セキュアスカイ・テクノロジーは8月24日、クラウド型WAFサービス「Scutum(スキュータム)」にて新たに独自開発した「Thinning(シニング)」手法の追加によってウェブサイトへの攻撃に対する検知精度の大幅向上を実現したと発表した。
Scutumはビットフォレストが技術提供を行なうクラウド型WAFサービス。Scutumでは「ウェブセキュリティー専門家によるリアルな判断に近い高度な攻撃検知能力を持ちながらも、正常通信の誤検知が極めて少ない。ユーザーが手放しで安心して利用できるWAF」を目指し、これを実現するために2つの主要なデータサイエンス技術を活用してきたという。
2013年よりAIの一分野である確率的グラフィカルモデルの一種「ベイジアンネットワーク」を導入して高度に形を変えた攻撃バリエーションについても幅広く検知することが可能となり、ゼロデイ防御も多数実現。2017年には正常通信に含まれる異常な通信を検出する「アノマリ検知(=異常検知)機能」を導入。機械学習によりあらかじめ把握したサイトごとの正常通信特性を元に異常アクセスを検出し、ベイジアンネットワークと組み合わせることで誤検知の大幅軽減に成功した。
今回、アノマリ検知機能について学習段階におけるScutum独自の選別手法であるThinning手法を追加することで、大幅な攻撃検知精度の向上を確認できたという。Thinning手法はScutumが使用しているIsolation Forestと呼ばれる異常検知アルゴリズムにおいて、ランダムに生成される個々の「木」(=分類器)をあらかじめ余分に用意し、そのなかから導入ウェブサイトごとの通信データを判定する上でより適した木々を事前に選別して残しておく方法。学習時に本工程を挟むことにより、Scutumがウェブサイトへの通信内容を評価する際に的確に通信の異常性を検出できるようになる。
検証として、Scutum導入サイトから5サイトを無作為に選択し、各サイトの直近800万件の通信についてThinning手法「あり」「なし」それぞれで抽出した異常度の高い1000件のうち最終的に攻撃と判定された通信の割合を比較した結果、Thinning手法「あり」では「なし」と比べ、アノマリ検知機能単体での攻撃検出率が平均で55.8%から72.8%へと、およそ17%の大幅向上を確認できたとしている。
