* [Blog](https://origin-researchcenter.paloaltonetworks.com/blog)
* [Palo Alto Networks](https://origin-researchcenter.paloaltonetworks.com/blog/corporate/)
* [Cybersecurity](https://origin-researchcenter.paloaltonetworks.com/blog/category/cybersecurity-jp/?lang=ja)
* AIを利用した早期発見能力の構築...

# AIを利用した早期発見能力の構築

[](https://www.facebook.com/sharer/sharer.php?u=https%3A%2F%2Forigin-researchcenter.paloaltonetworks.com%2Fblog%2F2023%2F07%2Fnecessary-for-anomly-detection%2F%3Flang%3Dja)  
[](https://twitter.com/share?text=AI%E3%82%92%E5%88%A9%E7%94%A8%E3%81%97%E3%81%9F%E6%97%A9%E6%9C%9F%E7%99%BA%E8%A6%8B%E8%83%BD%E5%8A%9B%E3%81%AE%E6%A7%8B%E7%AF%89&url=https%3A%2F%2Forigin-researchcenter.paloaltonetworks.com%2Fblog%2F2023%2F07%2Fnecessary-for-anomly-detection%2F%3Flang%3Dja)  
[](https://www.linkedin.com/shareArticle?mini=true&url=https%3A%2F%2Forigin-researchcenter.paloaltonetworks.com%2Fblog%2F2023%2F07%2Fnecessary-for-anomly-detection%2F%3Flang%3Dja&title=AI%E3%82%92%E5%88%A9%E7%94%A8%E3%81%97%E3%81%9F%E6%97%A9%E6%9C%9F%E7%99%BA%E8%A6%8B%E8%83%BD%E5%8A%9B%E3%81%AE%E6%A7%8B%E7%AF%89&summary=&source=)  
[](https://www.paloaltonetworks.com//www.reddit.com/submit?url=https://origin-researchcenter.paloaltonetworks.com/blog/2023/07/necessary-for-anomly-detection/?lang=ja&ts=markdown)  
[](mailto:?subject=AIを利用した早期発見能力の構築)  
Link copied  
By [Kaoru Hayashi](https://www.paloaltonetworks.com/blog/author/khayashi/?lang=ja&ts=markdown "Posts by Kaoru Hayashi")  
Jul 10, 2023  
1 minutes  
[Cybersecurity](https://www.paloaltonetworks.com/blog/category/cybersecurity-jp/?lang=ja&ts=markdown)  
[視点](https://www.paloaltonetworks.com/blog/category/%e8%a6%96%e7%82%b9/?lang=ja&ts=markdown)  
[letter from CSO](https://www.paloaltonetworks.com/blog/tag/letter-from-cso/?lang=ja&ts=markdown)  
[NDR](https://www.paloaltonetworks.com/blog/tag/ndr-ja/?lang=ja&ts=markdown)  
[security operation](https://www.paloaltonetworks.com/blog/tag/security-operation/?lang=ja&ts=markdown)  
[Threat Hunting](https://www.paloaltonetworks.com/blog/tag/threat-hunting-ja/?lang=ja&ts=markdown)

## はじめに

2023年上半期もたくさんのランサムウェアや情報漏洩インシデントが国内で報告されました。攻撃者は侵入すると見つからないよう慎重に行動し、できる限り短い時間で目的を達成しようとします。防御側は攻撃者による疑わしい振る舞いを早期に発見できる能力を持つ必要があります。

## 組織に侵入した攻撃者を早期に発見する必要性

攻撃者が組織内に侵入する際はフィッシングやマルウェア、ソフトウェアの脆弱性といったものを悪用しますが、正規アカウントも頻繁に利用しています。辞書などをもとにした総当たり攻撃や、すでに漏洩しているアカウント情報を悪用することでログインを行おうとします。また、正しいアクセス権限をもった内部関係者が悪意をもって活動する事例も決して少なくはありません。

