このページの本文へ

機械学習は「未知のサイバー攻撃」を発見する

2017年09月08日 09時00分更新

文● せきゅラボ

  • この記事をはてなブックマークに追加
  • 本文印刷

 マシン ラーニング(機械学習、Machine Learning)は、人工知能(Artificial Intelligence, AI) における一分野だ。ここ数年で急速な成長を遂げ、さまざまな企業・組織が機械学習を利用した製品やサービスを提供している。

 たとえば通販サイトなら、製品のデータベースからその顧客が興味を持って購入しそうな製品を紹介できる。家電やスマートフォンでも、文字認識や音声認識などの精度を上げるために利用されている。

 人工知能といえば、2016年3月、Google DeepMindが開発した「AlphaGo」が囲碁の対局でトップ棋士に勝利したことは、世界中で大きな話題となった。2017年の対局では世界一とうたわれた棋士にも勝利し、「人間は人工知能に勝てないのか」と驚いた人も多いはずだ。

 ただ、人間が得意な作業と、人工知能が得意な作業は違う。人間が機械学習を利用することで、従来では難しかったことが可能になる。セキュリティーにとっても、機械学習は大いにプラスになりえる。

 たとえば、マルウェアの挙動を大量に学習させることで、マルウェアを迅速に発見するだけでなく、「未知のものだが、マルウェアらしい動作をしている」と判断できるようになる。ほかにも、クレジットカードで不正取引と思われる履歴を発見した場合、「過去の購入履歴からすれば、不自然な取引である」と判断できるようにもなる。

 日々増加するサイバー攻撃。それらにまつわる膨大なデータは、人間の力だけでは処理することが難しい。しかし、機械学習をうまく利用することで、効率化を図ることができる。セキュリティもまた、機械学習でパワーアップしている時代なのだ。

 今回はMcAfee Blogから「マシーン(機械)の到来はセキュリティにとっての好機」を紹介しよう。

マシーン(機械)の到来はセキュリティにとっての好機

 最近、「ロボットが仕事を奪う」、「人工知能は人類を滅ぼすのか」といったニュース記事をたくさん見かけます。大抵の未来予想は、必ず外れます。つまり、往年の大リーグの名プレイヤーであるヨギ・ベラが言うように、「未来は、かつてのような未来ではない」ということです。

 サイエンス フィクションはさておき、自動化によるサポートが望まれ、必要とされている分野があります。それはサイバー セキュリティです。

 サイバー上の脅威が猛威を振るっており、その勢いはあまりにも激しく、この招かれざる客がデジタル時代の進化に深刻な影響を及ぼすかもしれません。私たちは、この問題に立ち向かうため、さらに人材を増やさなければならないのでしょうか? その通りです。もっと大勢の人材が必要です。その事実こそが、最近出版されたビジネス雑誌で、“将来性のある”9つの職種の1つに「サイバー セキュリティ エキスパート」が選ばれた理由でもあるのです。

 一方で、ただ問題に対処できる人材を増やせばいいというわけではありません。また、完璧かつ新たなサイバー セキュリティ ツールを作らせるために、ソフトウェア開発者を残業させればいいということでもありません。襲来するマルウェアやランサムウェアなどの新しい脅威は、とにかく進化が早すぎます。この業界には助けが必要であり、その答えの一つが自動化なのです。

 マカフィーは先日、エンドポイント セキュリティに関わる人工知能の現状についての調査を委託しました (「Machine Learning Raises Security Teams to the Next Level :マシンラーニング(機械学習)がセキュリティ チームを強化」)。サイバー セキュリティに大きな関心を寄せている方は、是非こちらを読んでみてください。このレポートでは、マシンラーニング(機械学習)は必要ですが、人間の代わりにはならないことが明確に記されています。マシーン(機械)は、人間が既に行っている作業を補助するものにすぎません。

機械学習の限界

 確かに機械は必要ですが、機械にできることと、できないことを理解しなければなりません。

機械学習ができること:

  • データに潜むパターンを高速で検知する
  • アルゴリズムに投入されるデータ量の増加に伴い、検知の精度を上げる
  • セキュリティ上の不正が発生した際、その結果を分析する
  • 大量の一般的な攻撃に対処する

