異常検知とは？ Wallarmによる解説

異常の定義

「異常検知とは何か」という問いに十分答えるため、異常の説明が必要です。以下に、いくつかの簡単な説明を示します。

• 通常状態から大きく逸脱する情報は、統計的異常とみなされます。 
• あらかじめ設定されたデータベースから意図せずデータが逸脱する場合、システムの欠陥、侵入、または最近発見されたセキュリティの脆弱性を示す可能性があります。 
• データアップロードの不足、予期しないデータ削除、またはデータ挿入の失敗など、システム内の不規則または重複したデータは、異常なデータに含まれます。

データの異常は必ずしも問題を示すわけではありませんが、なぜ逸脱が起こったのか、またその異常が正当な指摘であるかを調べる価値があります。

‍

異常検知

統計的な逸脱は、予想された傾向からの突発的な変化を示します。異常は、物事が正しく動作していないサインとして、非合理的な行動を表します。異常そのものが良いか悪いかという問題ではなく、企業は即時にどのような対応が必要か判断するため、これを把握する必要があります。

企業は毎日何百万ものデータを生み出していますが、重要なデータの多くは見逃されたり無視されたりしています。プロセスをシンプルにし、手順を改善してより予測可能な未来を作るため、異常検知は企業でますます注目されています。 

サイバーセキュリティの専門家によると、異常検知は機械学習を使い、データセットで劇的な変化を見つけるデータ定量計測の監視機能です。一度、ITインフラのデータ、接続、アプリから期待すべき指標が定まると、システムは定期的に入力・出力を確認し、基準と合致しているか点検します。

システムが既定のパターンから大きく逸脱するデータを検知し、管理者に通知すると、ユーザセッションが停止されたり、システムが中断されたりする場合があります。アラート機能を利用することで、正常な動作を監視し、セキュリティ事象の発生を防ぎ、セキュリティリスクの診断時間（MTTD）を短縮できます。

‍

異常検知手法

ネットワークの異常検知や侵入・悪用監視において、興味深い現象は必ずしも予期されるものではありません。たとえば、活動の急激な増加は重要ですが、多くの標準的な統計的異常検知手法では拾いきれないことがあります。異常検知の手法は以下の3つに分類されますが、最適な手法は基本的にデータセット中のタグ次第です。

• 教師あり異常検知

セグメンテーション手法を効果的に行うには、データベースに「通常」と「異常」の全ラベルが含まれている必要があります。そのため、検知器の学習にも利用されます。これは従来の物体認識分類に似ていますが、検知アルゴリズムではクラス間に大きな乖離が生じるため、すべての定量的分類手法がIDSに適しているわけではありません。

• 半教師あり異常検知

半教師あり異常検知のアルゴリズムは、通常の分類されたトレーニングセットを用いて通常の行動をモデル化します。その後、各データがそのモデルから生成される可能性を確認し、異常を探します。

• 教師なし異常検知

教師なしアルゴリズムは、予め定められた通常の事例ではなく、各データの固有の性質を活かしてラベルのない実験データから通常の行動の基盤を作り上げます。これにより、これまで検出できなかった複雑な接続問題などの異常も発見可能になります。

異常検知のユースケース 

異常検知の主要なユースケースには、ログ、IoTを含む大規模データシステム、産業用や監視システム、スパム検出、脆弱性スキャンツール、医療用侵入監視ツール、ソーシャルプラットフォーム、ビデオ監視支援、そして一般的な侵入システムでの異常検出が挙げられます。

ネットワーク上の悪意ある活動を検出・停止するために設計されたシステムはIDSと呼ばれ、異常に基づくIDSとして分類されます。ネットワークインフラ全体に拡張可能なホスト型侵入防止システムも、一台のマシンに設置可能なIDSであり、これをネットワークIDSと呼びます。