独立行政法人情報処理推進機構(IPA)が2023年4月に公開した[「企業の内部不正防止対策に関する実態調査」報告書で](https://www.ipa.go.jp/security/reports/economics/ts-kanri/20230406.html)、内部不正を経営課題と捉えている企業は4割しかなく、6割の組織で対策の優先度が高くないリスクと捉えられていることが報告されています。
[![内部不正リスクを重要な経営課題と捉えていない組織の割合 60.4%](https://www.paloaltonetworks.com/blog/wp-content/uploads/2023/07/word-image-297935-1.png)](https://www.paloaltonetworks.com/blog/wp-content/uploads/2023/07/word-image-297935-1.png) 図1: 「貴社では内部不正リスクは重要な経営課題として捉えられていますか」という質問に対し、「事業リスクが高く優先度の高い経営課題として認識」以外の回答をした組織の割合。 出典: [IPA](https://www.ipa.go.jp/security/reports/economics/ts-kanri/20230406.html) 「企業の内部不正防止体制に関する実態調査」報告書 図3 をもとにパロアルトネットワークスが作成

つまり、内部で情報漏洩につながる行為があったとしても、対応できる能力や体制を備えている組織が多くないことがうかがえます。漏えいした正規アカウントなどで攻撃者が組織への侵入に成功した場合、彼らは内部関係者と同等のことを行えることになりますので、とくに対応能力や体制が整っていない組織では、情報漏洩やランサムウェアの実行といった目的を達成できる可能性は高くなります。

攻撃者が侵入して発見されるまでの時間を滞留時間と呼びますが、弊社が行った[インシデント対応における調査](https://start.paloaltonetworks.com/2022-unit42-incident-response-report)ではランサムウェアインシデントにおける滞留時間の中央値は38日でした。しかし、数十日かけて組織内部を探索して暗号化にいたった場合もありますし、侵入後わずか数時間でランサムウェアをしかけて身代金を要求した攻撃者もいます。攻撃者が内部に侵入して目的を達成すると甚大な被害が出てしまうので、できる限り早く侵入に気づき、防御し、対処する必要があります。

## 攻撃の過程で見られる兆候とは

早期に発見するには、攻撃の兆候を見つけて対処する必要があります。その1つに、ポリシーに違反しているわけでもなく、行為そのものが悪いものでもないが、これまでとは異なる「経験的に疑わしい振る舞い」を見つけ出す手法があります。たとえば以下のような事象は攻撃者による振る舞いによって発生する代表的なものです。

* ログインの失敗が一定時間内に大量に発生している
* 短時間のうち複数の国から同一IDでログインがある
* 端末が多数の外部 SMTP サーバーに接続している
* クラウドで大量のコンピューターリソースの割り当てが発生する
* 大量の書類を印刷する
* 大量のデータをクラウドにアップロードする

しかし一方で、悪意のない正規ユーザーによる振る舞いでもこうした事象が生じる場合があります。事象の性質や発生頻度は、組織やユーザーごとによって異なるため、単純な閾値を設定して一律禁止にすると、大量の誤検出が生じ、業務に影響を与えるため現実的ではありません。

また、社内での経験をもとに疑わしい振る舞いを見つける担当者を置くことも考えられますが、定常業務として実施するには継続性も拡張性もなく、時間もコストもかかる上に効果は限定的です。これは人力による作業や単純な閾値設定の問題ではなく、テクノロジーの力を使って解決すべき課題です。

## 疑わしい振る舞いの検出に必要な3ステップ

組織の中のあらゆる箇所で疑わしい振る舞いがないか24時間休まず監視するような複雑な仕事を行うには機械学習が欠かせません。

1. **良質なデータ** :  
   振る舞いを記載したデータはログとして数多く存在しています。たとえば以下のようなものはどの組織でも見つかります。
   
   * ネットワーク
   * セキュリティ
   * Active Directory
   * 端末やサーバー
   * IDaaS
   * VPN
   * クラウド
   
