テクノロジー
製品
業界
ニュース
リソース
会社
日本語
テクノロジー
製品
業界
ニュース
ブログ
リソース
会社

AIを使ったEメールセキュリティで人間の防御担当者の負担を軽減

Dan Fein, Director of Email Security Products

Eメールセキュリティソリューションの効果を測定する上で、特に重要な2つの基準があります。第一に重要なのが精度の問題です。そのソリューションは悪意あるEメールを確実にキャッチしつつ、本物の、脅威の無い通信は通過することを許すでしょうか?簡単に言えば、悪いものは阻止し良いものは通すことができるかということです。

この第一の基準において、判断を行う人は2つの微妙に異なる、しかし同じように重要な問いを検討することが賢明です:その製品は悪いものを本当に阻止できる(適切なタイミングで意味のあるアクションを取れる)でしょうか?そして、本当に悪いものを阻止(すなわち、簡単にわかるものだけでなく、ゲートウェイをすり抜ける、より高度なEメール脅威、たとえば何万ドルもの損害につながる可能性のある、信頼の置ける第三者になりすました攻撃などもキャッチ)できるでしょうか?

第二の基準、これには多くの場合正当な注意が払われないことが多いのですが、それは投資対効果(ROI)を考慮する際の問題です:その製品はITチームからどのくらいの時間と労力を必要とするでしょうか?サイバーセキュリティはITプロフェッショナルとビジネス全体を助けるものであるべきですが、あまりにも多くのケースにおいて、Eメールツールは誤って正当なトラフィックを保留してメールフローに干渉し、人間のチームの作業負荷を増やしてビジネスを中断させる結果となっています。

このブログではEメールセキュリティに対するAIベースのアプローチが、より優れた精度とキャッチ率を提供するだけでなく、自己学習しほぼ即座に有効性を発揮するソリューションにより、能力を発揮するまでの時間を劇的に削減できることを説明します。

これからの時間の使い方

大多数の組織は現在も従来型の「セキュアな」Eメールゲートウェイの運用に苦労していますが、これは高度なEメール攻撃を取り逃がすだけではなく、ITセキュリティ担当者の貴重な時間を消費しており、彼らはPowerShellスクリプトをいじったり、悪意あるEメールを探して削除したり、従業員のフォローアップを行ったり、ツールの設定変更を行ったりするのに週に20時間以上も軽くかかってしまいます。これらの面倒かつ効果の低い作業に費やした時間は、積極的にセキュリティを強化し潜在的脅威に備えるために使えたはずです。

今度は自律的AIがEメールセキュリティにどうアプローチするか見てみましょう。Antigena Emailは教師なし機械学習を活用して、あらゆるユーザーとメールボックスの「正常な」動作を「オンザジョブ」で学習します。この自己学習型アプローチにより、作業慣行の長期的シフトにもチューニングを必要とすることなく適応し、単純な異常と悪意ある動作を簡単に区別します。Antigena Emailによる分析結果は誰でも簡単に理解できる形で通知され説明されます。あなたも、あなたの部署の新入社員も、あるいはあなたの会社の経営陣も同様です。

Antigena Email は分厚いマニュアルを読んだり略語や固有の用語を覚えたりしなくて済むように設計されています。Eメールセキュリティインシデントが発生すると、Antigena Email はビジネスのその他の部分には影響を及ぼすことなく静かに処理します。さらに、インシデントについてのシンプルなハイレベルの説明を自動的に表示し、あなたが知る必要のあること、なぜこのEメールが悪であるか、そしてAntigena Emailがなぜそのアクションを実行したのか、について普通の言葉で教えてくれます。

Sun Apr 25 2021, 13:33:11
Urgent payment required
Steven Perlman <[email protected]>
Kate Wilson <[email protected]>
100%
Held
Out of Character
Solicitation
Suspicious Attachment
Known Correspondent
Hold message
Strip attachment
Anomaly Indicators

Multiple anomalies have combined to produce a behavioral shift score of 92% for this sender. Word patterns in the email were considered anomalous for the recipient. In addition, the email contains an attachment which appears anomalous based on their sending history, INVOICE-18239.pdf.

Text analysis of the email suggests there may be an attempt to solicit the user into making a bank transaction. A high inducement score was assigned based on this analysis.

