はじめに

生成AI、特に大規模言語モデル（LLM）は、サイバーセキュリティを含むさまざまな分野において重要な活用方法が模索されています。現在、多くの企業がマルウェアやソフトウェア脆弱性の検出にLLMやその他の生成AI技術を導入し、成果を上げつつあります。

生成AIは、マルウェアや脆弱性検出において複数のアプローチで活用可能です。たとえば、既存の機械学習（ML）ベースの検出モデルに対し、LLMを用いて強力な特徴量（特徴）を生成する手法があります。また、LLMをコード解析に活用して、ソースコード内の悪意ある挙動や脆弱性を特定するアプローチも注目されています。さらに、検出モデルの堅牢性を高めるために、合成データを生成して学習に活用する用途も広がっています。

この記事では、これらの活用シナリオについて詳しく解説していきます。

従来の検出手法の課題

現在主流のマルウェアやソフトウェアの脆弱性の検出には、静的コード解析と動的コード解析という2つの手法が利用されています。

• 静的解析：コードを実行せずに構文構造やデータフロー、制御フローを分析し、悪意あるパターンや命令を検出します。
• 動的解析：制御された環境でコードを実行し、その挙動からマルウェアの兆候を分析します。

これらの手法は一定の成果を上げてきましたが、再現性の低さや、高度なスキルを持つ攻撃者による回避が容易であるという課題が残ります。

LLMを活用した表現ベクトルの生成（LLMによる特徴量生成）

こうした従来手法の限界を補うものとして、機械学習ベースの検出手法が注目されてきました。初期の機械学習手法は手作業で特徴を設計していましたが、作業負荷が高く精度も限定的でした。

そこで登場したのがLLMです。LLMは以下のような特長により、新たな可能性を開いています。

• コンテキスト理解：ソースコード内の各構成要素の意味や関係性を把握し、人間では見落としがちな重要な情報を抽出可能。
• 多様なデータタイプに対応：ソースコード、アセンブリコード、API呼び出しのシーケンス、システムコールログなど、様々な形式のデータを扱えるため、セキュリティ分野での汎用的なフィーチャー（特徴）エンジニアリングに最適です。

【LLM活用例】

以下は、比較的小規模なLLMを応用した実例です：

• BERTroid：Androidアプリが要求するパーミッションのシーケンスから特徴を抽出し、マルウェアの有無を識別。[1]
• BERT-Cuckoo15：Cuckooサンドボックスで得られた15種類の動的特徴の関係性をBERTで分析。[2]
• VulDeBERT：C/C++コードを解析し、抽象コード片を通じて脆弱なパターンを学習。[3]
• XGV-BERT：BERTとグラフニューラルネットワーク（GCN）を組み合わせて、コードの意味と構造の両面から脆弱性を検出。[4]

これらの手法は、計算コスト削減やIP保護のための社内ホスティングおよびパフォーマンス向上のためのカスタムデータでの微調整といった利点も兼ね備えています。

コード解析におけるLLMの進化

LLMは、多数のプログラミング言語のコードサンプルで学習されます。コードスニペットの解析を行い、隠れた悪意、攻撃ベクトルの検出に高い能力を発揮します。

ただし、LLMには入力トークン数に制限があるため、大規模コードベースを処理する際にはスニペット分割が必要となり、全体像の把握に制限が出ることもあります。特にバイナリコードの解析に当てはまります。

まず、バイナリコードをアセンブリコードに変換、次にそれらを逆コンパイルしてソースコードに近い形に変換しますが、精度は限定的です。手作業のリバースエンジニアリングはマルウェア検出の有効なアプローチの一つですが、深い専門知識を必要とし、時間がかかります。

しかし、最新のLLMは数百万トークン規模の入力を処理可能となり、アセンブリ言語を含む大規模なコードベースのトレーニングに対応しています。これにより、バイナリ解析によるマルウェア検出の自動化・スケーラビリティが飛躍的に向上しています。

合成データセットによる攻撃耐性の強化

生成AIのもう一つの重要な応用分野は、敵対的攻撃に対する検出モデルの強化です。

GAN（敵対的生成ネットワーク）やLLMを用いて、既存のマルウェアをわずかに改変した検出回避サンプル（敵対的サンプル）を生成することができます。これにより、セキュリティ研究者は既存モデルの弱点を明らかにし、より堅牢な検出アルゴリズムの開発に役立てることが可能になります。[5]

今後の展望と課題

生成AIは、サイバーセキュリティの分野において極めて強力なツールとなりました。現在では、数億から数千億パラメータを持つLLMが登場しており、目的に応じて次のようなユースケースに適用可能です：

• マルウェア検出に向けた特徴量生成
• バイナリコードのリバースエンジニアリング
• 敵対的攻撃を想定した検出モデルの耐性強化

しかし同時に、攻撃者も同じ技術を使って新たなマルウェアや未知の脆弱性を生み出しているという現実があります。したがって、セキュリティ専門家が先手を打って生成AIを業務に取り入れ、巧妙化する攻撃に対抗していくことが、これまで以上に重要になっています。

参考

[1]Detecting Android Malware: From Neural Embeddings to Hands-On Validation with BERTroid

[2]BERT-Cuckoo15: A Comprehensive Framework for Malware Detection using 15 Dynamic Feature Types

[3]VulDeBERT: A Vulnerability Detection System Using BERT

[4]From Assistant to Analyst: The Power of Gemini 1.5 Pro for Malware Analysis

[5]Exploring LLMs for Malware Detection: Review, Framework Design, and Countermeasure Approaches

The post 生成AIで強化するマルウェアと脆弱性の検出能力 appeared first on OpenText Blogs.

RAGとAgentic AIは、サイバーセキュリティに自動化、コンテキスト認識インテリジェンス、プロアクティブな調査機能をもたらし、精度、効率、対応力を大幅に向上させます。

効果的な脅威の検知には、スピード、精度、正確なコンテキスト化が求められます。残念ながら、セキュリティイベントを MITRE ATT&CK のようなフレームワークにマッピングする従来の手作業による方法は、面倒で、エラーが発生しやすく、今日の迅速なサイバーセキュリティ運用には不十分です。幸いなことに、RAG（Retrieval-Augmented Generation）と Agentic AI は、セキュリティチームが脅威を特定し、理解し、対応する方法を飛躍的に向上させる、画期的なソリューションとして登場しました。

RAGとAgentic AIは、サイバーセキュリティに自動化、コンテキストを認識したインテリジェンス、プロアクティブな調査機能をもたらし、精度、効率、対応力を大幅に向上させます。これらの強力なテクニックをさらに掘り下げてみましょう。

拡張検索生成（RAG）の理解

大規模言語モデル(LLM)は、非常に高度である一方で、信頼できるソースから詳細で正確な、あるいは最新の情報を提供するタスクを課された場合、しばしば課題に遭遇する。この制限は、まさに検索拡張生成（RAG）がLLMの能力を大幅に向上させるために介入するところです。

RAGは、MITRE ATT&CKフレームワーク、ドキュメント、ウェブサイト、レポート、ログ、または構造化または非構造化データリポジトリなどの権威ある知識ベースから関連情報を動的に取得することによって動作します。これにより、応答がコンテキストに即して正確であり、最新の有効なデータに基づいていることが保証されます。

RAG 実行の概略

ステップ 1：ナレッジベースの準備

• 信頼性の高いサイバーセキュリティ文書やリソースを収集する。
• これらのリソースを、管理可能な小さなテキストセグメントまたはチャンクに分割する。
• 文章変換機能を使用して、各テキストチャンクの埋め込み（デジタル形式）を生成する。
• これらの埋め込み情報をベクトルデータベース内に効率的に格納する。

ステップ2：文脈情報検索

• サイバーセキュリティ関連のクエリやプロンプトを受け付ける。
• 入力されたプロンプトを埋め込みに変換する。
• 類似度メトリクスを使用してベクトルデータベースに問い合わせ、最も関連性の高いコンテキストセグメントを特定して検索する。

ステップ3：文脈に沿った正確なレポートの作成

• 取得した文脈を元のプロンプトやイベントの詳細と組み合わせる。
• LLMを使用して、コンテキストに関連した包括的なレポートを合成し、生成します。
• 最終的なアウトプットは、検出されたイベントや異常と、敵の戦術、技術、手順（TTP）を明確に関連付け、信頼できる証拠を裏付けます。

