Jamfの機械学習エンジン「Mi:RIAM」について知っておくべき10の事項

機械学習とそれがサイバーセキュリティにおいて果たす役割は絶え間なく進化しています。その進化する様子は、あらゆるコンピューティングプラットフォームのエンドポイントを標的として増え続けるセキュリティ脅威と似ていないこともありません。

データポイントを分析し、人が介入しても太刀打ちできないような優れた性能で、企業のセキュリティの態勢を向上させることができるというメリットが、セキュリティソリューションに機械学習が取り入れられる推進力となっています。機械学習テクノロジーは単にパワフルなだけではありません。膨大な量のリスクデータセットを迅速に分析して以下を実現します。

• 既知または未知を問わず、様々なセキュリティ脅威を特定

• 継続的な学習で機能を向上

• 過去のデータ、そして、経験学習に基づいたデータから、可能性のある新たな攻撃を検出

• より迅速かつ効率的な、脅威への対応を行うための方法の提供

• 修復ワークフローを自動化し、脅威を効果的に解決

例えばJamf Threat Defenseには、既知の脅威を特定し防御するために脅威インテリジェンスエンジン「MI:RIAM」を搭載しています。MI:RIAMはパワフルで高度な機械学習を活用することで、未知の脅威も検知して防御します。絶え間なくデータをスキャンして分析することで、MI:RIAMはフィッシングサイトや悪意のあるドメインから生じる攻撃などのゼロデイ脅威を、デバイスが影響を受ける前にリアルタイムでブロックすることが可能であり、その他の安全対策も講じることでエンドポイントを安全に保つことができます。

エンドポイントセキュリティにおいて、機械学習はどのような役割を担っているのでしょうか

IBMによると、機械学習のようなテクノロジーは「日々生成されるアラートから生じるノイズから迅速にインサイトを提供し、レスポンスタイムを大幅に短縮します。」機械学習のスピードと効率性は、リソース不足のセキュリティ部門が増大するサイバーセキュリティ脅威と攻撃の複雑さに対処し、多くの異なるソースからの脅威情報を集めて企業のニーズに合うダイナミックな脅威情報レポートを作成し、脅威に先んじるために役立ちます。

サイバーセキュリティにおける機械学習のメリットとは

簡単に言えば、機械学習は、ITおよびセキュリティ部門が脅威と脆弱性の間の「点をつなげる」ために役立ちます。すべてのデータポイントをつなぎ合わせて、セキュリティポスチャという面と、進化するセキュリティ脅威からデバイス、ユーザ、データを保護する能力という面における企業の立ち位置を、全体的かつトップダウン的に確認できるようにします。

機械学習の台頭

サイバーセキュリティを保護する計画に、機械学習を導入する最大の魅力の1つが、悪意のあるアクティビティを含めた新たな脅威を検出する能力です。従来のセキュリティソリューションが既知の脅威のシグネチャに基づいてエンドポイントへの侵入を防いでいたのに対し、機械学習では、高度なアルゴリズムを活用して、潜在的な攻撃動作と既知の攻撃パターンとの比較分析に基づく予測インテリジェンスを通して、マルウェアやフィッシング詐欺などの攻撃を検知します。機械学習は、次世代型の攻撃がデバイスへの侵入やネットワークへの侵入する前のわずかな痕跡も見逃さず、検知し動作します。

アイ・ロボット

能力といえば、機械学習には、学習する能力があります。機械学習は、より多くの脅威を特定し、システムに影響をおよぼすセキュリティ問題を防止することで、より高い保護を提供する能力をさらに強化します。