   これらのログは個人やデバイスのアクセスや振る舞いが記録されている良質なデータですが、大半の組織ではインシデントの発生時にしか分析していません。  
   ログを寝かせておくのはもったいありません。AIに使ってもらいましょう。

2. **相関** :  
   各ログデータに残る記録は振る舞いのごく一部でしかありません。  
   たとえば、「あるユーザーがモバイル端末を使い社外からVPN経由で社内サーバーにアクセスし、必要なデータを見つけ、それをSaaSへアップロードする」という日常的な業務を実施した場合、一連の振る舞いはそれぞれ端末、VPN、ネットワーク、セキュリティ、サーバー、Active Directory、SaaSのログに分散されて記録されています。  
   ログ一つ一つを見ているだけではわからないことも多いため、関連するイベントの相関がとれるようこれらのログを一箇所に集めます。

3. **学習・分析** :  
   収集したログに含まれる大量のイベントを機械学習エンジンで学習・分析することで正常な状態を把握し、固有の環境における異常、すなわち「経験的に疑わしい振る舞い」を検出します。  
   検出した情報をアラートとして管理者に通知することで攻撃を早期に発見し対応することが可能となります。

## おわりに

ITやITサービスは社会を構成する重要なインフラとなっています。そのため、被害はサイバー攻撃を受けた組織だけにとどまらず、その組織が提供するITやITサービスの利用者にも業務停止や情報漏洩といった形で被害が及びます。自組織にくわえて他組織にまで大きな被害が及ばないよう、できる限り早い段階でサイバー攻撃を検出・防止・対応できる能力を備えましょう。

パロアルトネットワークスでも[AIによる脅威分析と統合管理を解説するオンデマンドセミナー](https://www.paloaltonetworks.jp/resources/webcasts/ndr-webinar)を開催しています。こうしたセミナーや資料を活用し、脅威の早期発見にAIを活用するヒントを見つけてください。

*** ** * ** ***

## Related Blogs

### [CIO/CISO](https://www.paloaltonetworks.com/blog/category/ciociso-ja/?lang=ja&ts=markdown), [CSO Perspective](https://www.paloaltonetworks.com/blog/category/cso-perspective-ja/?lang=ja&ts=markdown), [Cybersecurity](https://www.paloaltonetworks.com/blog/category/cybersecurity-jp/?lang=ja&ts=markdown), [Secure the Enterprise](https://www.paloaltonetworks.com/blog/category/secure-the-enterprise-2/?lang=ja&ts=markdown), [Secure the Future](https://www.paloaltonetworks.com/blog/category/secure-the-future-2/?lang=ja&ts=markdown), [視点](https://www.paloaltonetworks.com/blog/category/%e8%a6%96%e7%82%b9/?lang=ja&ts=markdown)

[#### 脆弱性悪用攻撃はなぜ減らない?](https://origin-researchcenter.paloaltonetworks.com/blog/2023/09/mitigating-software-vuln-exploit/?lang=ja)

### [Cybersecurity](https://www.paloaltonetworks.com/blog/category/cybersecurity-jp/?lang=ja&ts=markdown), [Secure the Enterprise](https://www.paloaltonetworks.com/blog/category/secure-the-enterprise-2/?lang=ja&ts=markdown), [視点](https://www.paloaltonetworks.com/blog/category/%e8%a6%96%e7%82%b9/?lang=ja&ts=markdown)

[#### 年末年始を穏やかに過ごすためのサイバーセキュリティヒント](https://origin-researchcenter.paloaltonetworks.com/blog/2022/11/cybersecurity-tips-for-happy-holidays-2022/?lang=ja)

### [Cybersecurity](https://www.paloaltonetworks.com/blog/category/cybersecurity-jp/?lang=ja&ts=markdown), [視点](https://www.paloaltonetworks.com/blog/category/%e8%a6%96%e7%82%b9/?lang=ja&ts=markdown)