このような定期検査は、異常検知ソリューションが提供すべき目的に沿って実施され、ネットワーク行動異常検知とも呼ばれます。多くのIDSは、異常検知またはシグネチャベースの手法に依存していますが、シグネチャベースのIDSは特定の攻撃を捉えるのが難しいため、異常検知手法がより多く採用されています。

民間企業や政府にとって、銀行取引（カード決済、税務申告、保険請求（自動車、医療など））、通信などでの詐欺は深刻な課題です。サイバー犯罪に対抗するためには、即時データを用いて状況の把握、識別、対策を講じる必要があります。

もう一つの重要な課題はマルウェア検知で、特徴抽出とグルーピングという工程に分かれることが多いです。悪意ある行動の柔軟性に加え、情報量の多さが大きな障害となります。

医療写真や文書中の異常を見つけることで、専門家はより正確な診断を行えます。これらのツールがなければ、極めて偏った大量のデータからパターンを把握するのは困難です。このため、大量のデータ処理が求められるこの分野には人工知能が適しています。

ソーシャルネットワークの管理者は、ネットワーク内の異常を検出することで、不正利用者、サイバーブルーイング、詐欺師、デマ拡散者、スパマーなどを早期に見つけ、企業や社会に悪影響が及ぶ前に対応できます。

トレンドや過去の事例から欠点を再現することで、データベースの異常検知は、何が原因で問題が発生しているのかを企業が把握する助けとなります。

IoTからのデータを検証することで、センサー、天気予報、RFIDタグなど他のIT部品のデータ精度が担保されます。また、危機が起こる前に不正や非倫理的な行動を検出するためにも役立ちます。これは、高エネルギーシステム、発電所、風力発電機、ディスクドライブなど、過度の負荷がかかる産業システムにも当てはまります。

これら以外にも、異常検知は以下の分野で利用されています：

• 軍事用監視：画像分類
• サイバー空間での侵入検知
• アルツハイマー病や癌腫のためのMRI検査
• 安全対策としての故障検出
• 宇宙船センサーシステム：問題部品の診断
• ハッキング防止：異常なネットワークトラフィックの検出
• 猛暑や寒波の影響

‍

異常検知と機械学習

以下は、現在企業で広く採用されている機械学習手法ですが、全てを網羅しているわけではありません。

• 密度ベース

k-NN法という基本で非パラメトリック、かつ監視型のML手法を用い、ジオメトリック、ハミング、ミンコフスキー距離などの距離尺度に基づいてデータを分類します。

この手法は、通常データが特定の領域に集中して存在し、異常はその外に現れるという前提に基づいています。つまり、他のデータが付随していれば、そのデータは標準とみなされます。

そのため、各データ間の距離が類似性の指標となります。

• クラスタリングベース

クラスタリングによる外れ値検知は、教師なし機械学習手法の中でも特に人気があります。複雑なデータセット内で、K-means法を用いて類似したデータのグループを形成し、どのグループにも属さないものを異常と判断します。

• サポートベクターマシンベース 

サポートベクターマシンは、他の多くの手法よりも精密な境界を設定できるため、自律型異常検知でよく使用されます。境界外のサンプルは外れ値とみなされ、境界内のデータは通常と分類されます。

関連データベースの規模、複雑さ、性質に応じ、さまざまな手法・戦略を採用できます。構造化されていない、自動化された、半教師ありの異常検知においても、利用するテストとトレーニングデータが重要な要素となります。

‍

Wallarmによる異常やその他のサイバー脅威からの防御

行動に基づく異常検知で、サイバー攻撃リスクの即時識別が可能になります。不審なユーザー行動を監視し、企業を危険から守ります。通常のユーザー行動から逸脱した動きが検出され、サイバーネットワークの安全性の確保に寄与します。不審な行動を認識することで、データ流出や知的財産（IP）の窃盗を防ぐことができます。

ユーザー行動システムは、利用者が不適切な行動をとった際に即座に検出し、制限をかけるか管理者への通報など適切な措置を講じます。

また、異常な行動が発生しやすい状況を把握・予測できます。攻撃者は認証情報の入手は容易ですが、盗んだ情報の持ち主になりすますのは非常に困難です。下記のツールを用いれば、サイトを異常やその他のサイバー脅威から完全に守ることが可能です：

