多段階推論とは?

By 清水 孝郎 - NOVEMBER 19, 2024

SHARE:

本文の内容は、2024年11月14日に  CRYSTAL MORIN  が投稿したブログ(https://sysdig.com/blog/what-is-multi-step-reasoning/)を元に日本語に翻訳・再構成した内容となっております。

多段階推論は小学校の数学の授業で教えられる概念ですが、数学の計算や文章問題だけに当てはまるものではありません。これは、最終的な答えに到達するために複数の個別の計算やステップを必要とする問題を解決するプロセスです。多段階推論には、順序付け、論理、場合によっては事前の知識や推論が必要です。

多段階推論では、意思決定プロセスで実行される各ステップがそれ自体で有効でありながら、より大きな結論に貢献していることも必要です。これは建物を建設するのと似ています。レンガの配置が重要であり、基礎は屋根やその間のすべての層と同じくらい重要です。

複雑さが当たり前のサイバーセキュリティでは、インシデントの対処から将来の脅威の予測まで、あらゆることに多段階の推論が不可欠です。

なぜサイバーセキュリティにおいて多段階推論が重要なのか?

サイバーセキュリティの専門家、特に脅威ハンター、インシデント対応者、セキュリティアナリストは、多面的な脅威に直面することがよくあります。サイバー攻撃は一般的に単純ではありません。単純であれば、簡単に阻止できるでしょう。MITRE ATT&CK フレームワークと Lockheed のキルチェーンにより、サイバー攻撃には偵察や永続化から権限昇格やデータ流出まで、多くのステップが含まれることがわかっています。これらの攻撃を理解して軽減するには、攻撃の各段階を推論し、攻撃者の次の動きを予測して適切な対応を開始する能力が必要です。

セキュリティ専門家は、多段階の推論を行わないと、攻撃の全体像を把握することなく、攻撃の個別の症状に対処する可能性があります。不完全または誤った対応と軽減策により、攻撃者は攻撃を継続したり、方向転換したり、再度攻撃を試みたりする可能性があります。 

たとえば、組織のセキュリティ チームが異常なネットワークアクティビティに関する脅威検出アラートを受信します。多段階の推論プロセスとは何でしょうか?

  1. セキュリティアナリストは、単一の見慣れない IP アドレスから発生するネットワークトラフィックの異常な急増を観察します。
  2. アナリストは、既知の脆弱性が最近公開されたがファイアウォールにまだパッチが適用されていないオープンソースの情報とトラフィックパターンを相関させます。 
  3. インシデント対応者は、攻撃者が狙っているデータを識別し、アクセスの潜在的なリスクを考慮し、防御態勢の優先順位を決定します。 
  4. 対応者は、さらなる被害を防ぐために IP をブロックし、ファイアウォールにパッチを適用する措置を講じます。 
  5. 対応者と脅威ハンターは連携して、侵害のさらなる兆候をチェックし、攻撃者がもう存在せず、ネットワークに再侵入できず、データを盗み出していないことを確認します。

各ステップは前のステップに基づいて構築され、脅威に効果的に対処するには慎重かつ論理的な推論が必要です。

脅威検知における多段階推論

攻撃者、特に高度な標的型攻撃 (APT)が 1 回の攻撃で手の内を明かすことはほとんどありません。APT は長期にわたるステルス攻撃であり、攻撃者は時間をかけて複数の段階を慎重に計画して実行し、検出を回避して発見されずに存続します。ランサムウェアグループやその他のサイバー犯罪者でさえ、キャンペーンの一部を難読化するよう注意しています。脅威の検出と対応はそれ自体が複数段階の推論プロセスであり、攻撃の各段階では独立した識別と検証が必要です。 

初期アクセス、ラテラルムーブメント、およびデータ流出は、それぞれ検知と対応のために、異なる複数ステップの推論を必要とします。セキュリティチームがネットワーク内で疑わしいアクティビティを特定した場合、そのアクティビティをソースまでさかのぼって追跡し、攻撃者がどのように、どこに移動したか、また今後も移動する可能性があるかを把握する必要があります。複数ステップの推論により、サイバーセキュリティの専門家は、個々のイベントを結び付けて完全な脅威の物語を形成することで、全体像を把握できます。

AIによる多段階推論

サイバーセキュリティにおけるAIと LLMの導入により、多段階推論は新たな次元を迎えています。これらのツールは、膨大な量のデータを処理し、パターンを識別し、調査の複数のステップを通じて論理的推論を行うことで、セキュリティチームを支援できるようになりました。

たとえば、セキュリティ アナリストが管理者の従業員アカウントからの異常なログインの検知アラートを受信します。ユーザーのイベント ログを最初に確認すると、アナリストはユーザーが GetFunction を呼び出したことがわかります。アナリストは、次の数分間を新しいユーザー イベントと古いユーザー イベントを調べてパターンを見つけるのではなく、まず Sysdig Sage にユーザーイベントが疑わしいかどうかを尋ねます。Sysdig Sage は、GetFunction 呼び出しで取得された情報についてコンテキスト説明を提供し、ユーザーの権限、リスク スコア、およびその他の検出されたリスクについて言及します。これで、アナリストは、エスカレーションと対応の次のステップを決定するのに十分な情報と懸念事項を把握できるはずです。会話に基づいて、Sysdig Sage は即時の対応アクション、および将来を見据えた予防戦略とプロセス改善を推奨することもできます。

ただし、Sysdig Sage は、攻撃者を阻止するための複数ステップの推論と調査を大幅に迅速化するのに役立ちますが、人間のアナリストは依然として重要です。彼らは、コンテキスト、経験、直感をもたらします。これらは、AI がどれだけ進歩しても再現できない資質です。

まとめ

サイバーセキュリティにおいて、多段階の推論は、組織が現在直面している複雑で多面的な脅威を理解し、対応するために不可欠なスキルです。セキュリティ専門家は、連続的な脅威分析を通じて、攻撃を追跡し、攻撃者の行動を予測し、正確な詳細と正確な全体像に基づいて、効果的で階層化された防御を構築できます。

フィッシング攻撃の検知、APT への対応、セキュリティのための AI の活用など、多段階の推論により、実行するすべてのアクションが意図的かつ論理的になり、進化するサイバー脅威から組織を保護するという最終目標に貢献出来る様になります。