
2025年のセキュリティの現状
強力でスマートな未来志向のSOCを構築
脅威の検出と対応に、生成AI、DaC (コードによる検出)、統合プラットフォームのアプローチを取り入れて、SOCの変革を推進している組織の取り組みをご紹介します。
Splunk SURGeは、概念実証段階のオープンソースのハニーポット「DECEIVE (DECeption with Evaluative Integrated Validation Engine)」を公開しました。これは、AIを活用することで新しいサイバーセキュリティツールやソリューションを容易に開発できることを実証するためのものです。DECEIVEは実運用レベルのツールではありませんが、サイバーセキュリティの課題解決において、これまで実現不可能だった新しいアプローチをAIによって実現できることを示しています。
このプロジェクトは私たちにとっても実験的なものでした。私たちは、セキュリティチームが独自のAI対応ソリューションを開発するために何が必要かを学びたいと思っていました。この学びのプロセスを念頭に置いてDECEIVEを設計しました。このツールが、同様のインテグレーションを探求するきっかけになれば幸いです。
では、DECEIVEについて詳しくご説明しましょう。
従来、インタラクティブ性の高いハニーポットを作成するには、現実的な環境をシミュレートするために、オペレーティングシステムをインストールし、ユーザーアカウントを設定し、リアルな偽データを入力するなど、多大な時間と労力を要しました。DECEIVEでは、AIを活用して、これらの作業をすべて動的に行います。SSH経由でLinuxサーバー全体をシミュレートすることにより、面倒な設定作業を省き、攻撃者の標的になる実物に近い環境を構築できます。人手で行う必要があるのは、シミュレートするシステムのタイプを説明するプロンプトを作成することだけです。たとえば、次のように指示します。
You are a video game developer's system. Include realistic video game source and asset files. (これはビデオゲーム開発者が使うシステムです。本物のようなビデオゲームのソースファイルとアセットファイルを含めてください。)
構築後は、AIによるバックエンドが、操作の流れに沿った自然で適切な応答を返します。これにより、忠実度の高いリアルなハニーポットを最小限の労力で展開できます。
従来のハニーポットを超える機能として、DECEIVEではAIを使って攻撃者の行動を分析し、サマリーを生成できます。SSHセッションが終了すると、以下のファイルが自動的に生成されます。
この分析結果は構造化されたJSONログファイルとして保存されます。これにはユーザーが実行したすべてのコマンドとシミュレートされた出力の完全な記録が含まれています。そのため、セキュリティの観点から注意が必要なセッションを見つけ出すために、すべてのセッションを手動で調べる手間を省くことができます。
現バージョンのDECEIVEはSSHを対象としていますが、アプローチとしてはHTTPやSMTPなどのプロトコルにも適用できます。APIエンドポイントもシミュレーション対象として良い候補でしょう。対象プロトコルが増えれば、幅広い環境をシミュレートして、さまざまな攻撃対象領域について攻撃者の行動をより深く理解できます。また、AIプロンプトを更新することで、特定の脆弱性をシミュレートする新しいハニーポットをすばやく展開することもできます。これは、セキュリティ研究者やブルーチームが最新の脆弱性について理解し、対処するのに役立ちます。特に脆弱性の詳細がまだわからない段階で状況が急速に変化しているような場合に有用です。
DECEIVEは、単に攻撃者を欺くだけのツールではなく、セキュリティチームが日々のワークフローにAIを組み込むために何が必要かを理解する手助けとなります。DECEIVEを開発することで、私たちは以下の点を探求しました。
DECEIVEはあくまで概念実証であり、実運用レベルのソリューションではなく、Splunkがサポートする製品ではないことをご了承ください。可能性を探るための十分な機能は備えていますが、セキュリティの脆弱性に関する広範なテストは行われていません。SSHバックエンドがエミュレートされているため、ハニーポットを悪用する攻撃者に対して十分防御できますが(ただし、実際のシステムが動作しているわけではなく、現実世界からのネットワーク接続の送受信はできません)、ハニーポットのコード自体に欠陥がある可能性は完全には否定できません。攻撃を受ける可能性のある環境にDECEIVEを導入する場合は細心の注意を払ってください。
DECEIVEはオープンソースのツールであり、実験に自由にご利用いただけます。導入手順は以下のとおりです。
デフォルトでは、システムはポート8022/TCPで受信SSH接続をリッスンします。UNIXまたはLinuxシステムでは、次のようなコマンドを使ってログインできます。
ssh guest@localhost -p 8022
設定ファイルではゲストアカウントに空のパスワードが指定されているため、パスワードの入力は求められません。必要に応じて設定ファイルでパスワードを指定してください。
DECEIVEは、AI対応セキュリティソリューションに向けた私たちの取り組みにおける、心躍る一歩です。このプロジェクトを構築し共有することで、サイバーセキュリティコミュニティの皆様がヒントを得て、これまで解決不可能または解決策を実行不可能と考えられていた問題をAIで解決する方法を探っていただければ幸いです。
DECEIVEは、AIと従来の技法を組み合わせることによって、よりインテリジェントで適応性の高いソリューションを構築できることを証明しています。この取り組みを進めれば、高度な偽装技術を展開し、AIを活用した革新的なセキュリティツールを開発するためのハードルはますます下がっていくでしょう。この心躍るフロンティアを一緒に探検しましょう!
Splunkプラットフォームは、データを行動へとつなげる際に立ちはだかる障壁を取り除いて、オブザーバビリティチーム、IT運用チーム、セキュリティチームの能力を引き出し、組織のセキュリティ、レジリエンス(回復力)、イノベーションを強化します。
Splunkは、2003年に設立され、世界の21の地域で事業を展開し、7,500人以上の従業員が働くグローバル企業です。取得した特許数は1,020を超え、あらゆる環境間でデータを共有できるオープンで拡張性の高いプラットフォームを提供しています。Splunkプラットフォームを使用すれば、組織内のすべてのサービス間通信やビジネスプロセスをエンドツーエンドで可視化し、コンテキストに基づいて状況を把握できます。Splunkなら、強力なデータ基盤の構築が可能です。