セキュリティにおける機械学習の 5 つの優れた使用例

機械学習は、企業が直面するセキュリティ上の脅威をより深く理解し、従業員がより価値のある戦略的タスクに集中できるようにするのに役立ちます。同時に、これは WannaCry 危機の次のラウンドを解決するための強力な武器になる可能性もあります。

20 世紀半ば、アーサー・サミュエルは AI にちなんで「機械学習」という造語を作り出し、「明示的にプログラムしなくても学習できる能力」と定義しました。機械学習アルゴリズムは、大規模なデータ セットに数学的手法を適用することで、動作モデルを構築し、そのモデルを基に新しい入力データに基づいて将来を予測することができます。 Netflix のような動画サイトでは、過去の視聴履歴に基づいて新しいエピソードを提案したり、自動運転車は歩行者との接近を通じて道路状況を学習したりできます。これらは、私たちの日常生活における機械学習の最も一般的な例です。

[[268638]]

では、情報セキュリティにおける機械学習の応用とは何でしょうか?

原則として、機械学習は組織が脅威をより適切に分析し、攻撃やセキュリティ インシデントに対応するのに役立ちます。また、これまでは膨大な作業だったり、スキルの低いセキュリティ チームによって実行されていたりした、より日常的なタスクの一部を自動化するのにも役立ちます。

さらに、セキュリティ分野における機械学習の応用も急速な成長傾向を示しています。 ABIリサーチのアナリストは、世界最大手のテクノロジー企業の一部が顧客をより適切に保護するための措置を講じる中、サイバーセキュリティにおける機械学習の利用により、ビッグデータ、人工知能（AI）、分析への支出が2021年までに960億ドルに達すると予測している。

たとえば、Google は機械学習を使用して、Android 上で実行されるモバイル エンドポイントの脅威を分析し、感染した電話からマルウェアを特定して削除しています。一方、クラウド インフラストラクチャの大手 Amazon は、スタートアップ企業の Harvest.AI を買収し、機械学習を使用して S3 クラウド ストレージ上のデータを検出、並べ替え、分類するサービスである Macie を立ち上げました。

同時に、エンタープライズ セキュリティ ベンダーは、マルウェア検出の効率をさらに向上させるために、機械学習を新旧の製品ラインに統合する取り組みを行っています。 「主流のセキュリティ企業のほとんどは、数年前にマルウェアを検出するために使用されていた純粋な『シグネチャベース』のシステムから、動作やイベントを解釈し、さまざまな情報源から何が安全で何がそうでないかを学習する機械学習システムに移行している」と、J.ゴールド・アソシエイツの社長兼主席アナリスト、ジャック・ゴールド氏は述べた。これはまだ発展途上の分野ですが、明らかに未来への道でもあります。 AI と機械学習は、セキュリティの運用方法を劇的に変えるでしょう。

この変革は一夜にして起こるものではありませんが、機械学習はすでにいくつかの分野で起こっています。ドイツテレコムのイノベーションラボ（およびイスラエルのネゲブ・ベングリオン大学のサイバーセキュリティ研究センター）のCTOであるドゥドゥ・ミムラン氏は、機械学習やディープラーニングを含む広義のAIはサイバー防御を推進する初期段階にあるが、エンドポイント、ネットワーク、詐欺、SIEMにおける悪意のある活動のパターンを特定する上ですでに明らかな役割を果たしていると語った。今後は、サービス停止の防止、アトリビューション、ユーザー行動の修正などの分野でのユースケースがますます増えていくと思います。

次に、セキュリティにおける機械学習の主な使用例を見てみましょう。

1. 機械学習を使用して悪意のあるアクティビティを検出し、攻撃を防ぐ

機械学習アルゴリズムは、企業が悪意のある活動をより迅速に検出し、攻撃が始まる前に阻止するのに役立ちます。この開発チャンスをうまく掴んだのが、英国のスタートアップ企業Darktraceだ。2013年に設立された同社は、機械学習ベースのエンタープライズ免疫ソリューションで大きな成果を上げていると報じられている。

ダークトレースのテクニカルディレクター、デビッド・パーマー氏は、ダークトレースはかつて機械学習アルゴリズムを使用して、北米のカジノが「インターネットに接続された水槽をカジノネットワークへの入り口として」利用したデータ侵害攻撃を検知するのに成功したと述べた。同社はまた、そのアルゴリズムが、以前世界を襲ったWannaCryランサムウェア攻撃における同様の攻撃を阻止することに成功したと主張した。

150カ国で20万人以上の被害者を出したWannaCryランサムウェアについて、パーマー氏は次のように述べた。「当社のアルゴリズムは、国民保健サービス（NHS）組織のネットワークからの攻撃を数秒以内に検出し、攻撃が組織に損害を与える前に脅威を軽減することに成功しました。」実際、パッチを適用していなかったお客様も含めて、WannaCry 攻撃による被害を受けたお客様は一人もいませんでした。

2. 機械学習を使用してモバイルデバイスを分析する

モバイルデバイスでは機械学習が主流となっているが、これまでのところその活動のほとんどは、Google Now、AppleのSiri、AmazonのAlexaなどの音声ベースのエクスペリエンスを改善することに費やされてきた。ただし、機械学習はセキュリティにも応用できます。前述のように、Google は機械学習を使用してモバイル エンドポイントに対する脅威を分析しており、企業は BYOD および OWN モバイル デバイスを保護する機会がさらに増えると考えています。

