機械学習による予測は、ネットワークセキュリティ戦略において役立つ。しかし同時に、ネットワークセキュリティを脅かす勢力も機械学習の恩恵を受けられる。
機械学習はネットワークセキュリティ製品の重要な構成要素になっているが、その恩恵には二面性がある。セキュリティ対策に利用できると同時に、残念ながらハッカーも機械学習を利用できる。
ネットワークセキュリティにおける機械学習は、正当な動作と攻撃の両方について特徴をルール化する。このルールを基に、正当なネットワークやアプリケーションの動作と攻撃を区別する。一方攻撃者は、機械学習を使用してネットワーク防御手法を調査し、判別ルールをかいくぐる方法を見つけ出し、攻撃を実行する。
ネットワークセキュリティにおける機械学習のメリットの一つは、ゼロデイ攻撃(未知のセキュリティホールを利用した攻撃)を識別できることだ。シグネチャベースの新しい攻撃を識別して分析するには時間がかかるが、機械学習を使えば正当な操作と攻撃を区別するルールを活用できる。そのルールによる判別に基づいて新しい形式のマルウェアを検出できるため、過去の観察結果や分析結果を参照する必要はない。
組織が機械学習ソフトウェアを使うための準備方法は幾つかある。ソフトウェアに「攻撃」とラベル付けした一連の入力と、それ以外の「正当な動作」としてラベル付けされた入力をあらかじめ与える。その後、攻撃と正当な動作を区別する特徴群を分析することによって学習させる。
分かりやすい例としてスパムフィルターがある。管理者はスパムフィルターを使い、スパムメール中に出現する典型的な単語のリストを作成する。「スパム」として識別されたメールと「正当なメール」として識別されたメールのセットを機械学習ソフトウェアに提供するというアプローチもある。機械学習ソフトウェアは、両方のメールに出現した単語に基づいて一連のルールを作成できる。ソフトウェアの動作中に、スパムとの関連性が高い単語やメールアドレスが見つかると、それらに基づいて継続的にルールを拡張する。
機械学習ソフトウェアは、ネットワークやアプリケーションで観察された動作に基づいて一連のルールを構築することもできる。例えばトランザクションベースのアプリケーションを監視し、重要なデータベースにアクセスする方法を判別するルールを構築できる。データベースへのアクセス試行の繰り返しなど、通常のパターンと異なる動作はブロックされる。
残念ながら、ネットワークセキュリティにおける機械学習の手法に関する学術的および業界的な情報は攻撃者に丸見えだ。攻撃者は機械学習を利用してネットワーク防御手法を繰り返し調べることにより、マルウェア対策ソフトウェアが攻撃を識別するために使用するルールを特定できる。
攻撃者は、攻撃を成功させることに価値を見いだすため、防御を突破する方法の開発をやめないだろう。同様に、研究者も防御の改善を継続する必要がある。
Copyright © ITmedia, Inc. All Rights Reserved.
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
ITmediaはアイティメディア株式会社の登録商標です。
