従来、セキュリティ技術者の高度な専門知識やノウハウに基づいて判断していた、サイバー攻撃検出時に通知されるアラートの評価を、過去の判断結果に基づき、AIで自動判定することで、セキュリティ監視業務の効率化を支援します。
![[セキュリティ監視業務の流れ]:サーバやセキュリティ機器(WAF:Web Application Firewall, IDS:Intrusion Detection System 等)からログを収集→ログ分析システム(SIEM:Security Information and Event Management)によりアラート抽出(数千件/月)→インシデント判定 ※[現状]セキュリティ技術者の高度な専門知識とノウハウに基づき判定しています。[AI活用時]AIが誤検知を削減。これによりセキュリティ技術者の工数が最大9割削減されます。](/products/it/security/solution/cyber-security/securitymanagement/image/img_ai_utilizing_01.jpg)
本ソリューションの概要図
本ソリューションは、「Hitachi AI Technology/H」を活用して、セキュリティ技術者の知見や過去のアラートのインシデント評価結果をAIで学習し、その学習結果をもとに、ログ分析システム(以下、SIEMシステム)が発するサイバー攻撃検出時のアラートを一次分析し、その対応優先度をAIで判定 するものです。具体的には、インシデント検出時のアラートについて、誤検知である可能性を数値化することで、対応優先度をスコアリングし、優先度が高いインシデントを判定します。また、AIの判定には、インシデントの見逃しが発生しないよう一律の基準を設けており、判断の属人化を解消することで、セキュリティ監視業務の品質向上を実現しています。
これにより、セキュリティ技術者は、AIの適切な判定 結果に基づいて対応優先度を判断することができるため、セキュリティ監視業務の品質向上、効率化に貢献します。
ログやアラート情報と、セキュリティ技術者の判断結果との関係性をAIで学習し、アラートを評価するモデル式を生成します。このモデル式を利用することでアラート評価におけるセキュリティ技術者の暗黙知を対応優先度として数値化します。
![[アラートを評価するモデル式の生成]:サーバやセキュリティ機器(WAF:Web Application Firewall, IDS:Intrusion Detection System 等)からログを収集→ログ分析システム(SIEM:Security Information and Event Management)によりアラート抽出(数千件/月)→セキュリティ技術者による一次分析(アラート評価)の判断結果→ログやアラート情報と、セキュリティ技術者の判断結果との関係性をAIが学習→上位セキュリティ技術者による詳細分析→CSIRT関連部門によるインシデント対応](/products/it/security/solution/cyber-security/securitymanagement/image/img_ai_utilizing_02.jpg)
アラートを評価するモデル式の生成
監視対象システムやログ分析システムの制約がなく、サイバー攻撃や内部不正など、人手での対応が必要な幅広いセキュリティインシデントの監視業務を効率化します。
インシデントの見逃しが発生しないAIの判定基準を設定することで、セキュリティ監視業務の品質向上と効率化の両立を実現します。
![導入プロセス:[事前検証]・現状課題とデータの確認・実データを用いた検証・適用効果算出→[システム構築]・既存システム連携との連携を含むシステム設計・構築→[エンジニアリング]・ 導入後の定期的な効果確認、チューニング作業→[運用・保守サポート]・トレーニング・問合せ対応・保守サービス](/products/it/security/solution/cyber-security/securitymanagement/image/img_ai_utilizing_03.jpg)
本ページに記載の仕様は、製品の改良などにより予告なく変更することがあります。