プロセスの可視化 セキュリティ・モニタリング・システムが、エンドポイントのログから異常な活動を発見した例を考えてみましょう。次の場合、RAG プロセスが直ちに起動します：

• 関連する MITRE ATT&CK ドキュメントセグメントがベクターデータベースから取得されます。
• これらのセグメントは、インシデント固有の詳細とシームレスに組み合わされます。
• 明確で詳細な要約が生成され、敵対的な行動を正確に特定し、実行可能な緩和戦略を提案します。

RAGを使用することで、セキュリティ・アナリストは疑わしいイベントを既知の脅威活動と迅速かつ正確に関連付けることができ、セキュリティ・オペレーションのレスポンスタイムと質の両方を大幅に向上させることができます。しかし、RAGは、セキュリティ業務に適用している唯一の革新的技術ではありません。

Agentic AI: 自律的なサイバーセキュリティ調査

RAGがレスポンスの充実を得意とする一方で、Agentic AIは外部データソースと自律的に対話し、セキュリティアラートや疑わしい兆候をプロアクティブに調査することで、これらの機能を拡張します。

Agentic AIの特徴は？Agentic AIとは、LLMと自動化されたワークフローを搭載したインテリジェントな A Iエージェントを指します。指示を待つ従来の受動的なAIシステムとは異なり、Agentic AIは、外部データベース、API、脅威インテリジェンス・サービスに独自に積極的に関与し、関連するデータを収集し、プロアクティブにインサイトを生成します。

＜実用的なシナリオ Agentic AI の活用＞

組織のセキュリティ・システムが、不審なネットワーク・アクティビティや異常なファイル実行を検知したとします。従来は、アナリストが手作業で脅威インテリジェンス・データベースを照会していましたが、このアプローチは時間がかかるだけでなく、人為的な見落としが発生しがちです。

Agentic AIを使用すると、疑わしい兆候（IPアドレスやファイルハッシュなど）にフラグが立てられた時点で、AIエージェントが脅威インテリジェンスデータベース（BrightCloudなど）に対するクエリを自律的に開始します。エージェントは、マルウェアの分類、過去の脅威データ、コミュニティからのフィードバックなど、重要なインサイトを即座に取得します。

検索後、Agentic AIはデータの重要度と関連性を評価し、簡潔で実用的なレポートを自動的に生成します。これらのレポートは、特定された脅威、潜在的な影響、緩和のための実用的な推奨事項を明確に示し、対応スピードと運用精度を大幅に向上させます。

＜なぜサイバーセキュリティにAgentic AIを導入するのか？＞

• 対応の迅速化： 自動化により脅威分析サイクルを劇的に短縮。
• 精度の向上： 包括的な脅威インテリジェンスを体系的に取得することで、ヒューマンエラーを排除します。
• アナリストのエンパワーメント： アナリストを反復作業から解放し、複雑で戦略的な分析により集中できるようにします。
• 継続的な脅威情報の更新： 外部の脅威ソースからのリアルタイムの最新情報を社内のセキュリティプロセスに統合します。

＜Agentic AIの未来の可能性＞

Agentic AIの進化は、プロアクティブな脅威ハンティング、リアルタイムのマルチソースインテリジェンスの統合、脅威の自動修復など、さらなる機能強化を約束する。将来のサイバーセキュリティの展望は、複数のプラットフォームにまたがるシームレスなAIエージェント・コラボレーションを特徴とし、包括的で自動化されたエンドツーエンドのセキュリティ・ワークフローを生み出す可能性があります。

結論 RAGとAgentic AIを組み合わせた効果

Retrieval-Augmented Generation（RAG）とAgentic AIを組み合わせることで、サイバーセキュリティチームは、脅威を迅速に特定し、コンテキストを深く理解し、効果的に対応するための比類ない能力を実現します。RAGは、インシデント報告のための正確で権威のあるコンテキストを確保し、Agentic AIは、プロアクティブなインテリジェンス検索を通じて調査を自律的に充実させます。

これらの高度なAI手法を組み合わせることで、サイバーセキュリティの運用が一変し、組織のセキュリティ体制、運用効率、脅威への耐性が大幅に強化されます。RAGとAgentic AIをサイバーセキュリティ・ツールキットに組み込むことで、脅威に対応するだけでなく、プロアクティブに敵対者の先を行くことができます。

The post RAG × Agentic AIがもたらす革新：次世代サイバーセキュリティ分析 appeared first on OpenText Blogs.

急速に進化するAI主導のサイバーセキュリティ環境において、脅威は日々巧妙化しています。ネットワーク、エンドポイントセキュリティ、クラウドサービス、サイバーセキュリティのいずれのプロバイダーであっても、常に時代の先を行くためには、適切な脅威インテリジェンスパートナーを選択することが、サービスのセキュリティ強化と製品の差別化、そして顧客が求めるプレミアムソリューションの提供につながります。

逆に、間違った選択をするとブランドの価値が損なわれ、顧客が次のようなリスクにさらされる可能性があります。

• 古いデータ：オープンソースデータや基準を満たしていないデータを使用すると、フィッシングなどの高度なAIを活用した脅威に対して脆弱になる可能性がありますIBM/Ponemon’s 2024 reportによると、フィッシングは2番目に多く、最もコストの高い攻撃ベクトルであり、侵害1件あたり平均488万ドルの被害が出ています。
• 対応時間の遅さ：アップデートの遅れは、ランサムウェアのような急速に変化する脅威に顧客をさらすことになります。同じIBMのレポートによると、ランサムウェアによる侵害の特定には平均211日（約7か月）かかるとのことです。
• 誤検知：不正確で誤解を招くデータは、既にリソース不足に陥っているセキュリティチームにとってさらなる負担となります。The Verizon 2024 DBIR（データ漏洩/侵害報告）によると、侵害を受けた組織の56%が深刻な人員不足に直面しており、これは前年比26.2%の増加です。

オペレーショナルインテリジェンスが重要な理由：集中的なアプローチ

脅威インテリジェンスは、大きく分けて 3 つのカテゴリに分類されます。

• 戦略的インテリジェンスは、脅威の主体である「誰が」と「なぜ」を取り上げ、その動機に焦点を当てており、主に非技術的なホワイトペーパーやレポートとして提供されます。
• 戦術的インテリジェンスは、脅威の「方法」と「場所」を説明し、通常、MITRE ATT&CK などのフレームワークを使用して戦術、手法、手順 (TTP) を特定します。
• BrightCloudが特に優れているのは、運用インテリジェンスです。「何を」という問いに答えます。つまり、今何をブロックできるのか？リアルタイムで実用的な、機械可読なデータを提供することで、進化する脅威への自動対応を可能にします。

OpenText Threat Intelligence (BrightCloud)の優位性：脅威インテリジェンスの世界的リーダー

BrightCloudは、Cisco、Akamai、HPE、F5といった業界リーダーを含む140社以上のOEMパートナーと提携し、インターネットアクセス用のエンタープライズハードウェアアプライアンスの85%にソフトウェアを組み込んでいます。これらのアプライアンスには、ファイアウォール、ルーター、Webプロキシ、メール保護システムなどがあり、BrightCloudのソフトウェアは世界中の数百万の企業で使用されているのです。

BrightCloudが際立つ理由：

• 比類のない可視性：BrightCloudの包括的なセンサーネットワークは、最新の脅威インテリジェンスを確保します。フィードバックループは数百万台のデバイスから継続的にデータを収集し、脅威検出を強化し、予測インテリジェンスをより洗練させます。
• 超高速公開：BrightCloud のクラウドベースのインフラストラクチャにより、どこよりも迅速に更新をリリースできるため、顧客の防御が常に最新の状態に保たれます。
• 高度なスコアリング アルゴリズム：BrightCloud は、脅威の履歴、位置情報、ネットワーク/ハイパーリンクの信頼レベル、所有者組織の評判など、複数のリスク次元に基づいて脅威を評価するスコアリング アルゴリズムを使用して、精度を向上させ、誤検知を減らします。
• コンテキスト インテリジェンス：BrightCloud は、URL、IP、ファイル、モバイル アプリ間の関係をマッピングすることで、より深い洞察を提供し、脅威に対する理解を深めます。
• 予測インテリジェンス：BrightCloud の第 6 世代機械学習は潜在的な攻撃ベクトルを予測し、組織が将来の脅威に対して積極的に防御できるようにします。
• リアルタイムの脅威ブロック：BrightCloud は、数十億の IP アドレスとファイルの動作記録を追跡することで、フィッシング、マルウェア、ランサムウェアなどをリアルタイムでブロックし、パートナーが侵害による被害が発生する前に阻止できるようにします。

