生成AIで、セキュリティの「潜在的な侵害シナリオ」を予測　データ流出のリスクを軽減する新たな仕組み

Fortune500の4割を顧客とする、クラウドセキュリティ企業

三浦マーク氏：私、ゼットスケーラー・パートナーソリューションアーキテクトの三浦と申します。本日は「真のDXの鍵はOne True Zero」というテーマで、弊社のAIを使った最新のセキュリティをご紹介していきたいと思います。どうぞよろしくお願いいたします。

まずゼットスケーラーの会社概要についてお話ししたいと思います。ゼットスケーラーはUSのカリフォルニアで2007年に創業した会社で、当初からクラウドネイティブのセキュリティをお客さまに提供してきました。

現在ではFortune 500の40パーセントのお客さま、またGlobal 2000の30パーセントのお客さまの複雑なネットワーク環境を、Zscalerの環境にマイグレーションしてきた実績があります。顧客満足度調査にあたる指標では、SaaSの平均が30NPSに対してZscalerは80NPSと、高い評価をいただいております。

次にソリューションについてです。現在、Zscalerのソリューションは3つのカテゴリーに分かれております。みなさまがよくご存知のZIAとZPAが含まれております「Zscaler for Users」、クラウドのワークロード間の通信を保護する「Zscaler for Workloads」、そしてIoTとOTを保護する「Zscaler for IoT and OT」です。

次にZscalerのコアについてですが、スケーラブルで包括的なプラットフォームの紹介となります。大きく分けて5つの機能がございます。

1つはユーザー、ワークロード、IoTを私たちのプラットフォームに接続する機能。2つ目がユーザーをアプリに直接接続する機能。3つ目はサイバーの脅威から守る機能。4つ目はデータを保護する機能となり、そして最後の5つ目は、毎日何兆ものテレメトリ情報から可視化するビジネスインサイトとなります。

独自のAI技術で情報流出の兆候を事前予測

本題に入っていきましょう。ZscalerのこれまでのセキュリティAIとマシンラーニング（ML）は、マイクロセグメントの自動化、データの自動分類、マルウェアとC2通信の検出やコンテンツの分類、フィッシングの検出、サンドボックス、ディープラーニング等に応用されてきました。

そして今回、弊社はセキュリティAIだけではなく、人工知能のAIを活用した革新的な製品を生み出すことに注力しております。AIソリューションを開発するために必要な要件は、Zscalerが所有する大規模な独自のデータアセットへのアクセスです。

そして、セキュリティ知識がなくてもベストな設定と運用ができるように誘導し、テキスト・画像・音声・動画、あらゆるフォーマットのデータに対してデータ保護を実現しています。

私たちはデータレイク（構造化データと非構造化データの両方を保存できる場所）を使用して、独自の大規模言語モデルに何十億ものログを学習させ、情報流出の兆候を事前に予測しております。

では1つ目の、AI技術を応用した「Zscaler Navigator」の紹介に入っていきたいと思います。Zscaler Navigatorは、顧客がシームレスで安全かつユーザーフレンドリーなアプローチで、Zscalerのソリューションやサービスと対話できるようにする簡素化、そして統合された自然言語インターフェイスを持っております。

そしてZscaler Navigatorは、ジェネレーティブAIによってIT管理者、SOC（Security Operation Center：サイバー攻撃の検知や分析を行い、対策を講じる専門組織）、CxOの意思決定を補助し、セキュリティ運用の効率化を目指します。

例えば、過去7日間の上位URLカテゴリーを知りたい場合、ユーザーインターフェースの使用方法や各フィルターの意味を理解する必要はありません。ただ単に質問すること（で知りたいことを知ること）ができます。

簡単な作業のように思えるかもしれませんが、Zscalerは1日あたり3,000億件のレコードを収集しており、これは7日間で2.1兆件のレコードに相当します。使用者の質問に答えるにはデータレイク内のすべてのレコードを調べてから、Zscaler大規模言語モデルを利用して回答を提供する必要があります。

