異常検知とは

異常検知は、外れ値検知とも呼ばれ、サイバーセキュリティにおいて重要な役割を果たします。機械学習 (ML) や人工知能 (AI) などの先進的なテクノロジーを活用することで、異常検知システムは、ネットワークやシステム内の正常な振る舞いやイベントからの逸脱を認識し、潜在的な脅威やサイバー攻撃の兆候となる異常なパターンやポイントを迅速に特定することができます。

異常検知を包括的なサイバーセキュリティ戦略に統合することで、悪意ある攻撃から機密データやシステムを保護し、脅威にプロアクティブに対処し、重大な情報やシステムの整合性を維持する組織の能力が向上します。

異常検知の基礎

異常検知は、データセットを分析し、ベースラインアクティビティから大幅に逸脱した1つの発生またはパターンを特定するプロセスです。

サイバーセキュリティのコンテキストでは、これらの異常値（外れ値）は、データ侵害、サイバー攻撃、システム障害などの悪意あるイベントの早期警告サインであることがよくあります。これらの異常を早期に特定することで、組織はセキュリティリスクを隔離し、損害を最小限に抑え、修復を迅速化することができます。

異常のタイプ

高度な異常検知システムで検知可能な異常には、主に次の3つのタイプがあります。

• ポイント異常：ポイント異常とは、個々のデータポイントがデータセットの残りの部分、いわゆる「標準」から大幅に逸脱している状態です。ポイント異常の一例として、ネットワークトラフィックの突然の急増があります。
• コンテキスト異常：コンテキスト異常とは、特定のコンテキスト内でのみ、個々のデータポイントがデータセットの残りの部分とは異なっている状態です。例えば、ユーザーが営業時間外にシステムにログインした場合や、地理的な場所と一致しないIPアドレスからログインした場合、それはコンテキスト異常である可能性があります。
• 連続異常：連続異常とは、個々のデータポイントが正常で許容可能な使用の範囲内であっても、関連するデータポイントのグループを集合的に見ると予想パターンから逸脱している状態です。例えば、さまざまなIPアドレスからのネットワークトラフィックが急増している場合、組織的な攻撃を示している可能性があり、連続異常の一例といえます。

異常検知で使用される一般的な手法

従来の異常検知は、統計的、数理的な計算によって手動で行っていましたが、近年のデータの爆発的増加により、人間がそのような作業を行うことはできなくなりました。

最新の異常検知の取り組みでは、MLやAIアルゴリズムを使用して、大量のデータを迅速かつ正確に分析しています。一部のソリューションでは、機械学習のサブセットであるディープラーニング技術も活用されています。これは多層ニューラルネットワークに基づいてデータを処理し、より複雑な異常を特定するものです。

サイバーセキュリティにおける異常検知の重要性

ほとんどの侵害には警告サインがあります。問題は、こうしたシグナルを検知して対処するための適切なツールを組織が有しているかということです。

異常検知システムは、組織が強力なセキュリティポスチャを維持する上で重要な役割を果たします。異常検知システムを他のサイバーセキュリティツールと統合すると、次のことが可能になります。

• 組織内で発生するサイバーセキュリティリスクであるインサイダー脅威、ネットワーク内での侵入者の存在が検知されない巧妙で持続的なサイバー攻撃である持続的標的型攻撃 (APT攻撃) など、検知が困難な脅威や攻撃を含む潜在的なセキュリティインシデントを早期に特定できます。
• 攻撃ライフサイクルの早い段階で攻撃を隔離することで、組織は損失を最小限に抑え、修復時間を短縮できます。
• 重大な情報とシステムの整合性を維持できます。
• 優先度の高い重大なイベントに力を注ぐことにより、リソースを最適化できます。
• 明確で実用的なインサイトを活用して対応活動を開始することで、意思決定を改善できます。

異常検知の手法

異常検知システムは、さまざまな手法に基づいて外れ値のイベントと振る舞いを特定します。以下のチャートでは、4つの主要な異常検知方式、その応用、および具体的な手法について説明します。

