はじめに:サイバーセキュリティにおけるAIの進化
アリアス・ロボティクスとヨハネス・ケプラー大学リンツの研究チームが、サイバーセキュリティAIのためのゲーム理論的「頭脳」を提案しました。この新しいアプローチは、自動化された侵入テストと防御計画を人間の能力を超えたレベルに引き上げることを目指しています。
既存のLLMツールの課題
過去2年間で、PentestGPTやCybersecurity AI (CAI)などのLLM駆動ツールは、人間の侵入テスト担当者の速度と網羅性を凌駕する能力を示してきました。これらのツールは、1時間あたり数千のアクションを実行し、手動ワークフローよりも桁違いに速く脆弱性を発見できます。
しかし、研究者らが指摘する問題は、その生身の速度がチームを構造化されていない発見で溢れさせ、攻撃と防御のCTF(Capture The Flag)演習で人間が示す戦略的直感が欠如している点にあります。
サイバーセキュリティにおける「G-CTR」と超知能
この論文では、次のフロンティアを「サイバーセキュリティ超知能」と位置づけています。これは、人間よりも速く行動するだけでなく、チェスのグランドマスターのように進化する「盤面状態」について推論し、行動を起こす前に攻撃者と防御者の戦略を評価するエージェントを指します。
これを達成するために、研究者たちはゲーム理論的基盤をエージェントの推論ループに直接組み込んでいます。
G-CTRの3段階アプローチ
G-CTRは以下の3つのフェーズで動作します。
- 1. まず、AIエージェント自身のセキュリティログからLLMを使用して自動的に攻撃グラフを抽出し、そのグラフ上でナッシュ均衡を計算して最適な攻撃および防御戦略を特定します。
- 2. 次に、これらの均衡結果は、双方にとって最も強力な戦略を強調する簡潔な「ダイジェスト」に変換されます。
- 3. 最後に、このダイジェストはオープンソースのReActベースのフレームワークでエージェントの計画フェーズにフィードバックされ、その後のツール呼び出しとアクションを誘導します。
この閉ループのガイダンスは、エージェントの通常の操作と並行して実行され、1サイクルあたり約50秒のオーバーヘッドしか追加しません。エージェントが約70秒間実行を続けるため、サイバーレンジやライブ演習でのほぼリアルタイムの使用に適しています。
G-CTRの性能と影響
論文によると、5つの実世界の演習において、G-CTRは人間が作成した構造の70~90%に匹敵する6~15ノードのコンパクトな攻撃グラフを生成しました。これは、手動分析よりも60~245倍高速で、140倍以上安価でした。
44回のサイバーレンジベンチマークでは、ゲーム理論的ダイジェストを追加することで、成功率が20.0%から42.9%へとほぼ2倍に向上し、成功あたりのコストは2.7倍削減され、行動のばらつきも大幅に減少しました。
攻撃・防御シナリオでは、赤チームと青チーム間で標準ダイジェストを共有することで「パープル」エージェントが作成され、LLMのみのベースラインに対して約2:1、独立して誘導されたチームに対して3.7:1で勝利したと報告されています。
研究者たちは、これらの成果は検索スペースの狭小化、幻覚的行動の減少、そして環境の戦略的に最も関連性の高い部分にAIが固定されることに起因すると考えています。このようなアーキテクチャが堅牢に拡張されれば、サイバー作戦が単に自動化されるだけでなく、ゲームを理解する機械によってリアルタイムで戦略的に最適化される未来を示唆しています。