はやいもので、とうとうこのPickUpも100回目になりました！ これからも有用な情報を深掘りしてまとめていきますのでよろしくお願いいたします。 by Packet-Pilot編集部一同

デジタルフォレンジックとインシデントレスポンス(DFIR)にAIを活用するには？

AI（人工知能）をDFIR（デジタルフォレンジックおよびインシデントレスポンス）に活用することは、確かに期待されるほど単純ではないかもしれません。多くの人が漠然とAIがサイバーセキュリティに役立つと考えていますが、具体的にどのように役立つのか、そして本当にそれが最適な解決策なのかを深く検討する必要があります。たとえば、AIに調査計画を作成させたり、侵害の証拠を自動的に特定させたりすることを考えますが、その前に本当にそれが必要なのか、他の方法では解決できないのかを自問するべきです。また、AIモデルが不正確な情報で訓練された場合のリスクや、複雑な環境でAIを適用する際の課題も考慮に入れる必要があります。

1. 調査計画の作成におけるAIの必要性：

   • アナリストが調査計画を作成しないという問題に対して、AIを導入することが必ずしも最善の策とは限りません。もしアナリストが計画を作成しない理由が、スキル不足や時間不足、モチベーションの問題である場合、AIを導入しても根本的な解決にはなりません。
   • 以前、ある企業で調査計画の作成が義務付けられたものの、実際には誰も計画を作成しなかったという事例があります。これは、単に義務付けるだけでは意味がなく、アナリストが計画を作成するためのサポートやトレーニングが必要であることを示唆しています。
   • AIに計画を作成させる前に、まずアナリストが計画を作成しない原因を特定し、それに対処することが重要です。AIは、既存のプロセスを改善するためのツールとして捉えるべきであり、問題の根本的な解決策として過度に期待するべきではありません。

2. 証拠やアーティファクトの特定におけるAIの役割：

   • 侵害の証拠やアーティファクトを特定するためにAIを使用する場合、そのAIモデルをどのように訓練するかが非常に重要になります。AIモデルは、大量のデータからパターンを学習することで、新しい証拠を特定できるようになります。
   • しかし、その訓練データは誰が作成するのでしょうか？ 通常は、人間の専門家が証拠を特定し、その情報をAIモデルに学習させます。それならば、AIに頼らずに、人間が直接証拠を特定し、文書化する方が効率的である可能性もあります。
   • 特に、DFIRの分野では、新しい脅威や攻撃手法が常に登場するため、AIモデルを常に最新の状態に保つ必要があります。そのためには、人間の専門家が継続的に関与し、AIモデルを更新し続ける必要があります。

3. 不正確な情報によるAI訓練のリスク：

   • AIモデルの訓練に使用する情報の正確性は、AIの有効性を大きく左右します。DFIRの分野では、AmCacheやShimCacheといったアーティファクトがよく利用されますが、これらのアーティファクトは不完全であったり、解釈が曖昧であったりすることがあります。
     • AmCache：アプリケーションの互換性に関する情報が記録されたデータベース。
     • ShimCache：アプリケーションの互換性に関する別のデータベースで、古いアプリケーションが新しいWindowsバージョンで動作するようにするための情報が含まれています。
   • もし不完全または曖昧な情報でAIモデルを訓練すると、AIは誤ったパターンを学習し、不正確な結果を生み出す可能性があります。さらに、AIは「ハルシネーション」と呼ばれる、もっともらしい嘘をつくことがあります。これは、AIが学習データに存在しない情報を生成してしまう現象です。
   • したがって、AIモデルを訓練する際には、情報の正確性を徹底的に検証し、誤った情報が含まれていないことを確認する必要があります。また、AIの結果を鵜呑みにせず、常に人間の専門家がその妥当性を評価する必要があります。

4. SOAR（セキュリティオーケストレーション、自動化、およびレスポンス）へのAIの応用：

   • **SOAR（Security Orchestration, Automation and Response）**にAIを応用することは、セキュリティ運用の効率化に繋がる可能性があります。SOARとは、複数のセキュリティツールを連携させ、インシデント対応を自動化するためのプラットフォームです。
   • AIは、SOARプラットフォームに組み込むことで、インシデントの優先順位付け、脅威の分析、対応策の推奨などを自動化できます。これにより、セキュリティアナリストはより高度なタスクに集中できるようになります。
   • しかし、SOARにAIを適用する場合でも、いくつかの課題があります。
     • まず、AIモデルの訓練には、大量のデータが必要です。
     • 次に、AIモデルは、特定の環境に合わせて調整する必要があります。
     • さらに、AIの結果を監視し、必要に応じて修正する必要があります。
   • 特に、**複数の異なる環境にまたがるMDR（Managed Detection and Response）やMSSP（Managed Security Service Provider）**のような複雑な環境では、AIモデルの訓練はさらに困難になります。
     • MDR：セキュリティ監視やインシデント対応を専門とするサービスプロバイダー。
     • MSSP：ファイアウォールや侵入検知システムなどのセキュリティ機器の運用・管理を代行するサービスプロバイダー。
   • ある環境では悪意のあるイベントが、別の環境では重要なビジネスプロセスである可能性があるため、環境ごとの違いを考慮したAIの適用が必要です。

5. パケット分析へのAIの応用：

   • パケット分析にAIを活用することは、ネットワークトラフィックの異常を検知したり、マルウェアの通信を特定したりするのに役立つ可能性があります。
   • Richard McKee氏がパケットキャプチャをDeepSeekに渡して分析させた事例は、その可能性を示唆しています。
   • しかし、パケット分析にAIを適用する場合でも、いくつかの課題があります。
     • まず、AIモデルの訓練には、大量のパケットデータが必要です。
     • 次に、AIモデルは、特定のネットワーク環境に合わせて調整する必要があります。
     • さらに、AIの結果を分析し、誤検知を減らす必要があります。

6. 攻撃者のゼロデイ攻撃におけるAIの利用：

   • AIによって、攻撃者がより迅速にゼロデイ攻撃を開発・展開できるようになるという懸念は、現実的な脅威です。
   • ゼロデイ攻撃とは、ソフトウェアの脆弱性が発見されてから、その脆弱性に対する修正プログラムがリリースされるまでの間に発生する攻撃のことです。
   • AIは、脆弱性の発見、エクスプロイトコードの開発、攻撃の自動化など、攻撃のライフサイクルの各段階で利用される可能性があります。
   • しかし、これは、適切なアセットインベントリ、攻撃対象領域の削減、パッチ適用、インシデントレスポンス手順などを整備していない組織にとってのみ深刻な問題です。
   • 基本的なセキュリティ対策を講じている組織にとっては、AIによる攻撃の加速はそれほど大きな脅威ではないと私は考えます。

まとめ

AIをDFIRに適用する際には、その必要性を慎重に検討し、既存の問題をAIで安易に解決しようとしないことが重要です。AIモデルの訓練に使用する情報の正確性を確保し、複雑な環境でのAIの適用における課題を認識する必要があります。また、AIによる攻撃の加速に対抗するためには、基本的なセキュリティ対策を徹底することが不可欠です。AIは強力なツールとなりえますが、その利用は慎重に計画され、既存のプロセスやセキュリティ対策を補完するものとして捉えるべきです。AIを導入する際には、常に人間の専門家が関与し、AIの結果を検証し、必要に応じて修正することが重要です。