データを盗み出す最も簡単な方法は、画像やビデオの使用

次は、ジェネレーティブAIを活用した画期的なテクノロジーの1つ、「Multi-Modal DLP」を紹介します。現在のDLP（Data Loss Prevention：保有する情報の漏洩や消失を防ぐためのシステム）エンジンでは、テキストが組織から離れることを防ぐことはできません。

現在は画像でも防げるのはOCR後のテキストだけとなります。しかし世の中のマルチメディアは進化し、インサイダーや悪意のある攻撃者も進化しております。今日データを盗み出す最も簡単な方法は、画像やビデオを使用することです。

例えば、新しいスマホのガラス製品を発表しようとしているテクノロジー会社で、発表前に製品の画像が一般に漏洩した場合を考えてみます。または新しいアニメーション映画を発表しようとしているメディア会社で、リリース前に映像が漏洩したことを想像してみてください。

あるいは、自動車メーカーが製造している新しいバッテリーのブループリントが漏洩したことを考えてみましょう。これらのいずれの場合も、漏洩は関係する企業や組織に大きなダメージを与える可能性があります。今日のデータ保護テクノロジーでは、これらのアーティファクトが社会に流出することを防ぐことはできません。

ZscalerはジェネレーティブAIとマルチモーダル機能を使ってDLP製品を統合することで、データ損失防止に革命を起こすために取り組んでいます。Zscalerはテキストや画像に加え、ビデオやオーディオなど幅広いメディア形式で、顧客データを漏洩から保護できます。

Multi-Modal DLPはビデオ会話、画像などのオブジェクト、コンテキスト、画像の種類、ビデオの一部などのテキストを検索し、自然言語を使用してポリシーを記述することができます。

重要情報を個人ドライブにアップされないように保護

これは一例ですが、社内で新しいテクノロジーについて話し合い、そのレビューをするためにZoomコールを行いセッションを録画しました。1人の従業員が「これはお金になるテクノロジーだ」ということで、このセッションの録画を個人用のドライブに保存しようとしています。

彼はファイルの名前を「MyVideo」に変更し、個人用ドライブにアップロードします。現在のDLPエンジンでは残念ながらビデオの内容を見られないため、アップロードが成功してしまいます。

次に最新のMulti-Modal DLPを有効にするとどうなるか、見てみましょう。ZIAのダッシュボードの「DLP Engines」で「Multi-modal」を選択します。Multi-Modal DLPでは画像を指定できます。

例えば設計図や新しい製品のイメージ、アップロードされた際のイメージを登録できます。またビデオも登録できます。ここではまだ発表されていない車の動画を追加した時の例となります。

または保護しているものの、プレーンテキストに登録することもできます。これは動画内の会話であるとかテキストの一部、またはコンテキスト、シーンあるいはオブジェクトなどを登録することが可能です。

Multi-Modal DLPが有効になったあとに、ユーザーが同じファイルを再度アップロードしてみましょう。彼のアップロードがブロックされ、「動画内に含まれている機密情報が登録された情報をもとにチェックされました」というメッセージが出ます。

またファイルに機密情報が含まれている場合には、ワークフロー自動化システムに送信され、インシデントが作成されます。そして、ログでインシデントの原因となった証拠を確認することができます。その証跡として、問題のあるコンテンツが動画内に表示される正確な瞬間から、動画を確認できます。またそれがテキストでも音声でも可能です。

サイバー攻撃後の「潜在的な侵害シナリオ」も予測可能に

次に漏洩予測の機能を見ていきましょう。セキュリティ業界では侵害されたあと、侵害を発見するのにどれくらいの時間がかかるのかがすべてです。私たちはこの分野で新しいテクノロジーを構築してきました。それについて詳しく話していきたいと思います。

これはZscalerのAI/MLモデルを活用した侵害予測の紹介となります。Zscalerは、プラットフォームのエンドポイント、ネットワーク、パブリッククラウド全体の予測可視性を使用し、世界最高クラスの強インテリジェンスでそれを強化して、侵害とポリシー推奨のAIエンジンをトレーニングしております。

