡張され、1日の使用時間帯パターンやアクセス・パターンなどのコンテキスト情報に基づいてパーソナライズされた行動リスクを強調し、異常な行動にフラグを立てられます。すべてのトラフィックは貴社のSWGを経由してプロキシされるため、社内のリポジトリのようにアクセスされるリソースにも拡張できます。
Securitey Week期間中、皆さまの期待に応える発表があります。詳しくは、こちらのブログをご覧ください。
まとめ
アプリケーションや電子メールのセキュリティからネットワークセキュリティ、そしてZero Trustに至るまで、攻撃者が新しいテクノロジーを活用し、より効果的に目標を達成しようとしている様子が目の当たりにされています。ここ数年、Cloudflareの複数の製品チームとエンジニアリングチームは、不正行為のより優れた特定および保護の強化のため、インテリジェントなシステムを採用してきました。
ジェネレーティブAIの流行に加え、デジタル資産の攻撃からの保護、および悪質な行為者の阻止において、AIはすでに極めて重要な役割を担っています。