お客様の声：成功事例

• 「BrightCloudのIPレピュテーションデータは包括的​​で統合が容易なため、NetScalerのお客様はセキュリティプロセスを制御して簡素化できます」— Cloud Software Group（旧Citrix）社、NetScaler製品マーケティングディレクター、Jason Poole氏
• 「BrightCloud はゼロトラスト アーキテクチャへの移行を推進し、お客様が最新の脅威データを入手してよりスマートな意思決定を行えるようにします。」 — Absolute Software (旧 NetMotion)社、元 CEO、Christopher Kenessey氏
• A10 Networks社の活用事例：A10 Networks社は、BrightCloud Threat IntelligenceをTLS 復号化ソリューションに統合し、悪意のあるトラフィックをブロック。コンプライアンスのために分類されたURLリストを提供し、セキュリティポリシーを最適化するための分析を提供しました。

従来の脅威インテリジェンスを超える：OpenText Threat Intelligence (BrightCloud)の包括的なダイナミックサービススイート

BrightCloud は、複数のドメインにわたる保護を提供する一連の動的サービスにより、従来の運用インテリジェンスを超えています。

• BrightCloud Threat Intelligence Servicesは、高度な AI とコンテキスト分析を使用して、悪意のある動作の可能性を予測します。
• Web 分類および Web レピュテーションサービスは、10 億を超えるドメイン/サブドメインと数十億のURLを追跡し、複数のコンテキスト要因と動作要因に基づいてレピュテーションスコアを割り当てます。
• ファイル レピュテーションは、数十億件の記録を含む実行可能ファイルの動作履歴を活用し、パートナーがマルウェアやその他の脅威をブロックできるようにします。
• リアルタイムアンチフィッシングは、フィッシング攻撃に対するリアルタイムの保護を実現します。Verizonの2024年DBIR（デジタル・ビジネス・インテリジェンス・レポート）によると、ユーザーは通常、フィッシングリンクを受信して​​から60秒以内にクリックしているため、スピードが重要です。
• クラウドサービスインテリジェンス：クラウドアプリケーション内の危険な動作を識別し、信頼できるサービスのみにアクセスできるようにします。
• ストリーミングマルウェアの検出：動的なファイル分析により、ポリモーフィック型マルウェアが拡散する前に検出します。OpenTextの2024年脅威レポートによると、マルウェアを含むメール添付ファイルの量は2023年に35%増加しました。

OpenText Threat Intelligence (BrightCloud)との連携：シームレスな統合と強化されたセキュリティ

BrightCloudのモデルは、パートナー製品やサービスへの迅速かつ柔軟な統合を可能にし、最小限のリソース投資で高度なセキュリティソリューションの提供を支援します。これにより、導入コストの削減、市場投入までの時間の短縮、そして顧客エクスペリエンスの向上につながります。

現代の脅威に対抗するには、数の力こそが鍵となります。BrightCloud Threat Intelligence パートナーネットワークにご参加いただくことで、検知網が拡大し、より早期かつ正確に攻撃者を阻止できるようになり、すべてのパートナーを保護できます。

結論：OpenText Threat Intelligence (BrightCloud) がリアルタイムのサイバー防御を強化

組織は、包括的な運用インテリジェンス プラットフォームとしてBrightCloud を選択することで、プレミアム サービスの提供、優れた脅威インテリジェンスの配信、進化する顧客の要求への対応、製品の差別化による競争優位性の獲得を通じて収益成長が促進されます。

BrightCloud の詳細については、Webサイトをご覧ください。パートナーになる方法についてもお気軽にお問い合わせください。

The post プロアクティブにサイバー防御を強化：OpenText Threat Intelligence™ (BrightCloud) appeared first on OpenText Blogs.

～生成AIと行動分析による高度な脅威検知～

サイバー攻撃の高度化と巧妙化が進み、従来の防御型セキュリティだけでは対応が難しくなっています。APT（高度持続的脅威）や内部不正など、表面的なアラートだけでは捉えきれない脅威に対し、能動的にリスクを検知・分析・対応する脅威ハンティングの重要性が増しています。

しかし、膨大なログデータの分析や断片的なアラートの関連付けには高度な専門知識と経験が求められることから、セキュリティアナリストの負荷は年々増えており、こうした状況を打破すべく、生成AIや機械学習を活用したインテリジェントな脅威ハンティングが注目されています。

AIがもたらす脅威ハンティングの変革

従来、アナリストはSIEMやEDRなどから出力される数千、数万単位のアラートを手作業で分類・調査し、優先度を判断していました。多くのアラートは誤検知や軽微なイベントであるにもかかわらず、それらすべてに目を通さなければならず、対応の遅れやアラート疲れを引き起こします。

生成AIの導入により、このプロセスは大きく変わります。LLM（Large Language Model：大規模言語モデル）を活用すれば、アラートの内容を文脈的に補強し、背景や脅威の深刻度を自動的に判断・要約することが可能になります。

たとえば、不審なプロセスが実行されたというアラートに対して、AIはそのハッシュ値を脅威インテリジェンスと照合し、悪意のある可能性を評価します。また、関連するユーザーの過去の行動履歴や、同時に発生したネットワーク通信などを自動的に収集・分析し、アナリストが短時間で全体像を把握できるように要約して提示します。

AIを活用したエンリッチメント（情報補完）でアラート疲労を軽減

それぞれのアラートが送付されるまでには、生イベントを深掘りしてコンテキストを把握し、複数の情報源を手作業で照合してプロセスハッシュやIPアドレスを脅威インテリジェンスと突き合わせる必要があります。しかし、多くは偽陽性であり、アナリストの時間と労力を浪費しています。

AIによるアラートの「エンリッチメント（情報補完）」は、脅威ハンティングを根本的に変える要素です。従来、アラートの解析は「何が起きたのか」を特定することに多くの時間を要していましたが、AIは以下のような形でその負荷を軽減します。

• IPアドレスやドメインの信頼性を自動評価
  → 信頼性スコアや過去の悪用履歴を即時照会し、通信先のリスクを可視化。
• プロセス実行履歴やコマンドラインの解析
  → 異常な引数や、よく知られた攻撃ツールの痕跡を文脈に基づいて指摘。
• 複数アラートの関連性を提示
  → 時系列や関係するユーザー・端末などから、攻撃の兆候をストーリーとして構築。

これらにより、アナリストは単なるアラートの羅列ではなく、意味のある「インシデント像」を短時間で把握できるようになります。

エンティティベースの分析とリスクスコアリング

脅威ハンティングにおけるもう一つの進化は、エンティティ（ユーザー、デバイス、IPなど）を中心とした脅威分析です。User and Entity Behavior Analytics（UEBA）では、個々のエンティティに対して通常時の行動パターンを学習し、異常な振る舞いを検知・スコアリングします。

ここでAIは、複数のアラートを時系列的・論理的に結びつけ、ナラティブ（ストーリー）として提示します。

例えば、深夜帯の不審なログイン、その直後の管理者権限昇格、内部ファイルの大量ダウンロード、外部への異常な通信、といった一連の行動を一つの脅威シナリオとしてまとめ、MITRE ATT&CKで定義されたTTP（戦術・技術・手順）と照合することで、攻撃の種類や目的を特定する手助けをします。

このようなナラティブ化により、アナリストは個別の事象を見るのではなく、全体像を理解したうえで適切な対応を選択できるようになります。

組織全体の脅威可視化とAIによる対応支援

さらに生成AIは、組織全体におけるリスク傾向や脅威の集中箇所を俯瞰的に把握する支援も可能です。エンティティ単位でのリスクスコアを集計し、「どの部門で異常が多発しているか」「どの拠点で特異な通信が見られるか」などを把握できます。