The email exhibited an anomaly score of 100% and was held from the user’s inbox

図1:Antigena Emailインシデントレポート

ゲートウェイの世話

ここでもう一度ゲートウェイについて少し見てみましょう。以前のブログ記事でも解説しましたが、これらのツールは一連のレピュテーションチェックを使って悪意あるEメールを識別しています。つまり各Eメールを個別にチェックし、ドメイン、IPアドレス、ファイルハッシュなどを一連のブラックリストと照合しているのです。しかしサイバー犯罪者達は、通常1個数ペニーというような安価で数千ものドメインを購入し、攻撃サイクルを短くすることでこれを回避しています。新しいドメインはそれまでに見られたことがないため、レピュテーションがありません。そのためゲートウェイは新種の攻撃を見逃すリスクを受け入れるか、あるいはあらゆるケースに脅威を仮定し、何百、何千もの偽陽性を毎週発生させるかのどちらかになります。

セキュリティチームにとっては、ゲートウェイを絶えず監視し、保留にされた害のないEメールを「リリース」する作業を行わなければならないことを意味します。

さらに、ゲートウェイは特定の方法で動作するようハードコードされているため、デジタル環境に対して、たとえばリモートワークへの突然の移行などの大幅かつこれまでにない変化があった場合、設定し直さなければなりません。多くの場合、これは骨の折れる、時間のかかる作業です。さまざまなチェックボックスやトグルが存在しているため、適切なトレーニングを受けていなければ、1人のITセキュリティ担当者が1クリックで組織全体のメールフローを劇的に変えてしまう可能性があります。

Darktraceを導入した多くのITチームは、毎日チェックしなければならなかったEメールの山について語り、過労を訴えていました。多くの組織においては、完全な保護を実現するにはアグレッシブなポリシーと、それに伴う人手による作業が必要なのだと覚悟しています。実際にはその逆で、アグレッシブなポリシーはITチームに過剰な負担をかけ、組織のセキュリティ体制に負の影響を与えています。

図2:「セキュアな」Eメールゲートウェイの画面。代表的なゲートウェイの多数の設定項目が示されている。

AIによるEメールセキュリティ:一度設定するだけで放置可能

図1と、上の図の危険なチェックボックスを比べてみてください。図1では、ユーザーではなく、AIが、バックエンドの作業を行います。すべてのEメールが、送信者、受信者、通信履歴、リンク、時刻、およびその他の多数のメトリックのコンテキストで分析されます。データに対して何百万もの問いが行われる場合、これらをプログラミングする、あるいは取り調べのレベルを完全に理解することは不可能です。

“この製品は一度設定すればあとは放置しておけるタイプのソリューションであり、バックグラウンドでシームレスに動作します。”
政府機関、CTO

脅威が見つかると、大雑把に網をかけるのではなく、AI は脅威の性質に応じて正確に的を絞ってかつ程度に見合った対処を実行します。このテクノロジーは数分でインストールでき、必要なのはインストールすることだけでその後の設定や微調整は必要ありません。システムは組織についての理解を継続的に更新し人間が介入することはありません。

なぜそれ(IT)が重要か

現在、私達は深刻化するサイバースキル不足に直面しており、パンデミック以前でさえも、多くのケースにおいてセキュリティチームは小規模で人手不足に悩んでいました。リモートワークへのシフトによりもたらされた働き方の劇的な変化により、SOCにはさらなる圧力がかかりました。正確であるだけでなく、セキュリティチームに対し大幅な時間の節約を可能にするテクノロジーを見つけることは、かつてないほどにクリティカルな問題となりました。

このことから、何千もの組織が既存のゲートウェイを捨ててEメールセキュリティに対する根本的に違ったアプローチを選択しています。それは労力のかかる作業をリソースの逼迫したITチームではなくAIに処理させるアプローチです。

Mimecastが見逃した大規模なEメール侵害をAIが発見した事例

Dan Fein

Based in New York, Dan is the Director of Product. He joined Darktrace’s technical team in 2015, helping customers quickly achieve a complete and granular understanding of Darktrace’s product suite. Dan has a particular focus on Darktrace for Email, ensuring that it is effectively deployed in complex digital environments, and works closely with the development, marketing, sales, and technical teams. Dan holds a Bachelor’s degree in Computer Science from New York University.