[#### セキュリティの仕事は大変？](https://origin-researchcenter.paloaltonetworks.com/blog/2022/09/work-in-cybersecurity/?lang=ja)

### [Cybersecurity](https://www.paloaltonetworks.com/blog/category/cybersecurity-jp/?lang=ja&ts=markdown), [Secure the Enterprise](https://www.paloaltonetworks.com/blog/category/secure-the-enterprise-2/?lang=ja&ts=markdown), [Threat Prevention](https://www.paloaltonetworks.com/blog/category/threat-prevention/?lang=ja&ts=markdown), [視点](https://www.paloaltonetworks.com/blog/category/%e8%a6%96%e7%82%b9/?lang=ja&ts=markdown)

[#### ファイルレスマルウェアから考えるセキュリティ対策のあり方](https://origin-researchcenter.paloaltonetworks.com/blog/2022/01/fileless-malware-ttp-and-3-counter-measures/?lang=ja)

### [CSO Perspective](https://www.paloaltonetworks.com/blog/category/cso-perspective-ja/?lang=ja&ts=markdown), [Cybersecurity](https://www.paloaltonetworks.com/blog/category/cybersecurity-jp/?lang=ja&ts=markdown), [視点](https://www.paloaltonetworks.com/blog/category/%e8%a6%96%e7%82%b9/?lang=ja&ts=markdown)

[#### サイバー防術のススメ](https://origin-researchcenter.paloaltonetworks.com/blog/2024/03/cyber-bojutsu/?lang=ja)

### [Cybersecurity](https://www.paloaltonetworks.com/blog/category/cybersecurity-jp/?lang=ja&ts=markdown), [Must-Read Articles](https://www.paloaltonetworks.com/blog/security-operations/category/must/?lang=ja&ts=markdown), [視点](https://www.paloaltonetworks.com/blog/category/%e8%a6%96%e7%82%b9/?lang=ja&ts=markdown)

[#### ランサムウェアの先にあるもの: 予測される脅威アクターの収益拡大戦略と組織がとるべき備え](https://origin-researchcenter.paloaltonetworks.com/blog/2023/04/beyond-ransomware/?lang=ja)

### Subscribe to the Blog!

Sign up to receive must-read articles, Playbooks of the Week, new feature announcements, and more.
![spinner](https://origin-researchcenter.paloaltonetworks.com/blog/wp-content/themes/panwblog2023/dist/images/ajax-loader.gif) Sign up  
Please enter a valid email.  
By submitting this form, you agree to our [Terms of Use](https://www.paloaltonetworks.com/legal-notices/terms-of-use?ts=markdown) and acknowledge our [Privacy Statement](https://www.paloaltonetworks.com/legal-notices/privacy?ts=markdown). Please look for a confirmation email from us. If you don't receive it in the next 10 minutes, please check your spam folder.  
This site is protected by reCAPTCHA and the Google [Privacy Policy](https://policies.google.com/privacy) and [Terms of Service](https://policies.google.com/terms) apply.  
{#footer} {#footer}

## Products and Services

* [AI-Powered Network Security Platform](https://www.paloaltonetworks.com/network-security?ts=markdown)

* [Secure AI by Design](https://www.paloaltonetworks.com/precision-ai-security/secure-ai-by-design?ts=markdown)

* [Prisma AIRS](https://www.paloaltonetworks.com/prisma/prisma-ai-runtime-security?ts=markdown)

* [AI Access Security](https://www.paloaltonetworks.com/sase/ai-access-security?ts=markdown)

* [Cloud Delivered Security Services](https://www.paloaltonetworks.com/network-security/security-subscriptions?ts=markdown)

* [Advanced Threat Prevention](https://www.paloaltonetworks.com/network-security/advanced-threat-prevention?ts=markdown)

* [Advanced URL Filtering](https://www.paloaltonetworks.com/network-security/advanced-url-filtering?ts=markdown)

* [Advanced WildFire](https://www.paloaltonetworks.com/network-security/advanced-wildfire?ts=markdown)