また、AIは過去のインシデントレポートやプレイブックを元に、現在の事象に対する適切な対応策を自動的に提案することも可能です。Retrieval-Augmented Generation（RAG）技術を用いれば、特定の状況に応じて、ナレッジベースから適切な情報を抽出・再構成し、アナリストに対して次に取るべきアクションを提示します。

導入の課題と解決策

AIは脅威ハンティングのワークフローを大幅に強化する一方で、その採用にはセキュリティ、確度、ユーザビリティを確保するために、以下のような技術的・運用的な課題が伴います。

1. データセキュリティの確保（セキュリティログの扱いとプライバシー）
AIがアクセスするログデータを安全に管理するため、閉域ネットワーク内（オンプレミスまたはVPC）での運用が求められます。
2. データ構造の標準化
セキュリティログには企業固有の形式や用語が多く存在します。ログを事前に正規化・構造化し、AIが解釈しやすい形に整備する必要があります。ログの標準化が成功の鍵です。
3. AI出力の一貫性とガバナンス
生成AIは自由度が高いため、出力フォーマットの統一やプロンプト設計による制御が不可欠です。JSON形式など定型出力への対応が重要です。

結論：AI×人間による脅威ハンティングの未来

AIは脅威ハンティングを「リアクティブ」から「プロアクティブ」へと進化させ、より迅速で的確なセキュリティ対応を可能にします。最終的には、人間の専門性とAIの処理能力を組み合わせることで、これまで見逃されていた兆候を的確に捉え、迅速かつ効果的なインシデント対応が実現されるでしょう。脅威ハンティングの現場は、今まさに新たな次元へと進化しつつあるのです。

【関連セミナーのご案内】

2025年6月19日（木）開催Webセミナー
「内部脅威にどう備える？ゼロトラストのためのふるまい検知」では、本記事で触れたAIや行動分析（UEBA）を活用した脅威検知の最新手法について、より詳しく解説します。
内部不正や異常行動の兆候を見逃さないセキュリティ体制にご興味のある方は、ぜひ以下のリンクよりお申込みください。

セミナー詳細・お申込みはこちら

The post 脅威ハンティングにおけるAI活用の進化 appeared first on OpenText Blogs.

AI時代到来で変わる攻撃の質

生成AIの導入が急速に進み、その可能性とリスクの両方に注目が集まっています。

AIの進化によりサイバー攻撃の手法が高度化・自動化し、従来型のマルウェアだけでなく、生成AIを活用したフィッシングメールの高度化、侵入後の行動の巧妙化など、企業はこれまで以上に予測不能な脅威にさらされています。
特に注目すべきは、AIによるランサムウェア攻撃の進化です。これまで以上に速く、広範囲にデータを暗号化・消去するケースが確認されており、企業の業務継続性が深刻に脅かされています。

OpenTextがスポンサーを務め、Osterman Researchが2024年11月に発表したホワイトペーパーでは、米国のセキュリティリーダー125人を対象に、AIが攻撃と防御の両方のサイバーセキュリティ戦略をどう再構築しようとしているかを調査しました。

調査結果は明白です。AIをセキュリティ対策に採用することは、もはやオプションではなく、戦略上必要不可欠なものになりつつあります。調査結果によれば、98.4% のセキュリティ責任者が「攻撃者がAIを活用している」と指摘し、2年前と比較して以下の傾向が顕著に増加しています。

• セキュリティソリューション迂回攻撃（64%増）
• 攻撃の高度化（64.8%増）
• 検出回避技術（68.8%増）

また、攻撃者は現在、超パーソナライズされたフィッシングやポリモーフィック・マルウェアの作成に使用される生成AIや、セキュリティ制御の回避に役立つGenerative Adversarial Networks（GAN）などの分野で優位に立っています。

AI戦略が急速に進化している防御側

一部のAI分野では攻撃側が早くからリードしているのは事実ですが、防御側、つまり組織や企業はAIツールを急速に採用し、重要視しています。例えば、行動AI（Behavioral AI）による異常検知、機械学習（教師あり、半教師あり、教師なし）、自然言語処理などです。

セキュリティリーダーの80%は、悪意のある攻撃的で敵対的なAIの脅威に効果的に対抗できる唯一のテクノロジーはAIであると考えており、人員削減を目指すのではなく、新たな脅威対策の強化やトリアージと分析の自動化などを目的としてAIを活用しています。（Using AI to Enhance Defensive Cybersecurity）

すでにセキュリティ対策にAIを導入している企業は、具体的なメリットを実感しており、セキュリティリーダーの98%近くが、AIを活用したサイバーセキュリティソリューションは、従来のツールよりも効果的であると報告しており、40.3%が「大幅に効果的」、41.8%が「中程度に効果的」と評価しています。実際に、フィッシングの検知（98.4％が高優先度／最優先度）やアカウント乗っ取り防止（86.4％）、データ流出事故の特定（87.2％）など幅広いタスクにAIを利用しています。

重要なのは、AI がサイバーセキュリティの専門家の置き換えではなく、人間の専門知識を補完するものということです。AIは「機械の精度」で反復的なタスクを処理することで、専門家は脅威の探索、戦略策定など、より価値の高い活動に集中できるようになります。

AIの導入には、ハードルや懸念事項がないわけではありません。

調査結果によれば、セキュリティリーダーは、脅威行為者がAIモデルの学習に使用される機密データへのアクセス（87.2％が今後12カ月間で懸念している）やAIの安全機能を回避すること、悪意のある目的のために防御的なAIシステムを悪用すること（今後5年間で最も急成長する懸念事項）を強く懸念しています。

単にAIツールを導入するだけでは十分ではなく、AIを戦略的に中核的なサイバーセキュリティのフレームワークに統合し、ビジネス目標やリスク管理に合わせて投資を行う必要があります。 さらに、防御側がAIを取り入れ始めた今、企業は「どこで」「何を」守るかという視点を見直す必要があります。
特に、バックアップとリカバリは単なる復旧手段ではなく、被害拡大を防ぐ最も重要なレイヤーの一つとなっています。

バックアップ＆リカバリは「最後の砦」ではなく「最前線」へ

バックアップとリカバリはこれまでサイバー攻撃、データ損失、システム障害といったリスクに対する「最後の砦」とされてきましたが、今や最前線の防御手段へとその役割を変えつつあります。OpenText Cybersecurityは、AI活用を見据えた次世代型のバックアップ＆リカバリ戦略を提唱しています。具体的には以下のようなポイントが重要です。

• 変更不可なバックアップ：バックアップデータの改ざんや削除を防止するために、書き換え不能な（イミュータブルな）ストレージ技術が求められます。
• 自動化されたバックアップ検証：AIを活用してバックアップの整合性を継続的に検証し、復元可能性を確保します。
• 復元の迅速化：AIは障害発生時のリカバリ手順を自動化・最適化することで、復旧までの時間を短縮します。
• サイバーレジリエンス設計の一部として統合：EDRやSIEMとの連携で全体の防御力を強化

自社の体制を見直すべきとき

日本企業の多くが、バックアップを「とっている」ことに安心しており、本当に復旧できる状態にあるかの検証は後回しになりがちです。

実際、災害対策やDR（ディザスタリカバリ）プランは存在していても、「サイバー攻撃からの復旧」という観点では設計不十分なケースも多くあります。特にAIによって攻撃がより速く、複雑になっている現代では、従来型のリストア手順では手遅れになる可能性もあります。

AIを活用したサイバー攻撃の脅威が増す中、企業は自社のバックアップとリカバリ体制を今こそ見直すべきです。

最後に

今後のAI活用は攻守両面において進化が進みます。企業は備えを強化しなければなりません。バックアップとリカバリは、もはや単なる“保険”ではなく、サイバーレジリエンスを構築する中心的な要素です。AIによる攻撃に立ち向かうために、AIを使った防御の最適化が必要なのです。

参考

OpenText Data Protector；https://www.opentext.com/ja-jp/products/data-protector

企業向けバックアップ/リカバリソリューションData Protector ; https://www.microfocus.com/ja-jp/media/white-paper/opentext-enterprise-backup-and-recovery-data-protector-security-pp-ja.pdf

The post AI時代のデータ防衛戦略：バックアップとリカバリは「攻め」の防御に進化できているか？ appeared first on OpenText Blogs.