異常検知の課題

異常検知に関して、組織は多くの重要な課題に直面する可能性があります。以下に、サイバーセキュリティに関する最も一般的な問題を示します。

精度

人間の振る舞いは動的で複雑かつ変わりやすいため、最先端のアルゴリズムでも何が「正常」かを判断するのは難しい場合があります。モデルの精度は、モデルのトレーニング方法と、トレーニングに使用されるデータセットによって決まります。データの収集または分析のプロセスにおけるギャップ、エラー、ノイズが、次のようなさまざまなパフォーマンス問題を引き起こす可能性があります。

• フォールスポジティブは、無害な外れ値イベントをシステムに警告するため、リソースを浪費し、スタッフを疲労させる一因となります。
• フォールスネガティブは、明らかな脅威をシステムに警告しないことになるため、データ侵害やサイバー攻撃を引き起こし、組織に壊滅的な結果をもたらす可能性があります。
• 非意図的な異常、つまり標準から自然に逸脱するデータポイントは、データセットを歪め、システムパフォーマンスを低下させる可能性があります。

トレーニングデータへの高い依存度

異常検知システムの有効性は、トレーニング対象のデータの質と量に密接に関連しています。データが不十分であったり、偏っていたりすると、脅威の検知がうまくいかず、フォールスポジティブやフォールスネガティブの割合が高くなる可能性があります。

倫理およびプライバシーに関する懸念

異常検知ツールは、ユーザーとエンティティの振る舞いデータを広範囲に収集する必要があります。ただし、このデータの収集には、プライバシーおよび倫理上の懸念が伴う可能性があります。企業は、関連ツールのすべてのデータ収集と操作を確実に関連規制に準拠させる必要があります。また、データが倫理的に使用されることを保証する堅牢なガバナンスモデルを開発する必要もあります。

敵対的AI

AIやMLを活用したシステムやアルゴリズムがサイバーセキュリティ防御に不可欠になると、それら自体が標的になる可能性があります。敵対的AIまたは敵対的機械学習 (ML) は、AI/MLシステムを操作したり誤解させたりすることで、そのパフォーマンスを阻害しようとします。巧妙な攻撃者は、AIのトレーニングプロセスの操作や、システムの脆弱性の悪用を始めています。したがって、組織はこのような攻撃からシステムを保護するための措置を講じる必要があります。

大量のデータ

異常検知に関連するもう一つの課題は、増え続けるデータ量をリアルタイムで分析することです。これは特にサイバーセキュリティに当てはまります。個々のツールによって大量のデータストリームが生成され、それらを統合して分析する必要があるためです。これには大量の計算リソースが必要であり、時間の経過とともにそれを維持および拡張するのが難しくなる可能性があります。この問題に対処するために、分散コンピューティングモデルやデータ削減手法を活用すれば、精度を下げることなく組織の負担を軽減できる可能性があります。

進化する攻撃パターン

サイバー脅威の状況は常に進化しているため、最も効果的なツールでさえ、最新の攻撃パターンや手法を検知できるように適応させる必要があります。未知の脅威（既存のスクリプトに準拠していない脅威）から保護するために、AIとMLを、モデルの更新と再トレーニングに利用する必要があります。また、より広範なサイバーセキュリティツールセットの効果的なコンポーネントとして定着させる必要があります。

異常検知の実装に関するベストプラクティス

異常検知は静的な機能ではありません。その有効性を保つためには、絶え間ないチューニング、モニタリング、トレーニングが必要です。ここでは、組織がサイバーセキュリティ戦略の一環として異常検知ソリューションを実装する際に留意すべきベストプラクティスについて概説します。

•  高品質のデータを使用したモデルのトレーニング。データは、あらゆる異常検知システムの基盤です。これらのソリューションには「ジャンクイン、ジャンクアウト」という古い表現が当てはまります。ツールの有効性を確保するには、高品質で関連性の高いデータでモデルをトレーニングする必要があります。また、ツールがルーチンイベントと潜在的な脅威を区別できるように、さまざまなソースから包括的なデータセットを収集することも重要です。
• 継続的なモニタリングとチューニング。異常検知は動的な機能です。これらのソリューションの有効性と精度を保つためには、継続的な評価と適応、および統合されたフィードバックループが必要です。これは、高度な脅威や新たな脅威、および従来のサイバーセキュリティツールでは検知できないシグネチャレスの未知の脅威から組織を保護する場合に特に重要です。
• 包括的な統合とコラボレーション。異常検知は、幅広いサイバーセキュリティ戦略の一部にすぎません。異常検知ソリューションによって発行されたアラートが確実に処理されるように、これらのツールを、他の検知および対応ツール、SIEMシステム、および脅威インテリジェンスシステムと統合する必要があります。

