Clear Sky Science
エビデンスに基づく、専門用語を抑えた解説

Clear Sky Science · ja

サイバー・レンジ環境における適応的サイバー攻撃シミュレーションと自動化インシデント対応のための人工知能駆動マルチエージェントフレームワーク

· 一覧に戻る

なぜより賢いサイバー訓練が重要なのか

企業や政府は日々、「サイバー・レンジ」と呼ばれる安全なサンドボックス化されたネットワークでデジタル災害に備えた訓練を行っています。しかし多くの訓練環境は依然として脚本化され予測可能な攻撃シナリオに頼っており、今日のステルス性が高く形を変える脅威にはほとんど似ていません。本稿は、そうした演習をはるかに現実的にする新しい方法を提示します。それは、独自に学習して攻撃や防御を行う人工知能「エージェント」を用いることで、参加する人間の訓練者やツールが思考し適応する相手と向き合わざるを得ない状況を作り出すものです。

静的なシナリオから生きた戦争ゲームへ

従来のサイバー・レンジは、あらかじめ書かれた劇のように機能します。指導者が攻撃スクリプトを選び、開始ボタンを押すと事態が展開します。これは初心者には有益ですが、複数の静かな段階をつなぎ、検出されると進路を変える現代の敵には通用しません。本稿で引用される研究では、模擬攻撃の半数以上が、ある侵害済みマシンから別のマシンへ移動する、あるいは監視ツールから身を隠すといった重要な戦術を含んでいないことが示されています。その結果、紙の上では整って見えても、インターネットの混沌とした現実に対しては準備不足の訓練になりがちです。

デジタルエージェントに攻撃と防御を教える

このギャップを埋めるために、著者らはマルチエージェントシステムを構築します。これは、共有の仮想ネットワーク内で独立に行動しつつ相互作用するソフトウェア実体の小さな共同体です。一方には報酬と罰のフィードバックを用いて計画を学び行動を調整する攻撃エージェントがいます。これは勝利を目指すゲームAIの学習に似ています。もう一方には、ネットワークトラフィックの異常なパターンを監視し、疑わしい端末の隔離や危険な接続の遮断といった対応を自動的に選択する防御エージェントがいます。両者とも、動作が玩具の例ではなく実際の悪意ある振る舞いや通常の利用を反映するように、大規模で現実的なネットワーク活動のデータ群で訓練されています。

Figure 1
Figure 1.

テストベッドの構築と配線

チームはこれらのエージェントをCyDER 2.0に統合します。CyDER 2.0はクラウドベースのサイバー・レンジで、数十台の小規模ネットワークから数百台のホストを含む大規模環境まで様々な企業風ネットワークを起動できます。訓練前に、日常のトラフィックに埋もれて希少な攻撃が見えなくならないよう、基礎データを注意深くクレンジングしバランスを取ります。攻撃エージェントはディープラーニングを用いて、脆弱な機器のスキャン、侵害、権限昇格、その後の拡散やデータ窃取といった複数段階のシーケンスを探索しつつ、検出を避けるよう振る舞います。防御エージェントは二つの補完的手法を組み合わせます:ラベル付き攻撃でチューニングされた従来の分類器と、「正常」を学習して逸脱を検出するオートエンコーダで、未知の手口も含めてフラグを立てます。

スマート・レンジの実運用での性能

研究者らはAI駆動のエージェント群を、固定スクリプトと行動が本質的に変化しないルールベースのマルチエージェント設定という二つの一般的な代替案と対決させます。小規模、中規模、大規模のテストネットワーク全体で、学習エージェントは攻撃をより正確に検出し、検出漏れが少ないことが示されました。最大規模のネットワークでの最も要求の高い混合攻撃シナリオでは、新システムは脅威検知と誤報回避のバランスを強く維持する一方、静的なアプローチは大きく劣化します。同様に重要なのは、自動化された対応が基準手法より数秒早く発動し得ることで、この差は迅速に進行する侵害における被害を大幅に抑える可能性があります。攻撃エージェント自体も訓練中により長く複雑な攻撃連鎖を構築できるようになり、全エージェントの資源使用量は控えめな範囲に収まります。

Figure 2
Figure 2.

実務上の備えにとっての意義

専門外の視点で見ると、本研究はサイバーセキュリティ訓練を定型化された演習から、双方が自律的に思考する「生きた戦争ゲーム」へと引き上げうることを示しています。学習型の攻撃者と防御者を現実的な練習用ネットワークに接続し、本物のトラフィック記録を与えることで、このフレームワークは実際のインシデントにより近い感触のシナリオを生み出します。テストでは、これがより鋭い検知、より速い反応、そしてシステムを圧倒することなくより複雑な環境へスケールする能力につながりました。著者らは、この種の知的なレンジが将来の攻撃に対するセキュリティチームの備えを向上させ、より自律的なデジタル防御の基盤を提供すると主張しています。今後の課題は、これら強力なエージェントを小型で性能の低いデバイス上でも動作させられるように軽量化することに焦点が移るでしょう。

引用: Agrawal, A., Nadeem, M., Al Nuaim, A. et al. Artificial intelligence driven multi agent framework for adaptive cyber attack simulation and automated incident response in cyber range environments. Sci Rep 16, 11673 (2026). https://doi.org/10.1038/s41598-026-45937-9

キーワード: サイバー・レンジ, 適応的サイバー攻撃, マルチエージェントシステム, AI駆動の防御, インシデント対応