情報セキュリティにおける機械学習の 5 つの主な使用例

簡単に言えば、機械学習とは「明示的にプログラムされなくても学習する（コンピュータの）能力」です。機械学習アルゴリズムは、膨大なデータセットに数学的手法を適用することで動作モデルを構築し、そのモデルを使用して新しい入力データに基づいて将来を予測します。ユーザーの過去の視聴記録に基づいて新しいエピソードを公開するビデオサイトや、通り過ぎる歩行者から道路状況を学習する自動運転車はすべて機械学習の例です。

[[213773]]

では、情報セキュリティにおける機械学習の応用とは何でしょうか?

一般的に、機械学習は、組織が脅威をより適切に分析し、攻撃やセキュリティ インシデントに対応するのに役立ちます。また、以前は過負荷またはスキル不足のセキュリティ チームによって実行されていた、より単純で低レベルのタスクを自動化するのにも役立ちます。

セキュリティの面では、機械学習は急速に発展しているトレンドです。サイバーセキュリティの世界では、機械学習により、ビッグデータ、人工知能（AI）、分析への投資が2021年までに960億ドルに達するとABIリサーチのアナリストは推定しており、一方で世界の大手テクノロジー企業はすでに顧客をより適切に保護するための措置を講じている。

Google は機械学習を使用して Android モバイル デバイス上の脅威を分析し、感染した携帯電話からマルウェアを特定して削除します。クラウドインフラ大手のAmazonはスタートアップのharvest.AIを買収し、機械学習を使用してS3クラウドストレージ上のデータを検出、並べ替え、分類するサービスであるMacieをリリースした。

一方、エンタープライズ セキュリティ ベンダーは、マルウェア検出率の向上を目指して、新旧の製品ラインに機械学習を統合する取り組みを進めています。大手セキュリティ企業のほとんどは、純粋な「シグネチャベース」のシステムから、動作やイベントを解釈し、さまざまなソースから学習してセキュリティとリスクに関する決定を下そうとする機械学習システムに移行しています。これはまだ発展途上の分野ですが、明らかに将来の方向性を示しています。

AI と機械学習は、セキュリティの運用方法を劇的に変えるでしょう。これらはネットワーク防御を推進する初期段階にありますが、エンドポイント、ネットワーク、詐欺、SIEM における悪意のあるアクティビティのパターンを特定する上ですでに明確な役割を果たしています。今後は、サービス停止の防止や属性やユーザーの行動の変更といった分野でのユースケースがますます増えていくでしょう。

セキュリティにおける機械学習の主な使用例は何でしょうか? 次の 5 つを見てみましょう。

1. 機械学習を使用して悪意のあるアクティビティを検出し、攻撃を防ぐ

機械学習アルゴリズムは、組織が悪意のあるアクティビティをより迅速に検出し、攻撃が始まる前に阻止するのに役立ちます。 2013 年に設立された英国のスタートアップ企業 Darktrace は、機械学習ベースの Enterprise Immune Solution により、この点で大きな成功を収めています。同社の最高技術責任者である David Palma 氏は、機械学習が悪意のある活動や攻撃に与える影響を目の当たりにしてきました。

パルマ氏は、ダークトレースが最近、機械学習アルゴリズムを使用して北米のカジノによるデータ侵害攻撃の検出を支援したと述べた。この攻撃では、インターネットに接続された水槽がカジノのネットワークへの侵入口として利用された。同社はまた、昨年夏のWannaCryランサムウェア流行の際にも自社のアルゴリズムが同様の攻撃を防いだと主張している。

150カ国で20万人以上の被害者を出したWannaCryランサムウェアについて、パルマ氏は次のように述べた。「数秒以内に、当社のアルゴリズムが国民保健サービス（NHS）ネットワークへの攻撃を検出し、組織に損害が出る前に脅威を軽減しました。実際、パッチを適用していなかったお客様を含め、当社のお客様はWannaCry攻撃による被害を受けていません。」

2. 機械学習を使用してモバイルデバイスを分析する

機械学習はモバイルデバイス上で主流になっていますが、これまでのところ、その活動の大部分は、Google Now、Apple の Siri、Amazon の Alexa などの音声ベースのエクスペリエンスを推進することに重点が置かれてきました。ただし、機械学習はセキュリティにも応用できます。前述のように、Google は機械学習を使用してモバイル エンドポイントの脅威を分析しており、企業は BYOD および OWNER のモバイル デバイスを保護する機会を見出しています。

10月に、MobileIronとZimperiumは、企業が機械学習をモバイルウイルス対策ソリューションに統合できるよう支援する提携を発表しました。 MobileIron は、Zimperium の機械学習ベースの脅威検出を自社のセキュリティおよびコンプライアンス エンジンに統合し、デバイス、ネットワーク、アプリケーションの脅威検出や企業データを保護するための迅速な自動アクションなどの課題に対処する共同ソリューションとして販売します。

