Cato SASEクラウドプラットフォームにおけるAIやMLの使用例
脅威インテリジェンス
脅威インテリジェンスのタイムリーな取得は、セキュリティの効果を最大限に高め、誤検出を最小限に抑える上で鍵となります。私たちの敵は、企業がいかに脅威インテリジェンスデータの確保に苦労しているかを知っており、そのことを利用して検出を逃れようとします。Catoは、人間が一切関与することなく数百件のフィードを処理できる専用の脅威インテリジェンスソフトウェアにおいて、AIとMLを利用しています。AI/MLベースのパイプラインが、すべてのフィードに含まれるIoC(Indicator of Compromise:侵害指標)を2時間ごとに処理し、別のIoCやヒットカウンター、存続期間その他のパラメーターを見ながら精査して、ポピュラリティ(出現頻度)スコアを生成。これを利用して、500万件超のIoCが登録されたグローバルブラックリストにそのIoCを追加するか、登録を維持するか、あるいは削除するかを決定します。
脅威インテリジェンスの詳しい仕組みについては、当社のブログをご一読ください:SASEが脅威インテリジェンスフィードの精度を高め、誤検出を排除することをセキュリティテストで証明
脅威に対する防御
攻撃者たちは、SWG、IPS、DNSセキュリティその他の標準的な防御ツールを突破すべく、自分たちの技術を進化させ続けています。彼らの優位性は、従来型ツールの手法が広く知られ、その手法が既知の攻撃パターンの特定に基づいていることによって生まれています。Catoは、そうしたパターン照合に頼らず、攻撃をリアルタイムで特定して遮断できるようにMLエンジンの構築と訓練を行いました。パターン照合の代わりに使用するのは、当社の膨大なデータレイクのデータを使って訓練された高度な数学モデルで、ドメインやURLの悪質性を計算し、そのスコアを用いて遮断すべきかどうかを判断します。
Cato Networksは、検出だけでなく、リアルタイム防御でMLモデルを使った初のセキュリティベンダーです。
リアルタイム脅威防御におけるAI/MLのその他の用途については、Catoのブログをご覧ください:
クライアントとデバイスの分類
セキュリティの観点からは、ネットワーク上でどのデバイスが監視・分析されているかを把握することは不可欠です。ネットワークのセキュリティ確保の手段はいくつか考えられますが、社内ネットワーク上の未知のオペレーティングシステムや未承認のデバイスを通じて異常を特定することもその一部です。変化し続けるOS環境やデバイス環境を常に把握するため、Catoは自社のデータレイクを使って高度なMLモデルの訓練を行い、クライアントをリアルタイムで分類してセキュリティ制御を適用できる、正確で強固なネットワーク識別ルールを作成しています。
詳しくは、MLの適用方法について深掘りしたCatoブログの記事をご覧ください。
アプリケーションの分類
Webアプリケーション(SaaS)の数は増え続けており、これを大規模に管理する方法は次の2つのうちのいずれかになります。1つは、アナリストを大量に採用してチームを構成し、カタログに追加するアプリケーションは多ければ多いほど良いという「神話」を支持して、時間を無駄にする方法。もう1つは、データ駆動型のアプローチで仕事ができるようにAIとMLの訓練を行う方法です。もちろん、Catoは後者を選びました。CatoはAIとMLを利用し、自社のSASEクラウド上を流れるネットワークトラフィックから、最も重要で最も利用の多い未分類アプリケーションを特定します。次に、AI/MLにメタデータのマイニングを行わせ、各アプリケーションに関する情報をリッチ化し、アクセスやガバナンスに関する意思決定にご利用いただけるリスクスコアを計算します。
Catoのアプリカタログの管理手法については、Catoブログで詳細をご覧ください。
検出と対応
SOCとNOCの担当者は、問題の検出、調査、修復という労働集約的な作業を毎日行っています。Cato SASEクラウドプラットフォームではAIとMLが広範に利用され、SOCとNOCの担当者は、より良質な情報をより早く入手することができます。最初に行われる問題の探索や検出においてはAIやMLが当然使用されますが、それを超える追加の機能も提供されています。インシデントの要約は、生成AIを使って数秒で完了します。MLエンジンが、トリアージを効率化するためにインシデントの重要度を提案し、問題や攻撃の規模を適切に理解できるよう、類似の性質をもつインシデントにフラグを設定します。それ以外にも数多くの機能が用意され、記録的なスピードで問題の特定と解決を助け、損害を最小化し、さらには損害の発生自体を防ぎます。
詳しくは、Catoブログの技術記事をご一読ください。
自律的な自己修復型インフラ
SASEクラウドサービスの構築、スケーリング、運用は、エンジニアリングの観点から見て非常に大きな取り組みです。企業の重要インフラとして利用され、アップタイム99.999%のSLAを求められる場合は特にそうなります。これを実現するために、人力に頼ってリアルタイムで問題を特定・解決するというのは、とてもスケーラブルな方法とは言えません。Catoは、過去のパターンに基づき、初期の兆候を特定して能動的に対応することでインフラの問題を監視、分析、特定するソフトウェアエンジンの開発と訓練を続けてきました。そうした専用ツールを使うことで、Catoのクラウドサービスはリアルタイムで自己診断と自己修復を行い、サービスに関するSLAが約束通りに実現されるようにしています。問題の暫定的な解決が行われた後は、Catoのエキスパートで構成されるオペレーションチームが介入し、根本原因を分析して、恒久的な是正措置を講じます。
AI/ML Blogs, Publications & Keynotes
Our team has been continuously sharing knowledge and experience with the industry, through blogs, published articles, and keynote presentations.
See the blogs here