デジタルフォレンジックとは、サイバー攻撃や情報漏洩、不正アクセスなどのインシデントが発生した際に、電子的な証拠を収集・分析し、原因や経路を特定する技術・手法のことです。パソコンやスマートフォン、サーバー、ネットワーク機器などに残されたログやデータを法的証拠として扱える形で保全・解析します。

主に法執行機関で利用されていましたが、サイバー脅威対策、社内不正防止などの理由から、企業や組織がインシデントを調査、分析、対応するのを支援する上でも重要な役割を果たすようになっています。つまり、デジタルフォレンジックは、民間企業や組織においても、インシデント対応の迅速化や再発防止策の立案に役立つほか、内部不正やコンプライアンス違反の調査にも利用することができるのです。

デジタルフォレンジックは、以下のような領域で活用することができます。

◆インシデント対応と調査 – サイバー攻撃の発生源、方法、範囲を特定することで、組織は迅速に対応し、脅威を軽減できます。

◆サイバー犯罪の検出と証拠収集 – 削除されたファイルや隠しファイル、ログ、悪意のある活動の痕跡を復元することで、法的手続きのために証拠が適切に取り扱われます。

◆マルウェア分析と脅威インテリジェンス – マルウェアの感染を調査してその広がりを理解することで、サイバーセキュリティ防御を強化し、新たな攻撃手法に関する洞察を得ることができます。

◆インサイダー脅威の調査 – 不正アクセスやデータ流出を検出すると、組織は内部のセキュリティ違反を追跡し、コンプライアンス ポリシーを適用するのに役立ちます。

◆不正防止とコンプライアンス – 金融機関の不正検出を支援することで、サイバーセキュリティ規制(GDPR、HIPAAなど)の遵守を確保し、監査や規制調査を支援します。

◆ネットワークとシステムのセキュリティ強化 – 悪用された脆弱性を特定することで、フォレンジックの調査結果に基づいてセキュリティプロトコルを強化します。

銀行、保険、ヘルスケア、小売、製造など、さまざまな業界のお客様から高い評価を得ているOpenText Endpoint Investigatorは、エンドポイント端末に直接アクセスすることなく、遠隔からデータを収集・調査できるデジタルフォレンジックツールです。ネットワーク経由で証拠保全を行い、不正アクセスや内部不正、サイバーインシデント発生時の迅速な調査・対応を可能にします。企業のセキュリティ体制強化とコンプライアンス対応を支援し、サイバーレジリエンス向上に貢献します。

CE25.1のリリースでは、サイバーレジリエンスを強化するために以下の新機能を提供します。

OpenText Endpoint Investigator CE25.1の新機能

◆強化されたWebベースのユーザーインターフェース 

新しい迅速な対応メニュー、プレビュー、収集、対応機能間のシームレスな移行、コラボレーションケース機能により、調査が効率化されます。

◆自動化された大規模なコレクション

1,000,000 を超えるエンドポイントに拡張でき、企業全体で同時にコレクションを利用できます。各エンドポイントから収集する必要があるデータを指定します。残りの部分は、オンVPNかオフVPNかにかかわらず、適切な収集方法を自動的に特定してデプロイすることで、シームレスに処理します。

◆単一の拡張ユニバーサルエージェント 

WindowsとmacOSで統一された機能を利用して、デプロイの簡素化とデータ収集の高速化を実現します。

◆収集API

API 駆動型のスナップショット、ファイル コレクション、メモリ キャプチャ、タイムライン生成を使用して証拠収集を自動化し、手作業を減らし、効率を高めます。

◆統合された脅威インテリジェンス

センサーのグローバルネットワークを活用して新たな脅威を検出し、調査員が悪意のあるアイテムに優先順位を付けて、すぐに行動を起こすことができるようにします。

◆アーティファクトベースのワークフロー

関連するフォレンジックアーティファクトを迅速に特定し、詳細なフォレンジック機能を提供することで、調査の効率を高めます。

◆エージェントの自動デプロイ 

5分ごとにエンドポイントのチェックインを自動的にプッシュアウトするエージェントにより、データ収集への摩擦のないアプローチを確保します。

◆エンタープライズエンドポイントダッシュボード 

エンタープライズエンドポイントを包括的に表示し、エージェントのデプロイメントステータスと通信の準備状況を可視化します。

◆ゼロトラスト・コンプライアンス 

ゼロトラスト・セキュリティ・モデルと連携しながら、信頼性の高いデータ収集と分析を確保します。

OpenTextは、信頼できるフォレンジック調査の結果をもとに、企業がより迅速に真実を明らかにし、サイバーセキュリティを再構築することを支援します。

詳細はこちら；https://www.opentext.com/ja-jp/products/forensic

関連ブログ；法執行機関だけの技術ではない、企業でも活用が進むデジタルフォレンジックの可能性

The post インシデント対応を革新する！デジタルフォレンジックで実現するサイバーレジリエンス強化 appeared first on OpenText Blogs.

1. フォレンジックは企業にこそ必要な技術

デジタルフォレンジックというと、警察や捜査機関がサイバー犯罪を捜査するための技術というイメージを持つ人が多いかもしれません。しかし、近年では企業においても、不正行為の調査や情報漏えい対策としてデジタルフォレンジックを活用する動きが広がっています。

本来、フォレンジックとは、インシデントが発生した際に証拠を確保し、将来起こり得る裁判に備えるための技術や手順を指します。このような証拠保全の考え方は、民間企業でも重要なリスクマネジメントの一環として取り入れられており、例えば社内不正が発覚した際の第三者委員会による調査や、外部への説明責任を果たすための資料としても活用されています。

また、英米法圏においては、裁判前の証拠開示手続き（ディスカバリー）や裁判に提出される正式な証拠として認められるための制度（eDiscovery）が整備されており、グローバル企業の間ではこの制度に備える形でフォレンジック技術を導入するケースも増えています。日本企業においても、海外と取引のある企業や上場企業を中心に、コンプライアンス強化や将来的な訴訟リスクのヘッジを目的としてeDiscovery対応を視野に入れたデジタルフォレンジックの導入が進んでいます。

また、最近の傾向として、特にスマートフォンやタブレットなどのモバイルデバイスの普及、リモートワークの拡大、シャドーITの増加により、企業のセキュリティ対策にはモバイルデータの解析が不可欠になっています。

2. デジタルフォレンジックが解決できる企業のセキュリティ課題

デジタルフォレンジックは、セキュリティ担当者が直面する、以下のような課題を解決することができます。

①内部脅威の可視化

従業員や協力会社の関係者による情報漏えいや不正アクセスを検知するのが難しいという課題があります。内部犯行は外部からの攻撃よりも発見が遅れることが多く、早期の発見が難しいとされています。

②データ流出後の原因究明

情報漏えいが発生した際に、どこから漏れたのか、誰が関与していたのかを特定する必要があります。しかし、データが複数のシステムやデバイスを経由している場合、その追跡は非常に困難です。

③コンプライアンス対応の強化

GDPRや個人情報保護法などの規制に対応するため、企業は適切なデータ管理と証拠保全を行わなければなりません。しかし、手作業や非効率的な方法では、これらの要件を満たすことは困難です。

3. 企業で活用できるデジタルフォレンジックの具体例

企業におけるデジタルフォレンジックの活用方法として、まずモバイルデータの解析があります。業務用スマートフォンやタブレットの通話履歴やGPSデータ、アプリのログを分析することで、不正なデータ流出や不審な行動を早期に検出することができます。また、アクセスログの分析を通じて、誰がどのデータにアクセスし、どのデバイスを使用していたのかを追跡することができ、内部脅威を可視化することが可能になります。加えて、インシデントが発生した場合、フォレンジックツールを使用して証拠を適切に保全し、調査を迅速化することで、被害を可視化します。実際には、被害に遭っても何が起こったかすら特定できないケースも多いため、可視化は有用です。