洞察を導き出すために、1つの組織だけではなく、すべてのグローバル組織のクラウド全体のデータを検討する必要があります。ここでの目標は生成型AIの力を多次元モデルと組み合わせて活用し、潜在的な侵害シナリオを予測することです。

また、それだけに終わらず、侵害を防ぐために観察されたアクティビティに基づくポリシーを提言しています。

では、マルウェアのダウンロードから始まるアラートを見ていきましょう。このアラートは、組織に所属するユーザーのRicky Tanさんが、マルウェア感染を引き起こす海賊版ソフトウェアをダウンロードするところから始まります。現時点では大したことではなく、対応が必要なインシデントではありますが、切迫した状況ではありません。

しかし、これがマルウェア感染につながった一連のイベントであり、検出されたマルウェアを調べると、感染した端末が収集活動を実行する可能性が高く、また成功した場合ラテラルムーブメントにつながる可能性があります。この段階では何も実行されなかったと仮定しましょう。

違反予測インジケーターで、起こりうるリスクを勧告

時間が経ち、2人のユーザーからのC2活動が判明しました。これは潜在的なラテラルムーブメント（攻撃者が侵入に成功したシステムを足がかりに、内部の他のシステムを攻撃する手法）につながる持続的な収集活動であることを示しています。

そのため、2人の追加されたユーザーと、継続的なC2アクティビティを示す合計3人のユーザーが、ラテラルムーブメントを起こしています。Zscalerクラウドのほかの組織で見られた同様のアクティビティから、以前に学習した内容に基づいて、潜在的なコンプライアンス違反とデータ流出の可能性が上昇し始めます。

違反予測インジケーターが40パーセントを指しています。この段階でアクションを実行し、さらに進行する前に軽減するオプションがありますが、ここでは何もアクションを起こさなかったと仮定しましょう。

次に、感染したユーザーの1人から重大なコンプライアンス違反が確認され、S3バケットが公開されました。これは脅威アクターがデータを盗み出す目的でS3バケットのアクセス許可を変更した、典型的な脅威のアクティビティを示しています。

現在継続的なC2アクティビティと、ユーザーの1人からなる重大なコンプライアンス違反があり、データが流出する可能性があります。組織がこの段階でアクションを実行できない場合、ランサムウェアのペイロードがダウンロードされる可能性があります。

また、公開されたS3バケットを使用して盗み出された、クラウンジュエル（組織が守るべき重要な資産）アプリケーションからの、ラテラルムーブメントのアクティビティとデータが増えています。予想どおり、これにより違反予測インジケーターが100パーセントになりました。

生成AIを活用して、セキュリティ侵害を抑え込む

私たちは観測だけでは終わりません。私たちのAIモデルは侵害を防ぐために、観測された活動に基づいて、非常に具体的な施策を提言します。この場合、影響を受ける3人のユーザーをアイソレーションブラウザにリダイレクトし、潜在的なデータ流出を防ぐためにクラウンジュエルアプリケーションへのアクセスをブロックすることが推奨されています。

私たちは、カスタマイズされた大規模言語モデルを使用して侵害シナリオを予測するだけではなく、侵害を防ぐために観測されたアクティビティに基づいてポリシーを安全に適用することができます。そしてポリシーの変更を提示します。みなさまがしなければならないのは、これらのポリシー変更の承認をするだけとなります。

ZscalerはジェネレーティブAIの力を活用して、侵害を抑え込むイノベーションを提供するのに最適な立場にあります。当社のプラットフォームは組織内のユーザーと資産の完全なコンテキストを使用して、サイバーキルチェーン全体の可視性を提供します。世界最大のクラウド・セキュリティのデータレイクがあり、7,000以上の組織間でイベントを関連づけることができます。

そして、ハイパーグラフや侵害予測大規模言語モデルなどのイノベーションを提供している、AI/MLとセキュリティの専門家のグローバルチームを持っております。Zscalerはお客さまのジャーニーを支援するセキュリティパートナーであることを誇りに思っております。