* [Advanced DNS Security](https://www.paloaltonetworks.com/network-security/advanced-dns-security?ts=markdown)

* [Enterprise Data Loss Prevention](https://www.paloaltonetworks.com/sase/enterprise-data-loss-prevention?ts=markdown)

* [Enterprise IoT Security](https://www.paloaltonetworks.com/network-security/enterprise-device-security?ts=markdown)

* [Medical IoT Security](https://www.paloaltonetworks.com/network-security/medical-device-security?ts=markdown)

* [Industrial OT Security](https://www.paloaltonetworks.com/network-security/medical-device-security?ts=markdown)

* [SaaS Security](https://www.paloaltonetworks.com/sase/saas-security?ts=markdown)

* [Next-Generation Firewalls](https://www.paloaltonetworks.com/network-security/next-generation-firewall?ts=markdown)

* [Hardware Firewalls](https://www.paloaltonetworks.com/network-security/hardware-firewall-innovations?ts=markdown)

* [Software Firewalls](https://www.paloaltonetworks.com/network-security/software-firewalls?ts=markdown)

* [Strata Cloud Manager](https://www.paloaltonetworks.com/network-security/strata-cloud-manager?ts=markdown)

* [SD-WAN for NGFW](https://www.paloaltonetworks.com/network-security/sd-wan-subscription?ts=markdown)

* [PAN-OS](https://www.paloaltonetworks.com/network-security/pan-os?ts=markdown)

* [Panorama](https://www.paloaltonetworks.com/network-security/panorama?ts=markdown)

* [Secure Access Service Edge](https://www.paloaltonetworks.com/sase?ts=markdown)

* [Prisma SASE](https://www.paloaltonetworks.com/sase?ts=markdown)

* [Application Acceleration](https://www.paloaltonetworks.com/sase/app-acceleration?ts=markdown)

* [Autonomous Digital Experience Management](https://www.paloaltonetworks.com/sase/adem?ts=markdown)

* [Enterprise DLP](https://www.paloaltonetworks.com/sase/enterprise-data-loss-prevention?ts=markdown)

* [Prisma Access](https://www.paloaltonetworks.com/sase/access?ts=markdown)

* [Prisma Browser](https://www.paloaltonetworks.com/sase/prisma-browser?ts=markdown)

* [Prisma SD-WAN](https://www.paloaltonetworks.com/sase/sd-wan?ts=markdown)

* [Remote Browser Isolation](https://www.paloaltonetworks.com/sase/remote-browser-isolation?ts=markdown)

* [SaaS Security](https://www.paloaltonetworks.com/sase/saas-security?ts=markdown)

* [AI-Driven Security Operations Platform](https://www.paloaltonetworks.com/cortex?ts=markdown)

* [Cloud Security](https://www.paloaltonetworks.com/cortex/cloud?ts=markdown)

* [Cortex Cloud](https://www.paloaltonetworks.com/cortex/cloud?ts=markdown)

* [Application Security](https://www.paloaltonetworks.com/cortex/cloud/application-security?ts=markdown)

* [Cloud Posture Security](https://www.paloaltonetworks.com/cortex/cloud/cloud-posture-security?ts=markdown)

* [Cloud Runtime Security](https://www.paloaltonetworks.com/cortex/cloud/runtime-security?ts=markdown)

* [Prisma Cloud](https://www.paloaltonetworks.com/prisma/cloud?ts=markdown)

* [AI-Driven SOC](https://www.paloaltonetworks.com/cortex?ts=markdown)

* [Cortex XSIAM](https://www.paloaltonetworks.com/cortex/cortex-xsiam?ts=markdown)

* [Cortex XDR](https://www.paloaltonetworks.com/cortex/cortex-xdr?ts=markdown)

* [Cortex XSOAR](https://www.paloaltonetworks.com/cortex/cortex-xsoar?ts=markdown)

* [Cortex Xpanse](https://www.paloaltonetworks.com/cortex/cortex-xpanse?ts=markdown)

