サイバーセキュリティ業界の「天下一武道会」、米国MITRE社のMITRE ATT&CK®フレームワーク評価最新ラウンドの結果が昨日(2020年4月22日)オフィシャルサイトにて発表されました。CyCraftのCyCraft AIR プラットフォームは、今回評価対象となった21社の製品の中の検知分野で最高スコアを獲得し*、また検知能力、誤検知の分野においても素晴らしい結果を獲得しました。
第二回となった最新ラウンドのMITRE ATT&CK評価テストは20項目があります。今回はAPT29にて利用された高度な攻撃手法を用いられており、前回を上回る複雑さや難易度による検証が行われました。今回の評価では検知タイプを、リアルタイムアラートの一般型(General)、戦術型(Tactic)、テクニカル型(Technique)、エキスパートの判断が必要なテレメトリー型(Telemetry)、マネージドセキュリティサービスプロバイダ型(MSSP)の5種類に分類し行われました。
CyCraft AIRが検知したすべてのアラート情報にて、根本原因、リスクレベル、関連性、及びMITER ATT&CKのテクニックIDの情報を提示しており、今回評価対象となった全21社の製品の中でも最多の101個のリアルタイムアラートを提供しました。さらに、単一の評価項目に対する繰り返し検知された重複アラートを除いた評価においてもCyCraft AIRは90個アラートが提供されており、評価対象製品の中では最多を記録しました。
MITRE ATT&CKの評価中において、検知を行わせる為等製品設定(Configuration)を途中で変更した場合、評価チームはMITRE ATT&CKの評価公平性を保つため、評価結果とは別に設定変更回数及び設定変更後の影響内容を全て記録します。特に設定変更後検知率が高くなった部分については詳しく記録されます。
特筆すべきは、今回の評価期間中CyCraft AIRプラットフォームでは設定を変更が一切発生していないところです。ユーザーインタフェースの変更やパラメーターの修正など、どんな細かい設定変更もMITRE ATT&CK評価チームでは全て記録します。しかし、CyCraft AIRプラットフォームには設定変更の記録がありません。これはCyCraft AIRプラットフォームがどんな環境に導入されても、設定調整などに時間を費やす必要がない、ということを意味していると言えます。
もし検出されたアラートがATT&CK評価チームによって高度手法となる一般型、戦術型、テクニカル型の観点から有効なアラートとしては不十分と判断された場合、そのアラートは高度ではないテレメトリー型もしくは無効として記録されます。テレメトリー型のアラートはノイズを含んだ情報が多く、企業のセキュリティ担当者がそれらのアラートから手がかりを見つけ、それらをつなぎ合わせ分析を行わなければならず、時間と労力をかけて判断をしなければならないことは大変な負荷になります。CyCraft AIRプラットフォームには自社開発した高い学習能力を持っている人工知能CyCraft AIが搭載されています。今回CyCraft AIから上げたアラートの中でMITRE ATT&CK評価チームがテレメトリー型として判定されたアラートは一件のみで、その他すべてのアラートは有効と判定されました。このことは、誤検知や過剰なアラートから最大限に回避ができ、セキュリティ担当者の負担を大きく減らせることを示しています。
CyCraft(サイクラフト)は、AIによる自動化技術を専門とするサイバーセキュリティ企業。2017年に設立され、台湾に本社、日本とシンガポールに海外拠点を持つ。アジア太平洋地域の政府機関、警察・防衛機関、銀行、ハイテク製造業にサービスを提供している。CyCraft の AI技術 と機械学習技術によるソリューションが評価され、CID グループ とテマセク・ホールディングス旗下のパビリオンキャピタルから強力なサポートを獲得し、また、国際的トップ研究機構である Gartner、 IDC、Frost & Sullivan などから複数の項目において評価を受けている他、国内外の著名な賞をいくつも受賞している。また、国内外を含む複数のセキュリティコミュニティ、カンファレンスに参画し、長年にわたりセキュリティ業界の発展に尽力している。