サイバー攻撃検知データセット、AI精度97%達成

バングラデシュおよび米国の研究者らは、マルチステージサイバー攻撃の検知精度を大幅に向上させる新たなログデータセットと、それを活用した小型言語モデル（SLM）の評価結果を発表した。論文はarXivに公開されており、企業のセキュリティ運用センター（SOC）が直面する人手不足と検知精度の課題に対して、実用的な解決策の道筋を示している。

従来の公開データセットはネットワークログのみ、あるいはホストログのみに偏っており、攻撃者が複数の経路を横断して侵入する現実の手口を再現できていなかった。研究チームは今回、Windowsエンドポイント上でシステムログ、ネットワークログ、ブラウザログを同時に収集し、870セッション（攻撃70件、正常800件）、約230万イベントからなるデータセットを構築した。悪意あるイベントにはMITREのATT&CKフレームワークに基づく手法IDを付与し、12の戦術と53の技術を網羅した。攻撃データの生成にはリモートアクセス型トロイの木馬（RAT）、コマンド＆コントロール（C2）トンネル、クラウド経由のデータ窃取といった実在ツールを使用しており、演習用の仮想シナリオではなく実務環境に即した内容となっている。

機械学習の適用可能性を検証するため、研究チームはQwen2.5-1.5B、Llama-3.2-3B、Phi-4-Miniの三種のSLMをLoRA（低ランク適応）でファインチューニングし、ベースモデルと比較した。ログの塊を攻撃か否かに分類するタスクでは、ベースモデルの精度が約8%にとどまっていたのに対し、ファインチューニング後は90〜97%まで向上した。ATT&CK技術の特定タスクでは完全一致精度が最高42%にとどまったものの、部分一致スコアは高く、モデルが攻撃の概念的構造を把握していることが確認された。

この成果がビジネスに与える影響は多岐にわたる。金融機関や通信事業者のSOCでは、セキュリティアナリストが手動でアラートを精査する工数が総対応時間の60〜70%を占めるとされる。本データセットを用いてファインチューニングされた軽量モデルをSIEM（セキュリティ情報イベント管理）システムに組み込めば、アラートの自動トリアージが可能となり、平均検知時間（MTTD）と平均対応時間（MTTR）の短縮が期待できる。特にATT&CK手法IDでの自動ラベリングが実現すれば、インシデント対応チームは攻撃の全体像を即座に把握でき、封じ込め施策の優先順位付けが迅速化する。

製造業やヘルスケア分野では、OT（操業技術）環境とITネットワークが混在する複雑なインフラを持つ企業が多く、多段階攻撃への脆弱性が高い。ブラウザログを含む三種ログの統合分析は、フィッシング起点の侵入から横断移動（ラテラルムーブメント）までの攻撃チェーンを可視化するうえで有効であり、セキュリティ部門のKPIである「未検知インシデント件数」および「攻撃封じ込めまでの平均時間」の改善に直結する。

MSSP（マネージドセキュリティサービスプロバイダー）にとっては、本データセットが顧客向け検知モデルの標準化基盤として機能する可能性がある。独自データ収集に要するコストを削減しつつ、ATT&CKラベル付きの高品質な学習データを活用することで、サービス品質の均質化と新規顧客獲得コストの低減が見込まれる。

課題も残る。技術特定タスクの完全一致精度が42%にとどまる点は、実運用への全面適用に慎重さを要求する。また、データセットのサイズはWindows環境に限定されており、LinuxサーバーやmacOSを主力とする企業環境への汎化性検証が今後の課題となる。研究チームはデータセットと学習済みモデルの公開を予定しており、企業のセキュリティエンジニアリングチームが自社環境に合わせた追加学習を行う基盤として活用できる見通しだ。サイバーセキュリティ人材の不足が深刻化する中、軽量AIによる一次対応の自動化は、組織防衛力の底上げに向けた現実的な選択肢として位置づけられる。