1. API Security Platform 

サイトや機密の業務データを脅威から守りたいなら、WallarmのAPI Security Platformが有力です。API保護、次世代WAF、自動インシデント管理、API Discoverを備え、Webページ、アプリ、APIの継続的な統合セキュリティを自動化します。 

WebアプリやクラウドネイティブなAPIのセキュリティ対策を求める場合、シンプルな管理ルール設定と低い誤検知率で、Wallarmはウェブサイト、API、マイクロサービスをOWASP Top-10の脅威、マルウェア、アプリ悪用から守ります。

APIの悪用を遮断

• アプリ層（L7）のDoS（サービス拒否）攻撃を遮断
• ブラウザ、解析ツール、クローラーや自動記入アルゴリズムから守る

ATOに対抗

• 分散型アーキテクチャでのセキュリティを提供
• 設定可能なルールで情報の蓄積やアカウント乗っ取り（ATO）を防止

APIを自動発見

• API全体の透明性を提供
• 既存および新規APIを監視
• スキーマをダウンロードせずに仕様外のコードを検出

クラウドネイティブなNG-WAFを提供

• Service Meshの設計やKubernetesシステムをネイティブにサポート
• AWS、GCP、Azure、ハイブリッド環境で簡単にクラウド導入可能

2. GoTestWAF

ウェブアプリのファイアウォールを試したことがないなら、ハッカーに先んじて速やかにテストすべきです。WallarmのGoTestWAFは、WAFの性能評価に優れたセキュリティAPIツールの一つです。テストすることで、発見された脅威や脆弱性の無料レポートが得られます。 

GoTestWAFは、XMLRPC、SOAPおよびRESTなどのシンプルな定型ペイロードを用いて各APIに合わせたサイバー攻撃シナリオを作成します。これを対象プログラムに送り、応答を評価してPDFまたはターミナル出力として結果を提示します。

明確な検知結果を示し、現在のアプリセキュリティ体制が捉えた脅威と、攻撃者が依然としてアプリに及ぼす可能性を詳細に明らかにします。このツールは、WAF、RASP、WAAPを対象に、ソフトウェアおよびAPIの脅威を評価します。

GoTestWAFツールを選ぶ理由

• 現在のアプリセキュリティ体制で検出可能な脅威を一覧化
• どのWAF/WAAPが攻撃検知に秀でているかを検証
• WAFの実力について正確なフィードバックを取得
• サイバー犯罪者が依然としてアプリに侵入する方法を明らかに

‍

結論

企業はこれまで以上に多くのデータを収集しており、この傾向は今後も続くと予想されます。設備の故障、改ざん、エラーなどの大規模な企業災害を防ぐため、パターンを把握し、何よりも異常を認識することが必要です。

データ傾向の異常を見抜くことで、実行可能な洞察を得て効率を向上させ、デジタル市場での競争力を高めることができます。機械学習モデルとデータサイエンス技術を用い、予測される動向を定義し、新たなデータを追跡、異常を検知することで、よりよい業績に結びつけることができます。

異常検知はデータの可視性と透明性を高め、業務プロセスを最適化します。必須の異常情報を即時に自動通知することで、問題を把握し、重要かつタイムリーな意思決定を促進します。また、運用基準や長期目標を決定するデータのパターンを示してくれます。

情報の活用性を高めるための重要なツールとして、諜報、デバッグ、広告、臨床手法にかかわらず、機械学習・AIによる異常検知は欠かせません。

最後に、情報セキュリティや多様な侵入からの防御がますます注目されています。IoT、コンピュータシステムの急増、そして個人や企業が利用するその他多くの関連アプリがその背景にあります。サイバーシステムの安全性を確保するため、異常検知と先進解析とのギャップを埋める必要があります。