日本電気株式会社(以下、NEC)は、サイバーセキュリティの専門家であるアナリストが行う顧客システムの監視業務の高度化・効率化を実現する「脅威分析システム」を、AI(人工知能)技術を活用して開発し、サイバー攻撃対策の運用を支援する中核拠点「サイバーセキュリティ・ファクトリー」に本格導入した。
同システムは、さまざまなセキュリティ機器から収集した大量のアラート通知に関係するパケット情報を分析することで、過去に事例のあるパケット情報との類似度を可視化し、アナリストが行う脅威レベルや誤検知の判別を支援する。さらに、過去のパケット情報の分析結果とアナリストの判断結果を学習し、対処不要なアラート通知や誤検知を削減することも可能だという。これにより、脅威レベルの高いサイバー攻撃を優先的に分析することが可能となる。
NECは、「サイバーセキュリティ・ファクトリー」で提供する監視サービスに同システムを試験導入したところ、アナリストが分析対象とするアラート通知の件数が従来の3分の2となり、監視業務の負荷軽減を実現したという。
同システムの特長は以下の通り。
- パケット情報を分析し、脅威レベルや誤検知の判別を支援
ファイアウォールやUTM(統合脅威管理)、IDS/IPS(不正侵入検知・防御システム)などのセキュリティ機器から収集した大量のアラート通知に関係するパケット情報を分析することで、過去事例のあるパケット情報との類似度を可視化。これにより、アナリストが行う脅威レベルや誤検知の判別を支援し、監視業務の負荷を軽減。 - アナリストの判断結果を学習し、自動的にアラート通知を削減
過去のパケット情報の分析結果とアナリストの判断結果を学習し、アラート通知を分類するためのフィルタリングルールを自動生成する機能により、脅威レベルが低く対処不要なアラート通知や誤検知を削減。これにより、アナリストは脅威レベルの高いサイバー攻撃を優先的に分析することが可能となり、監視業務の高度化・効率化を実現。 - 分析に必要な情報を1つの画面上で統合的に表示
開発・運用部門の連携により迅速なシステム開発を可能とする手法であるDevOps(注)を適用し、運用現場の要求を的確に満たしたシステムを開発。また、分析に必要な情報を1つの画面上で統合的に表示するUI(ユーザインターフェース)を実現し、アナリストの分析時間を短縮。
NECは社会ソリューション事業に注力しており、中でもグローバル成長戦略の柱としてサイバーセキュリティを含む「セーフティ事業」を強化している。NECは今後もAIをはじめとする先進ICTを活用してセキュリティ監視サービスを強化するとしている。
(注)DevOps:開発部門(Development)と運用部門(Operations)が連携してシステムを迅速かつ柔軟に開発する手法。
【関連リンク】
・日本電気(NEC)