サイバー攻撃の4つの段階に沿って、組織のリスクを可視化

ではもう1つ、新しいソリューションをご紹介します。グローバルな金融サービス会社のCISO（最高情報セキュリティ責任者）から「データが正規化されず動的ではなく、時にはレポートに最大1ヶ月の遅れが生じる。また直面している課題を正確に要約する必要がある」と言われました。

この課題を解決するためには、セキュリティ目標を達成していることを取締役会に説明するための、リアルタイムなダッシュボードが必要だと思います。さらにほとんどのセキュリティチームは、未だにExcelシートを使用してコントロールと成熟度レベルを文書化しているため、データ収集するプロセスが複雑で、多くの場合限られたビューに依存しています。

もし攻撃の主要な4つの段階にわたるリスクを定量化できるとしたらいかがでしょうか。このソリューションの目標は3つあります。

1つは個別のツールを統合したダッシュボードに表示すること。2つ目は手動による情報収集から自動ビジュアル化への移行をすること。3つ目は生データを、セキュリティチームがリスクを軽減するために洞察に集中できるようなデータに変換して表示することです。

リスクの定量化と実用的な修復を提供する、業界で最も包括的で実用的なリスクフレームワークである「Zscaler Risk360」を紹介いたします。

製品の簡単なウォークスルーをしていきましょう。Risk360は攻撃の4つの段階すべてにわたって組織のリスクを定量化し、完全にデータ駆動型であり、構成方法とこれらの4つの段階で観測された動作に基づいて定量化することができます。

ダッシュボードには組織のリスクスコアの傾向、リスクイベントが発生している場所が表示されます。時間の経過に伴うリスクの傾向を、同業他社平均と比較して表示します。これはセキュリティチームがプラスまたはマイナスのどちら方向に向かっているかを追跡するのに役に立ちます。特定時点のスナップと比較することが重要です。

また、リスク属性にフラグがついた地理的位置も表示されます。エンティティごとにリスクを確認できます。1つ目はワークフォース、2つ目はサードパーティ、3つ目はアプリケーション、そして最後にアセットについてです。

またリスクスコアの原因となったトップ10の要因を確認することもできます。

データ流出のリスクを軽減する仕組み

最後に、これらのリスクの多くを軽減する、またセキュリティ体制を改善するうえで影響が大きい推奨事項が表示されます。セキュリティとデータの専門家が開発した、100以上の組織のリスクスコア要因のリストにアクセスできます。

これらの要因はリスクを計算する際の構成、観察された動作、資産の種類およびサードパーティの統合を考慮に入れております。また実装した補正コントロールに基づいて、特定の要因をオーバーライドすることもできます。Risk360はそのオーバーライドを考慮して、リスクスコアを自動的に再計算します。

これらの要素のいずれかをクリックして、主要な推奨事項を含む詳細を見ることができます。お客さまは有益なリスク軽減につながる重要な洞察と、推奨事項の優先順にリストにアクセスすることができます。

クリックすると、Risk360は環境から抽出されたデータ駆動型の洞察を提供します。この場合、上位5つの危険な未承認のファイル共有アプリケーションの詳細を、データサイズ、場所、部門、ユーザーごとに見ることができます。さらに、これらの分析情報のいずれかをさらにドリルダウンして、リスク検出結果を低減するアクションを実行できます。

またパートナーのお客さまのフィードバックに基づいて、セキュリティチームがリスクの重要度と関連する財務上のエクスポージャーを、より効率的に部門横断的なビジネスパートナーに伝達できるようにする、財務エクスポージャーモデルを実装しております。

私たちは各要因の詳細は3レベルで財務エクスポージャーを計算しております。これにより、財務エクスポージャーレンジに基づいた特定のリスクに、優先順位をつけることができます。

要約すると、Zscaler Zero Trust Exchangeを活用してアタックサーフェイスを減らし、一貫したセキュリティポリシーを実装し、ユーザーとアプリのセグメンテーションを行い、データ流出のリスクを軽減します。

チームはRisk360を積極的に活用して、これらの4つの領域にわたるリスクを定量化し、さらに削減しています。ご視聴ありがとうございました。