サイバー攻撃 VS 人工知能、工場を守る戦いが今はじまる：制御システムセキュリティ

NECは機械学習を活用し、社会インフラや企業システムなどに対する未知のサイバー攻撃を自動検知する「自己学習型システム異常検知技術」を開発したと発表した。従来の人手による作業に比べて10分の1以下の作業で被害範囲を特定でき、被害を最小限に抑えられるという。

[陰山遼将，MONOist]

　NECは2015年12月10日、機械学習技術を活用し、社会インフラや企業システムなどに対する未知のサイバー攻撃を自動検知する「自己学習型システム異常検知技術」を開発したと発表した。従来の人手による作業に比べて10分の1以下の作業で被害範囲を特定でき、被害を最小限に抑えられるという。

　工場やプラントの制御システムをはじめ、さまざまな企業資産に対するサイバー攻撃の手口は高度化が進んでいる。こうした脅威からどのように設備を守るのかを考えた場合、その攻撃手法に応じた対策を講じるというのも1つの方法だ。しかし新型の攻撃手法が登場するたびに新たな対策を――というように、いわば「いたちごっこ」の状態が続くことで、“守る側”は大きなコストを強いられる。そしてこうした対策では検知できない未知の攻撃を受けた場合には、甚大な被害が生じる可能性もある。

　NECが開発した新技術はこうした課題を解決するために開発したものだ。まず企業や設備のPCやサーバなどに軽量なソフトウェアを導入し、システム全体の動作状態を確認する。そして“健康診断”のごとくシステム全体の定常状態をモデル化する。この定常状態の把握に機械学習技術を活用している。

「自己学習型システム異常検知技術」（クリックで拡大）

　システム全体の定常状態を把握した後は、その状態をリアルタイムに監視する。この際、もしシステムの中に定常状態と異なる振る舞いをしている部分があれば、異常として検知する。現在と定常時のシステムの状態差分を監視することで、対策が難しい未知の攻撃を受けたことを検知する仕組みだ。

　さらに異常を検知した後は、システム全体を止めるのではなく、どの部分を停止させればよいかなども自動分析して通知する。その結果を受けて、最終的にシステムを止めるかどうかの意思決定はユーザー（人間）側で行う。システム管理ツールやSDN（Software-Defined Networking）などの技術と連携して、被害を受けた部分のみをネットワークから切り離すといったことも可能だ。

　NECでは実証実験として、自社の約20万個のサーバのセキュリティ対策にこの技術を適用。模擬攻撃を全てを検知し、従来の人手による確認作業と比較して作業時間を約10分の1に削減できたという。しかい定常状態のリアルタイムな監視と分析による異常検知の場合、機器のメンテナンスなどを誤検知してしまうこともある。この場合、誤検知の内容をモデル化して定常状態の一部として学ばせる。つまりこの技術を導入した時間が長ければ長くなるほど、検知精度は向上していくという仕組みだ。

　NECではこの技術2016年度中に実用化する計画だ。まずはシステム動作の定常性が高い発電所や工場などへの導入を目指す。その後システムが大規模かつ動作が複雑な大企業のITシステムに対応し、将来は異常の見地から対応、復旧までのフローを自動化したい考えだ。