今後の動向

AIとML、特にディープラーニングやニューラルネットワークを含むAIとMLを異常検知に統合することで、サイバーセキュリティの分野に変革がもたらされました。これらのテクノロジーの継続的な進歩によって、既存の方式では正確な特定が不可能ではないにしても難しい、複雑で巧妙な異常を検知することが可能になります。

将来的には、これらのシステムは自律的に動作できるほど高度になり、外れ値のイベントを検知するだけでなく、それらの問題を解決するように事前定義されたステップを実行できるようになる可能性があります。例えば、システムが異常なデータ転送リクエストを検知した場合、異常検知ツールは、対応するサイバーセキュリティソリューションで、流出のブロック、転送の隔離、あるいはネットワークの隔離さえも行うアクションをトリガーします。

最後に、異常検知は、ブロックチェーンや量子コンピューティングなどの他の高度なテクノロジーと統合される可能性があります。ブロックチェーンの場合、このような統合により、異常とそれに関連するアクションを記録できる不変の台帳が確立されます。量子コンピューティングは、はるかに高速なデータ処理ができるようになる可能性があるため、精度を維持または向上させながら、検知時間を短縮できる可能性があります。

重要な考慮事項

組織によってニーズ、課題、リスク許容度、目標は異なりますが、異常検知ソリューションを選択する際に考慮すべき重要な要素がいくつかあります。

統合

• そのソリューションは、既存のサイバーセキュリティスタックやITインフラストラクチャ内の他のツールとシームレスに統合できるか？
• そのソリューションでは、さまざまなソースセットのデータを効果的にアクセスして分析できるか？

スケーラビリティ

• そのソリューションでは、パフォーマンスを損なうことなく管理できるデータ量に制限があるか？
• そのソリューションはクラウドベースのアーキテクチャを活用するか？（活用すると理論的には、組織はインフラストラクチャに投資することなく容量を追加できる）

精度

• そのソリューションの検知率はどのくらいか？
• フォールスポジティブ/フォールスネガティブの発生率はどれくらいか？

レイテンシー

• そのソリューションでは、リアルタイムで管理できるデータ量に制限があるか？

コスト

• 組織の規模に対応するツールの総所有権コストはどれくらいか？
• ベンダーから、ツールの取得のためのビジネスケースを確立するのに役立つROI計算が提供されているか？

サポート

• ツールの購入またはリースにはどのようなサポートサービスが含まれるか？
• ベンダーはセットアップ、設定、展開、統合を支援してくれるか？
• ツールセットを更新およびアップグレードするプロセスはどのようなものか？

評価

• ベンダーは、このツールに関して業界の賞やアナリストの評価を受けているか？
• 組織には、ツールの有効性とベンダーのサポートサービスを確立するための公開ユーザー事例やリファレンス対応クライアントがあるか？

適切な異常検知ソリューションは組織のニーズと目標によって決まることを覚えておくことが重要です。業界が異なれば、直面する課題も異なり、多くの場合、リスクの程度も異なります。例えば、医療組織、金融サービス組織、および機密的な顧客データに直接アクセスできる企業は、自組織を保護し、政府の規制に準拠するための重要な措置を講じる必要があります。

まとめ

異常検知は、あらゆるサイバーセキュリティ戦略における重要なコンポーネントの1つです。これらの機能を技術スタックに統合することで、組織は潜在的なリスクをより効果的に特定、隔離、修復し、セキュリティイベントの発生確率と影響を減らすことができます。

他のハイテク業界と同様に、異常検知機能が最新の脅威に対して確実に効果を発揮し、組織が強力なセキュリティポスチャを維持できるように、組織が異常検知機能を継続的にモニタリングして適応させることが重要です。