4. OpenTextのフォレンジックソリューションで企業のセキュリティを強化

OpenTextのフォレンジックソリューションは、企業のセキュリティを強化するための強力なツールを提供します。特に、モバイルデータの解析に優れた機能を持ち、スマートフォンやクラウドデータの解析が可能です。これにより、企業は従業員や取引先のデバイスからのデータを一元的に分析し、潜在的なリスクを早期に発見できます。また、データ保全と証拠管理の面でも非常に優れており、証拠が改ざんされることなく、法的要件を満たす形で証拠を保全することができます。

5. まとめ：企業セキュリティにフォレンジックを導入すべき理由

ゼロトラスト時代において、フォレンジック技術は内部脅威対策の重要な要素となります。企業が直面する情報漏えいや不正行為を可視化し、迅速なインシデント対応を実現するためには、デジタルフォレンジックの導入が不可欠です。OpenTextのデジタルフォレンジックソリューションは、企業におけるセキュリティ体制を強化し、データ保全や証拠管理を容易にします。これにより、企業はコンプライアンス対応を確実に行い、内部脅威に迅速かつ効果的に対処できるようになります。

デジタルフォレンジックは、かつては法執行機関での利用が中心でしたが、いまや企業でも十分に活用できる現実的な選択肢となっています。組織のリスク管理やセキュリティ対策を強化するうえで、有力な手段のひとつであることを、ぜひ多くの方に知っていただきたいと思います。

The post 法執行機関だけの技術ではない、企業でも活用が進むデジタルフォレンジックの可能性 appeared first on OpenText Blogs.

サイバー攻撃は日々進化しており、企業のセキュリティ体制に新たなアプローチが求められています。従来の防御手段だけでは対処できない高度な脅威が増加し、企業は迅速かつ効果的に対応できる仕組みを整備する必要があります。ここでは、これからの時代に求められる高度な脅威検出とその対応について解説します。

高度な脅威とは？

サイバー攻撃はもはや、単なる外部からの侵入だけにとどまりません。内部の脅威や、従業員の不注意、さらにはAIや機械学習を駆使した攻撃が企業のセキュリティを脅かしています。このような高度な脅威に対応するためには、ただの防御策だけでなく、攻撃を予測し、リアルタイムで反応できる能力が求められます。

AIと機械学習がもたらす新しい脅威検出

近年、AI（人工知能）と機械学習（ML）を活用した脅威検出技術が急速に進化し、従来の手法では捉えきれなかった攻撃を検出できるようになっています。これらの技術は、膨大なデータをリアルタイムで分析し、攻撃の兆候を早期に発見することができます。たとえば、通常の行動パターンを学習したAIは、ユーザーの異常な振る舞いや不審なアクセスを瞬時に検出し、迅速な対応を促します。

内部脅威の管理と行動分析

サイバー攻撃の脅威は外部だけでなく、企業内部にも存在します。従業員やパートナーの不正アクセス、あるいは過失による情報漏洩など、内部からの脅威を防ぐための対策が必要です。ここでも、AIや機械学習を用いた行動分析が効果を発揮します。ユーザーの普段の行動パターンを学習し、異常な行動を検出することで、早期にリスクを特定することができます。

OpenText Core Threat Detection and Responseによる最先端のセキュリティ強化

2025年5月に提供開始予定のOpenText Core Threat Detection and Responseは、従来のセキュリティツールではできないことを実現するように構築されています。AIを活用した行動分析により、内部脅威、クレデンシャルの不正使用、異常をリアルタイムで検出し、セキュリティをより賢く、効率的、効果的にします。

既存ツールをリプレースしなければならないスタンドアロン製品とは異なり、Open XDRソリューションとして構築されており、セキュリティインフラと競合するのではなく、セキュリティインフラを強化します。また、お客様の環境にシームレスに統合され、Microsoft Defender、Entra ID、その他のセキュリティ投資と連携して、複雑さを増すことなく、より深い洞察を提供します。提供開始時点では、マイクロソフトのエコシステムへのシームレスな統合に重点を置いていますが、今後は、さらに多くのセキュリティプラットフォームをサポートする予定です。

未来のセキュリティ：予測と迅速な対応

現在のセキュリティ対策は「防御」や「検出」が中心ですが、今後は「予測」と「対応」の迅速さがより重要になります。AIや機械学習の進化により、セキュリティの枠組みが変わりつつあり、攻撃の兆候を事前に察知して迅速に対応することが可能になってきています。これにより、サイバー攻撃の影響を最小限に抑えることができます。

より強固なセキュリティ、よりスマートな投資

セキュリティ予算は無限ではありません。そのため、OpenText Core Threat Detection and Responseは、既存のセキュリティスタックを置き換えるのではなく、それを強化するように設計されています。警告灯が点灯するダッシュボードから、事故を未然に予測・防止する高度な運転支援システムにアップグレードするのと同じようなものです。

既存のセキュリティ対策に行動分析と異常検知を追加することで、企業はすでに使用しているツールからより多くの価値を得ることができます。確かにコストは若干増加しますが、投資対効果は飛躍的に大きくなります。

【OpenText Core Threat Detection and Responseについて】

詳細は、こちらをご覧ください。

OpenText Core Threat Detection and Responseは現在、一部のお客様に限定リリースとして提供中です。OpenTextの早期適応プログラムについての詳細は、こちらをご覧ください。

The post 高度な脅威検出と対応：新しいセキュリティ時代の到来 – OpenText™ Core Threat Detection and Response appeared first on OpenText Blogs.

パケットフォレンジックやパケットレコーディングは、詳しい方ならご存知のように、膨大な情報に目を通し、応答を待ち、長時間を費やします。Smart PCAPは、即座に、意味のある、ニーズにきめ細かく対応した情報の取得を実現します！

Smart PCAPソリューションは、ネットワーク問題を診断し、解決するための、よりインテリジェントな方法を提供します。OpenText Network Detection and Response (NDR) は、Smart PCAP の統合により、セキュリティ・チームが数時間ではなく数分で対策を作成し、テストできる力を提供します。同時に、セキュリティに対する過去、現在、未来の潜在的な脅威を比較するためのルックバック・ウィンドウを大幅に拡大します。

Smart PCAPは、機械学習を採用して標準的なPCAPの速度と精度を向上させるパケットキャプチャの技術です。

脅威ハンターからは、即座の満足感が得られると好評です。フォレンジック・アナリストからは、履歴の把握が評価されています。

総合的な可視化に対する挑戦

Smart PCAPは、完全な可視化に伴う「ノイズ」をカットします。

標準的なPCAPは、ネットワークを移動するすべてのデータパケットを傍受し、それらを保存して分析できるようにすることで、総合的なネットワークの可視性を提供します。これは、セキュリティ侵害の疑いや可能性をキャッチし、ネットワークの輻輳やパケットロスのようなネットワークパフォーマンスの問題を特定する、非常に優れたSOCツールです。

しかし、ネットワーク・セキュリティ・アナリストにとって、PCAP の最大の課題は、毎日何百、何千ものアラートに目を通さなければならないことです。そして、問題の詳細な調査と対策を講じる必要があるかどうかを迅速に判断する必要があります。これには貴重な時間と労力がかかり、トリアージされるべきであった誤報を追いかけることも含まれます。

よりスマートなPCAP

Smart PCAPは、Zeek-awareプロトコルアナライザを使用して、セキュリティアラートに関連するパケット転送から関連する生データをキャプチャし、パケットの内容を理解します。機械学習は、ログと抽出されたファイルをセキュリティの履歴と洞察にリンクさせるように訓練されており、アナリストは検出された脅威に関するコンテキストを即座に得ることができます。このエビデンスは、組織のセキュリティ情報およびイベント管理（SIEM）ソリューションを通じて取得することができます。

当社のSmart PCAPは、重要だが予期しないソフトウェアのインストールやディスクの消去操作など、異常なネットワークアクティビティに対するアラートをトリガーすると、同時に、インテリジェントに、既知の関心のあるストリーム内のパケットをターゲットにし始めます。これにより、SOCはアラートを受信した直後に適切なパケットを検索し、脅威の探索とトリアージ作業を最適化することができます。

より良いタイムマシンを作る

Smart PCAPは、その瞬間を捉えるだけではありません。新しい情報、戦略、ツールを使用しながら過去の脅威シナリオを再現し、アナリストが過去から学ぶことを可能にします。