他のベンダーも独自のモバイル ソリューションの改善を計画しています。 LookOut、Symantec に買収された Skycure、Wandera は、モバイル脅威検出および防止市場のリーダーであり、それぞれ独自の機械学習アルゴリズムを使用して潜在的な脅威を検出しています。 Wandera を例に挙げてみましょう。同社は最近、脅威検出エンジン「MI:RIAM」を一般公開した。同社によれば、このエンジンは企業のモバイルデバイスを標的とするSLockerランサムウェアの400種類以上の亜種を検出できるという。

3. 機械学習による人間による分析の強化

セキュリティ分野における機械学習の中心的な応用は、悪意のある攻撃の検出、ネットワーク分析、端末の保護、脆弱性の評価など、さまざまなセキュリティタスクを人間のアナリストが処理できるようにすることだと考える人もいます。しかし、脅威インテリジェンスの側面においてこそ、興奮が生まれます。

たとえば、2016 年に MIT コンピューター科学および人工知能研究所 (CSAIL) は AI2 と呼ばれるシステムを開発しました。これは、大量のデータから本当に役立つものをアナリストが見つけるのに役立つ、適応型機械学習セキュリティ プラットフォームです。このシステムは毎日何百万ものログインを確認し、データをフィルタリングして人間のアナリストに渡すため、アラートの数は 1 日あたり約 100 件に大幅に削減されます。 CSAILとスタートアップ企業PatternExが共同で実施した実験では、攻撃検出率が85%に向上し、誤報率が当初の5分の1に減少したことが示された。

4. 機械学習を使用してセキュリティの反復タスクを自動化する

機械学習の真の価値は、反復的なタスクを自動化し、従業員がより重要な仕事に集中できるようにする能力にあります。最終的に、機械学習は脅威情報の分類など「反復的で価値の低い意思決定活動における人間の労力の必要性を排除する」ことを目指すべきだとパルマ氏は述べた。ランサムウェアの阻止などの反復的なタスクや戦術的な消火活動を機械に処理させ、人間が Windows XP システムの最新化などの戦略的な問題を自由に解決できるようにします。

ブーズ・アレン・ハミルトンもこの道を歩んでいる。同社はAIツールを使用して、人的セキュリティリソースをより効率的に割り当て、脅威を分類し、従業員が最も重要な攻撃に集中できるようにしていると伝えられている。

5. 機械学習を使用してゼロデイ脆弱性を補う

機械学習は、特にゼロデイ脅威や安全でない IoT デバイスを狙った脆弱性の解消に役立つと考える人もいます。この分野にはすでに先駆者がいる。アリゾナ州立大学のチームが機械学習を使用してダークウェブのトラフィックを監視し、ゼロデイ攻撃に関連するデータを特定したとフォーブスは報じている。このような洞察力があれば、組織は脆弱性を塞ぎ、データ侵害につながる前に脆弱性が悪用されるのを防ぐことができます。

誇大宣伝と誤解

しかし、機械学習は万能薬ではありません。少なくとも、これらのテクノロジーの概念実証実験をまだ行っている業界にとってはそうではありません。これからの道は困難であり、常に多くの困難と隠れた危険が存在します。機械学習システムは誤検知を起こすことがあります (教師なし学習システムのアルゴリズムはデータに基づいてパターンを推測します)。また、セキュリティで使用される機械学習は「ブラックボックス」ソリューション、つまり CISO がその内部メカニズムを完全に把握できないソリューションになる可能性があることを率直に認めるアナリストもいます。彼らが信頼と責任を置けるのはサプライヤーと機械だけです。

一部のセキュリティ ソリューションでは機械学習がまったく使用されていない場合もありますが、それらを盲目的に信頼するのは得策ではありません。

市場で話題になっている機械学習製品のほとんどは、実際には顧客環境で学習しません。ベンダー独自のクラウド上でマルウェアサンプルを使用してモデルをトレーニングし、ウイルスシグネチャと同様にクライアント企業にダウンロードするだけです。これは顧客の安全性の向上ではなく、基本的に後退です。

さらに、アルゴリズムを実用化する前にモデルを学習するために必要なトレーニング データ サンプルにも、不適切なデータと実装によってさらに悪い結果が生じるという問題があります。機械学習の有効性は、入力する情報によって異なります。ゴミを入れればゴミが出る。したがって、機械学習アルゴリズムの設計が適切でない場合、結果はあまり役に立ちません。アルゴリズムが実験室のトレーニング データで役立つことは重要ですが、最大の課題は、機械学習ネットワーク防御を実際の複雑なネットワークで効果的にすることです。