例えば、以下のような能力を備えています。

• 高度に洗練された攻撃でも検出できるようにトレーニングを受ける

• 高度なパターン認識を実行する

• 自然言語処理を活用して保護を強化する

• 記事、技術論文、研究書などを収集してデータを厳選する

• 異常や攻撃のヒューリスティック分析を行い、傾向を把握する

• データをカタログ化し、ナレッジをさらに向上してグローバルに共有する

• 公式に基づき、エンドポイントを最良の方法で保護するための意思決定に優先順位を付ける

• 業界に特化した詳細な保護を提供することで全体的な保護を実現する

戦うボット

脅威をより早く発見する能力と並行して、IBMではさらに「何十億ものデータアーティファクトを消費することでサイバーセキュリティ脅威とサイバーリスクを理解する」だけでなく、消費したデータに対して分析を行い、多数の脅威ベクトルの間にどのような関係性が存在するかを判断するために、機械学習の推論がどのように機能するのかについてもまとめています。機械学習に備わる自動化という性質を生かしたこの分析を通じて、わずか数秒から数分で、企業にもたらされるリスクの全体像を描くことができます。

迷惑なファイル、不明なIPアドレスやドメインからの通信、企業リソースへのアクセスを既に許可されているユーザによる不審な行動など、遭遇しうる悪意のある脅威について考えてみましょう。これらは、新しいお客様や社内の従業員との間で発生している多くのやりとりの一部であるため、文字通りに組織にとって、脅威であると受け止められているわけではありません。

スカイネット

映画ターミネーターシリーズに、人類に終止符を打つことで自身を守ろうとするAI、スカイネットが登場しますが、機械学習のコンセプトはそれと似ています。前述したような潜在的な悪意のある脅威の例を考慮し、機械学習は、個々の一見無関係に見える「点」をすべて同時に調べ、本当にサイバーリスクかどうか、どの程度のリスクで、どのデバイスで、どのようにアプリケーションやサービスが狙われているのか、また潜在的にどんな影響があるのかを判断する力を持っています。これらの詳細な検査により、データの漏洩が発生する前に、脅威を効果的にシャットダウンすることにつながるのです。

これは、手作業で分析した場合と比べて全く対照的です。手作業の場合、未知の行動や疑わしい行動の関連性を完全に調査するのに何時間もかかったり、よくあるヒューマンエラーの一つとして見逃されたり、データの一つ一つを適切に調査するのが困難なことから、完全に見過ごされたりする可能性があります。

MI:RIAMのしくみ

MI:RIAMについて詳しく説明する前に、その名前に込められた意味を説明しましょう。

MI:RIAMは、Machine Intelligence: Real-time Insights and Analytics Machineを略した言葉です。前述したように、MI:RIAMは、Jamf Threat Defenseを支える高度な機械学習テクノロジーです。具体的に説明すると、このコンポーネントは以下のタスクを実行することで、デバイス、ユーザ、機密データをリスクやセキュリティ脅威から安全かつセキュアに保つ役割を担います。

• フィッシングなどのゼロデイ攻撃の試みを発見する

• クリプトジャック攻撃やC2などの多数の攻撃タイプを識別する

• ネットワーク上の高度な攻撃を自動的にブロックし、データ流出などの機密データや重要データの損失を防止する

• ウェブブラウザ、メール、ソーシャルメディア、SMSなどのアプリやサービスに保護を提供する

• デバイスのヘルスチェックを行い、脆弱な構成、またはリスクの高い接続による侵害の発生を防止するモバイルワーカー向けのエンドポイント防御

• 既知のマルウェアや悪意のあるソフトウェアによるデバイスへの侵入を防ぐ

• 許可リストやデータを危険にさらす埋め込みURLのリスト作成など、詳細な脅威インテリジェンスレポートを作成する検証ワークフローを備えたAppインサイトを実施する

• 単独で、または自社ツールやサードパーティツールと連携してセキュリティポリシーを維持しながら、保護機能をカスタマイズ

• 包括的なリスク評価に基づいて、エンドポイント脅威の自動修復をリアルタイムで実行する

• 幅広いテレメトリとコンテキストに基づく入力セットの継続的な監視を通した、信頼されたデバイスによるアプリケーションやサービスへのアダプティブアクセス