PCAPはこれまで、高いストレージコストゆえに、非常に短期間、場合によっては数日間だけ、膨大なデータのインベントリを保持する必要がありました。しかし、Smart PCAPは、選択的な処理を可能にし、その結果、より少ないパケットを1年以上、長期間にわたって保持することができます。

Smart PCAPのバックトレース機能により、ユーザーは過去のパケットキャプチャを現在の脅威インテリジェンスと照らし合わせて再現し、以前は見えなかったインシデントを特定することができます。保持されたパケットを最新のグローバル脅威インテリジェンスシグネチャと照合してスキャンし、新しいシグネチャが利用可能になる前にすり抜けた脅威を検出します。つまり、過去のインシデントに対して「今知っていることを当時知っていたら」という思考を適用できるのです。

組織にSmart PCAPは必要か？

組織にSmart PCAPが必要かを判断するには、次のような問いが必要です：

• 現在のPCAPは、無関係なデータが多すぎてSOCの時間とストレージコストを浪費していないか？
• より迅速で正確な脅威の発見とインシデント対応は組織にとって大きな利点となるか？
• 過去に検知されなかった脅威が再び出現する可能性があるが、それを特定、再生、解決できるようにする必要があるか？

答えが「Yes」なら、Smart PCAPが適しています！

OpenText Network Detection & Responseは、企業全体のコラボレーションを促進し、セキュリティリスクを低減し、ネットワークの問題をかつてないほど迅速に解決できる、唯一のエンドツーエンドNDRプラットフォームです。

OpenText は、ネットワークの死角を特定し排除することで、お客様のビジネスが万全の準備を整え、信頼できる状態を維持できるよう支援します。

OpenTextの脅威検知・対応ソリューションの詳細はこちらです。

OpenText NDRは無償トライアル版をお試しいただくことができます。是非クラウドラボ環境で実際のデータを検索、調査、探索してみてください。

The post Smart PCAPが変えるネットワークフォレンジックの未来 appeared first on OpenText Blogs.

OTセキュリティにおいて、レガシーシステムの脆弱性やサプライチェーンリスク、透明性の欠如は重要な課題です。本記事では、これらの課題に対応するための鍵となるSBOMの役割を以下の構成で詳しく解説します。

1. OTセキュリティの基本概念
2. OTセキュリティにおけるよくある課題
3. SBOMとは何か
4. SBOMで解決するOTセキュリティの課題
5. SBOM導入のベストプラクティス
6. まとめ

SBOMを活用することで、OT環境特有のリスクやセキュリティの脆弱性を解消し、脆弱性管理やリスク軽減に役立つ多角的なアプローチを実践的に習得することができます。OTセキュリティ強化のための実践的な第一歩の一助となれば幸いです。

1. OTセキュリティの基本概念

1.1 OTとITの違い

OT（Operation Technology）とIT（Information Technology）は、共に企業の様々な領域で用いられていますが、その役割と目的においては大きく異なります。 OTは生産プロセスや物理的な装置の管理を目的としており、産業用の制御システムやSCADA（監視制御データ収集システム）などが含まれます。これらのシステムはしばしば化学工場、自動車製造、発電所、水処理施設など、物理的なプロセスを伴う環境で使用されます。

一方で、ITは主としてデータの管理や情報の処理に焦点を当てています。 たとえば、企業の業務プロセスを管理するERPシステムや社内コミュニケーションを円滑にするためのメールサーバーなどです。これにより、ビジネス上の意思決定をサポートし、ビジネスオペレーションを最適化します。両者はこのように役割が明確に異なるため、OT環境ではしばしばITとは異なるセキュリティの取り扱いが必要となります。ただし、近年ではOTとITのコンバージェンス（統合）が進んでおり、双方の技術が相互に影響し合い、新たなセキュリティの課題を提起しています。

1.1.1 OTとITの統合による新たなチャレンジ

OTとITが密接に関わることの利点は、オペレーショナル効率や生産性の向上にあります。しかし一方で、この統合は新たなセキュリティ脆弱性を生む可能性があり、特にOTのリアルタイム性が失われるリスクがあります。過去の例として、2010年に発生したスタクスネット（Stuxnet）攻撃において、産業制御システムを標的とした攻撃が組織に多大な損害を与えた事例があります。

1.2 OTセキュリティの重要性

OTセキュリティの強化は、単に企業だけでなく、国家全体の安全に直結する重要な課題です。インフラの停止は国民生活や経済活動に深刻な影響を与える可能性があり、例えばエネルギー供給や交通システム、水処理施設といった社会の中枢を支えるインフラでは、その重要性が特に顕著です。2015年にはウクライナの電力網がサイバー攻撃により一時的に停止したケースも報告されており、このような事例はOTセキュリティの脆弱性が社会の安定にどれほど重要かを物語っています。

これらのインフラを支えるOTシステムは、外部からの不正アクセスやサイバー攻撃から保護する必要があります。特にサイバーセキュリティの観点からは、OT環境にITセキュリティの手法を適用した複合的な対策が求められます。これにはリアルタイムでの脅威検知、継続的な監視、アクセス制御の強化、システムの冗長化などが含まれます。各企業はそれぞれの業種やリスクに応じて適切なセキュリティ基準を採用し、最新の技術を駆使してOTセキュリティを維持することが求められます。

2. OTセキュリティにおけるよくある課題

OTセキュリティにおける課題は日々進化しています。これに対処するためには、まずは現状を正しく理解することが重要です。以下に、OTセキュリティでよく見られる問題点を具体的に挙げ、その影響と克服方法について述べます。これらの課題は多岐にわたり、企業の運用に直接影響を与えるため、迅速かつ適切な対応が求められます。

2.1 レガシーシステムの脆弱性

多くの工場やインフラ施設はレガシーシステムを利用しており、これがセキュリティリスクを引き起こしています。これらのシステムは、最新のセキュリティアップデートに対応していないため、攻撃者にとって格好の標的となります。過去の事例として2021年のランサムウェア攻撃では旧システムが原因となったケースがあり、このような事態を避けるためには定期的なシステムの刷新やバーチャルパッチの適用が必要です。

2.2 マルウェア攻撃とランサムウェアの脅威

OT環境は、マルウェアやランサムウェアの攻撃に頻繁にさらされています。日本国内でもランサムウェアによる被害は現実のものとなっており、2023年初頭には複数の企業がランサムウェア攻撃を受けたことが報告されています。このような攻撃は運用停止やデータの損失を招く可能性があるため、ウイルス対策ソフトウェアの導入やネットワーク監視を強化することが欠かせません。

2.3 ネットワークセグメンテーション不足

ネットワークセグメンテーションが適切に行われていないと、一箇所からの侵入で全体が危険にさらされます。特にOTネットワークは、ITよりも物理的な制約が多く、セグメンテーションが不十分であることが多く、ネットワークセグメンテーションの必要性が強調されています。ネットワークセグメンテーションとは、ネットワークを小さなセグメントに分割し、各セグメント間の通信を制御する手法です。不正アクセスや攻撃の拡散を防ぎ、セキュリティ向上、アクセス制御の強化、異常検知の効率化を実現します。

2.4 アクセス制御の不備

多くのOTシステムでは十分なアクセス制御が欠如しています。これは外部からだけでなく、内部からの脅威に対して脆弱にさせる原因です。適切なアクセス制御ポリシーの策定と実装は、従業員の行動をモニタリングし、悪意ある行動の即時検知を可能にします。そのため、ロールベースのアクセス制御（RBAC: Role-Based Access Control）やゼロトラストモデルの採用を検討することが重要です。

2.5 人的要因とリテラシー不足の影響

セキュリティは技術だけの問題ではなく人的要因も大きく影響します。企業におけるリテラシー不足や不適切な操作が重大なリスクを招く可能性があり、セキュリティリテラシー向上のためには、継続的な従業員教育が求められます。情報セキュリティ教育プログラムを取り入れ、従業員一人一人の意識とスキルの向上を図ることが重要です。

3. SBOMとは何か

近年、OTセキュリティの重要性が増す中で、ソフトウェア部品表（SBOM: Software Bill of Materials）が注目されています。SBOMは、ソフトウェア製品の構成要素とその依存関係を一覧化するものであり、セキュリティの透明性を確保し、リスクを軽減する重要な役割を果たします。

