一般的に見逃し(FN:False Negative)で被害が及ぶより誤検知のほうがより安全と考えられるので、セキュリティシステムのアラート発報の閾値を低めに設定することが多い。
そうすると、誤検知によるアラートが頻発し、アナリストは「またか」と思いながら、ログの詳細データを確認する。結果として問題なかった場合の徒労感はモチベーションを下げてしまう。このような感覚の麻痺は、プロフェッショナルとしての自覚、責任感に反するもので、心理的なストレスとなる。
セキュリティへのAI利用の拡大は、誤検知問題とセットになっている。皮肉な話だが、見逃しによって実際に被害が発生したほうが、エンジニアやアナリストの精神的健康状態にはよいとさえ考えられるのだ。誤検知はシステムを守ることができるが人間にダメージを与える。
AIの判断領域を広げる取り組み
セキュリティ業界では、複雑化するセキュリティ対策システムやソリューション、ツールをいかに統合的に連携させ、効率化、自動化を進める取り組みが行われている。
SOAR(Security Orchestration, Automation, and Response)という言葉がその枠組みを示す用語として使われている。効率化・自動化にはAI活用も含まれており、バーンアウト対策にもAIによるSOARの高度化が有力視されている。
AIによる自動化が誤検知問題など新たなバーンアウトの要因にもなっているが、SOARの高度化では、AIで検知した異常を自分で処理していいか人間に判断を仰ぐかの判断までさせる。
AI判断の信頼度をスコアリングし、AIに任せてよいものを明確にする。これによって、人間が判断する領域をより本質的、より優先度の高い問題に絞り込む。
もちろんAIを利用する限り、誤検知問題と同様なリスクは存在する。AIを判断にまで広げると、誤検知は「誤作動」となる。システムの自動停止や自動遮断への備え、自動運用モードにおける人の介入が必要な状況での対応のタイムラグといったリスクだ。さらに攻撃者がAIによる自動運用がされていることがわかれば、その自動運用の誤作動を狙った攻撃も起こるだろう。
しかし、誤作動は、人間がオペレーションしていても発生する。初動の遅れも同様だ。AIを活用するならその精度や信頼度に着目すれば、結果として起こる誤作動はAIを使わない場合より防げる可能性が上がる。
結局、誤検知のようなリスクの度合いは運用する人間の認知や不安に左右されるものである。AIによるSOARの高度化は、いささか対処療法的ではあるが、現状、合理的な対策の1つであることは間違いない。