* [Unit 42 Managed Detection \& Response](https://www.paloaltonetworks.com/cortex/managed-detection-and-response?ts=markdown)

* [Managed XSIAM](https://www.paloaltonetworks.com/cortex/managed-xsiam?ts=markdown)

* [Threat Intel and Incident Response Services](https://www.paloaltonetworks.com/unit42?ts=markdown)

* [Proactive Assessments](https://www.paloaltonetworks.com/unit42/assess?ts=markdown)

* [Incident Response](https://www.paloaltonetworks.com/unit42/respond?ts=markdown)

* [Transform Your Security Strategy](https://www.paloaltonetworks.com/unit42/transform?ts=markdown)

* [Discover Threat Intelligence](https://www.paloaltonetworks.com/unit42/threat-intelligence-partners?ts=markdown)

## Company

* [About Us](https://www.paloaltonetworks.com/about-us?ts=markdown)
* [Careers](https://jobs.paloaltonetworks.com/en/)
* [Contact Us](https://www.paloaltonetworks.com/company/contact-sales?ts=markdown)
* [Corporate Responsibility](https://www.paloaltonetworks.com/about-us/corporate-responsibility?ts=markdown)
* [Customers](https://www.paloaltonetworks.com/customers?ts=markdown)
* [Investor Relations](https://investors.paloaltonetworks.com/)
* [Location](https://www.paloaltonetworks.com/about-us/locations?ts=markdown)
* [Newsroom](https://www.paloaltonetworks.com/company/newsroom?ts=markdown)

## Popular Links

* [Blog](https://www.paloaltonetworks.com/blog/?ts=markdown)
* [Communities](https://www.paloaltonetworks.com/communities?ts=markdown)
* [Content Library](https://www.paloaltonetworks.com/resources?ts=markdown)
* [Cyberpedia](https://www.paloaltonetworks.com/cyberpedia?ts=markdown)
* [Event Center](https://events.paloaltonetworks.com/)
* [Manage Email Preferences](https://start.paloaltonetworks.com/preference-center)
* [Products A-Z](https://www.paloaltonetworks.com/products/products-a-z?ts=markdown)
* [Product Certifications](https://www.paloaltonetworks.com/legal-notices/trust-center/compliance?ts=markdown)
* [Report a Vulnerability](https://www.paloaltonetworks.com/security-disclosure?ts=markdown)
* [Sitemap](https://www.paloaltonetworks.com/sitemap?ts=markdown)
* [Tech Docs](https://docs.paloaltonetworks.com/)
* [Unit 42](https://unit42.paloaltonetworks.com/)
* [Do Not Sell or Share My Personal Information](https://panwedd.exterro.net/portal/dsar.htm?target=panwedd)
  ![PAN logo](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/pan-logo-dark.svg)
* [Privacy](https://www.paloaltonetworks.com/legal-notices/privacy?ts=markdown)
* [Trust Center](https://www.paloaltonetworks.com/legal-notices/trust-center?ts=markdown)
* [Terms of Use](https://www.paloaltonetworks.com/legal-notices/terms-of-use?ts=markdown)
* [Documents](https://www.paloaltonetworks.com/legal?ts=markdown)

Copyright © 2026 Palo Alto Networks. All Rights Reserved

* [![Youtube](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/social/youtube-black.svg)](https://www.youtube.com/user/paloaltonetworks)
* [![Podcast](https://www.paloaltonetworks.com/content/dam/pan/en_US/images/icons/podcast.svg)](https://www.paloaltonetworks.com/podcasts/threat-vector?ts=markdown)
* [![Facebook](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/social/facebook-black.svg)](https://www.facebook.com/PaloAltoNetworks/)
* [![LinkedIn](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/social/linkedin-black.svg)](https://www.linkedin.com/company/palo-alto-networks)
* [![Twitter](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/social/twitter-x-black.svg)](https://twitter.com/PaloAltoNtwks)
* EN  
  Select your language