3.1 SBOMの定義と目的

SBOMの主な目的は、ソフトウェアの透明性を確保し、セキュリティ上のリスクを軽減することです。具体的には、ソフトウェアのすべてのコンポーネントとその依存関係を明示することで、組織が自社で使用しているソフトウェアのセキュリティを迅速に確認し、脆弱性に対する迅速な対応を可能にします。たとえば、日常的に使用されるOSS（オープンソースソフトウェア）に脆弱性が見つかった場合、SBOMを活用することで影響範囲を特定し、適切なセキュリティパッチを迅速に適用できます。

3.1.1 SBOMの背景と発展

SBOMが注目されるようになった背景には、ソフトウェアサプライチェーン全体の構造的な複雑化が挙げられます。大規模なシステムでは、多数のサードパーティ製品やオープンソースコンポーネントが組み込まれており、それぞれが独自の脆弱性を抱える可能性があります。このため、SBOMによって各コンポーネントの詳細を把握し、継続的なセキュリティの維持を図ることが求められています。

3.2 ソフトウェア部品表の役割

SBOMの中心的な機能は、脆弱性の特定やセキュリティ更新管理の容易化にあります。各コンポーネントの詳細情報、具体的には名前、バージョン、供給元、依存関係などが記載されます。これにより、新たな脆弱性が発見された際の影響範囲の迅速な特定が可能となり、迅速かつ効果的な対応策の立案が可能です。

3.2.1 具体例: OSSの管理

たとえば、企業で使用するオープンソースライブラリに新たな脆弱性が発生した場合、SBOMに基づく対応が重要です。SBOMにリストされている情報を使用することで、迅速に脆弱性の発生場所を特定し、適切なパッチを適用してセキュリティリスクを軽減できます。こうしたプロセスの迅速化は、サイバー攻撃からの事前防衛に不可欠です。

3.3 SBOMとサプライチェーンの関係

SBOMはサプライチェーンのリスク管理にも多大な貢献をします。特に、OTシステムで多くの外部ライブラリやモジュールが使用されているケースでは、自社製品に組み込まれる第三者コードのセキュリティ確認が必須です。SBOMを作成し保持することで、サプライチェーン全体でのセキュリティ情報の可視化と管理を実現し、セキュリティ上のリスクを総合的に軽減することが可能です。

4. SBOMで解決するOTセキュリティの課題

SBOMは、OTセキュリティの複雑な課題を解決するための非常に有力なツールです。OT環境は、生産をはじめとするさまざまな重要なプロセスを支えていますが、これらのシステムはしばしば物理的な設備と密接に結びついており、セキュリティ対策が後手に回ることがあります。SBOMを適切に活用することで、次に挙げるさまざまなセキュリティの課題を効率的に解決することが可能になります。

4.1 脆弱性管理の向上

SBOMは、システムに含まれる全てのソフトウェアコンポーネントをリスト化し、それぞれの脆弱性の特定と管理を容易にします。例えば、SBOMを活用することで、既知のインシデントからの保護だけでなく、NISTが提供するデータベースを参照し、最新の脆弱性情報をキャッチアップできます。これにより、それらのコンポーネントに存在する既知の脆弱性を迅速に発見し、適切なパッチ適用や更新を行うことで、攻撃のリスクを大幅に低減することができます。

4.1.1 ソフトウェアの最新状態の把握

運用担当者がソフトウェアのアップデートを確実に行うことができるよう、SBOMはリアルタイムでの監視を可能にし、迅速な対応を支援します。また、システム全体の健全性を保つためのプラットフォームとしての役割も果たします。

4.2 透明性の確保と効率的な監査

SBOMを使用することで、利用しているソフトウェアの詳細を含む高い透明性を持った履歴の追跡が可能になります。これにより、第三者による監査や内部のセキュリティチェックも効率的に行うことが可能となり、セキュリティ標準に準拠していることを確実に証明することができます。

4.2.1 監査の効率化

SBOMは、監査プロセスにかかる時間とコストの削減に寄与します。従来の手法では数日を要する作業が、SBOMを活用すればより効率的に行えます。

4.3 サプライチェーンリスクの軽減

SBOMは、ソフトウェアのサプライチェーンに関わる全てのプロセスを明確化し、各サプライヤーから供給されるソフトウェアコンポーネントの信頼性とセキュリティを正確に評価することを助けます。重要なサプライチェーン攻撃を未然に防ぐための早期警戒システムとして、オープンなコミュニケーションを促進し、サプライチェーンを介した攻撃のリスクを最小限に抑えることができます。

4.3.1 具体的なリスク評価の手法

企業はSBOMを組み合わせて、CISセキュリティコントロールの導入を増やし、継続的なリスク評価を行うことができます。これにより、サプライヤーとの関係を安全で透明性のあるものに保ちます。

4.4 セキュリティポリシーの強化

SBOMを基にして、より厳密なセキュリティ方針とガイドラインを策定することで、特定の脅威に対する防御を一層強化することが可能です。これにより、個社ごとに異なるニーズに応じたセキュリティのカスタマイズが可能となります。

4.4.1 研修と教育の強化

SBOMの導入は、セキュリティ意識を高めるための社内研修や教育プログラムを強化するにも役立ちます。このような教育は、組織のすべてのメンバーが最新のセキュリティ手法を理解する一助となります。

SBOMを活用すれば、OTセキュリティにおける多くの根本的な課題に効果的に対処することができます。組織の安全性を高めるために、可能な限り早期にSBOMの導入と活用を検討することが重要です。特に、日本国内ではサプライチェーンに対する規制が強まる中、SBOMは信頼性のある選択肢といえるでしょう。

5. SBOM導入のベストプラクティス

5.1 導入のステップとポイント

OTセキュリティの最適化および強化のためにSBOMの導入を行うには、まず、現在稼働しているシステム環境を詳細に把握します。これはSBOMによって管理されるべきソフトウェアコンポーネントを特定するために重要です。その上で、ニーズに最適なSBOM管理ツールを選定します。

次に、選定したツールを使用し、すべてのソフトウェアコンポーネントの詳細を収集し、記録します。その過程においては、企業のセキュリティポリシーを再評価し、強化することで、新しいリスクに備えることが可能になります。

そして、導入の最終段階では、SBOMを基にした監査プロセスを構築します。監査には、PDCA（計画-実行-評価-改善）サイクルを適用することで、セキュリティ対策の継続的改善を促進でき、セキュリティインシデントからの迅速な復旧を可能にします。

5.2 日本国内でのSBOM導入事例

日本国内では、SBOMの導入が進んでおり、多くの企業がその効果を実感しています。日本を代表する製造業の企業は、SBOMを活用してサプライチェーン全体でのリスク軽減に成功し、製品開発における透明性と安全性を高めています。

5.3 ツールの選定

NISTが作成した、Software Supply Chain Security Guidanceによると、推奨される検証ツールは、SAST（Static Application Security Testing：静的解析）、DAST（Dynamic Application Security Testing：動的解析）、SCA（Software Composition Analysis：ソフトウェアコンポジション解析）となっています。

SASTは、ソースコードを使い脆弱性診断を行いますが、利用しているOSS（Open Source Software）を明らかにし、その脆弱性およびライセンスを管理する機能を持つのは、ソフトウェアコンポジション解析ツールです。SASTとソフトウェアコンポジション解析は、脆弱性診断において相互補完的な関係です。

適切なツールを選定する際には、導入のしやすさを選ぶことも不可欠です。ツール選定の過程で、単なる価格比較だけでなく、長期的な運用の持続可能性も考慮に入れることが成功の鍵となります。

6. まとめ

この記事では、OTセキュリティにおけるよくある課題と、それを解決するためにSBOMが果たす役割について詳しく解説しました。OT環境は、レガシーシステムや限られた人材資源が課題として存在し、セキュリティ強化が不可欠です。SBOMを導入することで、サプライチェーンの透明性が向上し、脆弱性管理を効果的に行うことができます。また、SBOMはセキュリティポリシーの強化に寄与し、組織全体の防御力を高めることが可能です。具体的なステップを踏むことでOTセキュリティの向上が期待できます。

The post 徹底分析！OT（Operation Technology）セキュリティのよくある課題とSBOMでの解決マニュアル appeared first on OpenText Blogs.