サイバーセキュリティクラウド、ディープラーニングを用いた攻撃検知AIエンジン「Cyneural」を開発

近年、インターネット技術やAI技術の進化によりWEBシステムへのサイバー攻撃の手口が高度化している。加えて、AIを悪用した複雑な攻撃や、未知のサイバー攻撃（ゼロデイ攻撃）が今後増加していくことも予想される。

サイバー攻撃の防御は、一般的に悪意のあるアクセスを示す特定のパターン「シグネチャ」を検知することで対応するが、AIやBOTなどを活用した複雑な攻撃や、未知の攻撃に対しては、検知が困難であったり、正常なアクセスを誤検知してしまうなどの問題が発生する可能性がある。そのため、防御側にもAIのような柔軟性を持った技術の活用が求められている。

そこで、株式会社サイバーセキュリティクラウドは、ディープラーニング（深層学習）を用いた攻撃検知AIエンジン「Cyneural」を開発し、運用を開始した。脅威インテリジェンスと併せて活用することで、従来のWAFでは検知すること自体が困難であった未知のサイバー攻撃やAI等を用いた攻撃への検知・分析等を実現していく。

Cyneuralは、サイバーセキュリティクラウドがWebアクセスや攻撃手法の研究で培ってきた知見を活用した特徴抽出エンジンを用いており、複数種類の学習モデルを構築することで、一般的な攻撃の検知や未知の攻撃の発見、誤検知の発見を行う。

通常、AIに攻撃データを学習させるためには、膨大なデータ量が必要だが、正常のデータ（非攻撃データ）と比較して攻撃データが少ないという課題が存在する。サイバーセキュリティクラウドでは、大小問わず5,000サイト以上の企業にサイバーセキュリティサービスを提供しており、現在では8,000億件以上のデータ数を保有している。2019年7月は約550億件/月のデータをリアルタイムに分析して、攻撃の検知を行っている。

そのため、Cyneuralではディープラーニングを採用し、データをAIに学習させることで、様々なアクセスの中から未知のサイバー攻撃の可能性が高いアクセスを発見・検知することが可能な攻撃検知エンジンを開発した。さらに、攻撃者の動機・目的・手口・行動などの分析を行う脅威インテリジェンスを活用してシグネチャをアップデートすることで、サイバーセキュリティを提供することができる。

今後は、Cyneuralをサイバーセキュリティクラウドのクラウド型WAF「攻撃遮断くん」をはじめとするプロダクトに搭載し、運用精度をより高めていくとともに、リアルタイムに未知の攻撃に対応できるよう開発を推進していく。