機械学習ができないこと:

  • 創造的な対策を講じる
  • 大局を理解する
  • まったく関係のない組織やシステムと脅威を共有する
  • 新たな脅威の発生地帯を予測する

 機械学習の性能が、「トレーニング基盤」であるアルゴリズムを超えることはありません。人間がいなければ、機械学習は存在できません。

 機械学習のおかげで、セキュリティ チームの取り組みは進化しています。より多くの情報に基づく優れた判断を下せるようになりました。脅威は次々と発生し続けているため、セキュリティ チームの人的リソースだけではその量に対処しきれませんが、機械だけで創造的な対策を講じることは不可能です。人と機械がコラボレーションすることで、パフォーマンスやユーザー エクスペリエンスに影響を与えることなく、サイバー セキュリティの効果を上げることができます。

機械学習+エンドポイント

 機械学習を導入することで、エンドポイント セキュリティを継続的に進化させ、新たな攻撃方法を阻止できます。IT運営上の課題の1つとして、エンドポイントが、セキュリティ対策が幾層にも張り巡らされ、セキュリティ チームの監視下に置かれたデータセンターで守られていないという事実があります。エンドポイントは常に動き、ネットワーク内外を移動しています。

 そのため、エンドポイント セキュリティでは段階的にセキュリティを強化する方法が採られ、新たな攻撃方法を阻止するための新しい対策を常に取り入れています。そして、機械学習はその他のマルウェア対策に自然な形で組み込まれ、ハッカーや攻撃者との絶え間ない攻防を続けています。

 その一方で、ただクライアントに機械学習を導入すれば問題が完全に解決されるわけではありません。マルウェアが実行される前にその不正を阻止するには、クライアント ベースのソリューションが最適であると考える人もいれば、クラウド ベースの機械学習を導入し、攻撃者の企みを分析するべきと主張する人もいます。

 マカフィーは、排他的にどちらか一方だけを支持することはありません。私たちは、クライアントとクラウドの両方に機械学習を導入するべきと考えています。つまり、統合型ソリューションこそ、完全保護のための唯一の手段なのです。

 また、機械学習は優れたエンドポイント戦略のための一要素に過ぎないと認識することが重要です。

エンドポイント以外にも注目する

 最後に、最近、エンドポイントの機械学習に関する記事が多く、大きな注目が寄せられていますが、機械学習はエンドポイントだけに導入されるものではありません。エンドポイントの機械学習は、サイバー セキュリティのさまざまな部分に活用できる価値の高いツールです。マカフィーでは、Advanced Threat Defense (ATD) やSecurity Information and Event Management (SIEM) から URL Classification Systemsまでのポートフォーリオやゲートウェイで、機械学習やその他の“教師なし学習(unsupervised learning)”アルゴリズムを取り入れています。

結論

 セキュリティ アナリストが1件のセキュリティ警告を調査、解消するのに15分かかるとしたら、1人あたり1日30件しか処理できません。この計算に基づくと、セキュリティ チームはいずれセキュリティ上の攻撃パターンについていけなくなり、人材のスキルを磨く時間もなくなります。攻撃者は有効な方法を見つけ、戦術を変えて再攻撃する流れを自動化することで、攻撃の効果を最大限まで高めています。この戦いでセキュリティ チームが優位に立つためには、機械学習テクノロジーを活用して効率化を図り、人間が知識と創造力を使ってセキュリティ対策を強化する時間を確保することが最善の方法です。

 サイバー セキュリティには、既に機械学習が導入されており、このことは素晴らしいことです。機械学習は、あらゆる企業向けエンドポイント セキュリティ戦略において極めて重要な要素です。エンドポイントで猛威を振るう脅威の数や進化のスピードを考えると、私たちには人間の介入を必要とせずに対応できるセキュリティが必要です。また、人間がより多くの情報に基づく判断を下せるようにするため、情報の可視性を高める必要があります。日々決められた作業をこなす「ロボット」がいるからこそ、人は進化できるのです。

カテゴリートップへ