ネットワークセキュリティにおける機械学習の光と闇：攻撃側と防御側の両方が利用

機械学習による予測は、ネットワークセキュリティ戦略において役立つ。しかし同時に、ネットワークセキュリティを脅かす勢力も機械学習の恩恵を受けられる。

　機械学習はネットワークセキュリティ製品の重要な構成要素になっているが、その恩恵には二面性がある。セキュリティ対策に利用できると同時に、残念ながらハッカーも機械学習を利用できる。

　ネットワークセキュリティにおける機械学習は、正当な動作と攻撃の両方について特徴をルール化する。このルールを基に、正当なネットワークやアプリケーションの動作と攻撃を区別する。一方攻撃者は、機械学習を使用してネットワーク防御手法を調査し、判別ルールをかいくぐる方法を見つけ出し、攻撃を実行する。

機械学習の善用と悪用

　ネットワークセキュリティにおける機械学習のメリットの一つは、ゼロデイ攻撃（未知のセキュリティホールを利用した攻撃）を識別できることだ。シグネチャベースの新しい攻撃を識別して分析するには時間がかかるが、機械学習を使えば正当な操作と攻撃を区別するルールを活用できる。そのルールによる判別に基づいて新しい形式のマルウェアを検出できるため、過去の観察結果や分析結果を参照する必要はない。

　組織が機械学習ソフトウェアを使うための準備方法は幾つかある。ソフトウェアに「攻撃」とラベル付けした一連の入力と、それ以外の「正当な動作」としてラベル付けされた入力をあらかじめ与える。その後、攻撃と正当な動作を区別する特徴群を分析することによって学習させる。

機械学習でデータ分析者が実施すべきプロセス《クリックで拡大》

　分かりやすい例としてスパムフィルターがある。管理者はスパムフィルターを使い、スパムメール中に出現する典型的な単語のリストを作成する。「スパム」として識別されたメールと「正当なメール」として識別されたメールのセットを機械学習ソフトウェアに提供するというアプローチもある。機械学習ソフトウェアは、両方のメールに出現した単語に基づいて一連のルールを作成できる。ソフトウェアの動作中に、スパムとの関連性が高い単語やメールアドレスが見つかると、それらに基づいて継続的にルールを拡張する。

　機械学習ソフトウェアは、ネットワークやアプリケーションで観察された動作に基づいて一連のルールを構築することもできる。例えばトランザクションベースのアプリケーションを監視し、重要なデータベースにアクセスする方法を判別するルールを構築できる。データベースへのアクセス試行の繰り返しなど、通常のパターンと異なる動作はブロックされる。

　残念ながら、ネットワークセキュリティにおける機械学習の手法に関する学術的および業界的な情報は攻撃者に丸見えだ。攻撃者は機械学習を利用してネットワーク防御手法を繰り返し調べることにより、マルウェア対策ソフトウェアが攻撃を識別するために使用するルールを特定できる。

　攻撃者は、攻撃を成功させることに価値を見いだすため、防御を突破する方法の開発をやめないだろう。同様に、研究者も防御の改善を継続する必要がある。