2017 年 10 月、MobileIron と Zimperium は、機械学習テクノロジーを統合したモバイルマルウェア対策ソリューションを企業が導入できるよう支援するパートナーシップを発表しました。 MobileIronは、Zimperiumの機械学習ベースの脅威検出とMobileIronのセキュリティおよびコンプライアンスエンジンを統合し、デバイス、ネットワーク、アプリケーションの脅威を検出し、企業データを保護するために迅速かつ自動的にアクションを実行するなどの課題に対処する統合ソリューションとして販売すると述べた。

他のベンダーもモバイル ソリューションのサポートを検討しています。 Zimperium、LookOut、Skycure（Symantec が買収）、Wandera は、長い間、モバイル脅威検出および防止市場のリーダーと見なされてきました。それぞれが独自の機械学習アルゴリズムを使用して潜在的な脅威を検出します。たとえば、Wandera は脅威検出エンジン MI:RIAM をリリースしました。同社によると、このエンジンは企業のモバイル デバイスを標的とした SLocker ランサムウェアの亜種を 400 種類以上検出したとのことです。

3. 機械学習を使用して人間による分析を強化する

セキュリティ分野における機械学習の中核的な応用として、悪意のある攻撃の検出、ネットワークの分析、エンドポイントの保護、脆弱性の評価など、さまざまなセキュリティタスクを人間のアナリストが処理するのに役立つと考えられています。しかし、脅威インテリジェンスにおけるその役割は、おそらく最も興味深いものです。

たとえば、2016 年に MIT のコンピューター科学および人工知能研究所 (CSAIL) は、「AI2」と呼ばれるシステムを開発しました。これは、大量のデータから本当に役立つものをアナリストが見つけるのに役立つ、適応型機械学習セキュリティ プラットフォームです。このシステムは毎日何百万ものログインを確認し、データをフィルタリングして人間のアナリストに渡すことで、アラートの数を 1 日あたり約 100 件に減らします。 CSAILとスタートアップ企業PatternExが共同で実施した実験では、攻撃検出率が85%に向上し、誤検出率が5分の1に減少したことが示された。

4. 機械学習を使用してセキュリティの反復タスクを自動化する

機械学習の本当のメリットは、反復的なタスクを自動化し、従業員がより重要な仕事に集中できるようにすることです。最終的に、機械学習は「脅威情報のトリアージなど、反復性が高く価値の低い意思決定活動における人間の労働の必要性を排除すること」を目指すべきだとパーマー氏は述べた。ランサムウェアの阻止などの反復的なタスクや戦術的な消火活動を機械に処理させ、人間が Windows XP システムの最新化などの戦略的な問題に取り組むことができるようにします。

ブーズ・アレン・ハミルトンはこの道を歩んでいます。同社はAIツールを使用して人的セキュリティリソースをより効率的に割り当て、脅威をトリアージしてスタッフが最も重要な攻撃に集中できるようにしていると伝えられている。

5. 機械学習を使用してゼロデイ脆弱性を解消する

機械学習は、特にセキュリティがほとんど確保されていない IoT デバイスを標的とするゼロデイ脅威やその他の脅威に対するギャップを埋めるのに役立つと考える人もいます。フォーブスによると、アリゾナ州立大学のチームは機械学習技術を使用してダークウェブのトラフィックを監視し、ゼロデイ脆弱性の悪用に関連するデータを特定したという。この洞察により、組織は脆弱性を塞ぎ、データ侵害が発生する前にパッチ攻撃を防ぐことができます。

誇大宣伝と誤解が蔓延する分野

機械学習は万能薬ではないことに注意することが重要です。特に、これらのテクノロジーの概念実証実験をまだ行っている業界にとってはなおさらです。機械学習の開発は、長く困難なプロセスとなることは間違いありません。機械学習システムには誤検知が発生することがあります (教師なし学習システムのアルゴリズムはデータに基づいてパターンを推測します)。また、セキュリティにおける機械学習は「ブラックボックス」ソリューションになる可能性があることを率直に認めるアナリストもいます。つまり、CISO は機械学習の内部動作を完全に把握することができず、ベンダーとマシンに信頼と責任を委ねざるを得ないということです。

結局のところ、一部のセキュリティ ソリューションが機械学習をまったく使用していない世界では、この盲目的信頼の考え方はお勧めできません。 「宣伝されている機械学習製品のほとんどは、実際には顧客環境で学習しません」とパーマー氏は語った。代わりに、ベンダー独自のクラウド上のマルウェアサンプルを使用してモデルをトレーニングし、ウイルスシグネチャと同様にクライアント企業にダウンロードします。これは顧客の安全性の向上ではなく、基本的に後退です。

さらに、アルゴリズムを実際に使用するには、モデルを学習するためのトレーニング データ サンプルが必要であり、これらのサンプルのデータと実装が不十分だと、さらに悪い結果が生じる可能性があります。機械学習の有効性は、入力する情報によって異なります。ゴミを入れればゴミが出る。したがって、機械学習アルゴリズムの設計が適切でない場合、結果はあまり理想的なものにはなりません。アルゴリズムが研究室のトレーニング データで機能するのは問題ありませんが、最大の課題は、機械学習ネットワーク防御を現実世界の複雑なネットワークで機能させることです。