コンピュータのサイバーセキュリティに応用される機械学習技術

人工知能、特にその最も顕著な分野の一つである「機械学習」について多くのことが聞かれます。しかし、人工知能は新しいものではなく、1950年代の終わりにダートマスで科学者たちが集まり、1956年にこの用語を作り出した時から私たちと共にあります。今日、その影響は自動車産業、エネルギー、産業、銀行業界、健康、サイバー防衛、サイバーセキュリティなど、複数のセクターや分野に及んでいます。.

機械学習は、データを分析し、それから学び、時間や推定状況におけるその可能性のある行動を予測するためのモデルやアルゴリズムを作成することを含みます。このため、サイバーセキュリティ業界は、コンピュータセキュリティを向上させるための技術の成長、普及、導入に免疫がありません。機械学習モデルや技術を使用することで、現在の要件に沿ったより適切な対応が可能になります。これらの実践は脅威の分析を改善し、セキュリティインシデントを阻止または防止するのにより効果的であることを約束します。現在、コンピュータサイバーセキュリティにおける人工知能のいくつかの応用例が見られます。例えば、銀行カード詐欺の検出、侵入検出、マルウェアの分類、サービス拒否攻撃の検出などです。いくつか挙げてください。.

インターネットの出現が多くの人々の生活条件に多くの利点と改善をもたらしたことは否定できません。例えば、テレワークとバーチャル教育は、家で働いたり、混沌とした交通や都市の不安定さに巻き込まれることなく勉強したりするためのツールやプラットフォームから恩恵を受けた2つの分野またはセクターです。.

機械学習と電子商取引

インターネットの発展と普及から恩恵を受けたもう一つのセクターは、間違いなく電子商取引です。企業は、利益を改善するために必要な販売量を得ることを可能にする新しいメディアと顧客とのコミュニケーション戦略を作成する必要に迫られています。このような理由から、電子商取引は企業の販売部門にとって非常に貴重なツールです。しかし一方で、インターネットの使用の利点と利点が多くのツール、プラットフォーム、相談サイト、金融および銀行ポータルなどで増加したのと同様に、無分別で悪意のある人々による侵入のリスク、脅威、可能性も増加しています。.

通信の拡大と加速された発展、モバイルおよびインテリジェントデバイスの普及、モノのインターネット（IoT）などの技術の進歩は、その重要性と複雑さを増しています。そこにデータサイエンスが立ち上がり、コンピュータシステムの要件分析メカニズムを最適化し、今日存在するさまざまな種類のセキュリティリスクに対するより良いオプションを生成する選択肢を提供します。.

一方で、コンピュータシステム、ウェブサイト、アプリケーションへの攻撃や侵入はますます頻繁に増加しており、情報の損害や損失を防ぐために自律的なメカニズムを使用することが不可欠です。ビジネスデータ、個人データ、ミッションクリティカルなアプリケーションのセキュリティは、組織があらゆるコストで妥協を避けるべき側面です。ここで、機械学習技術の絶え間ない進化と改善が登場します。これらは、特定のデータ範囲や特定の期間における予測や投影を行うことを目的として、過去または現在のデータを考慮に入れ、行動のパターンや特性に関連して類似点を確立することができます。.

機械学習のおかげで、コンピュータシステムが大量のデータの中で奇妙な行動や異常な状況を特定できることを考慮する必要があります。機械学習は、システムネットワークに侵入しようとする異常な状況を検出します。私たちは2つの可能な解決策を見つけることができます：ヒューリスティックIDSとルールベースIDSです。.

ヒューリスティックIDS

IDSは、ウェブサイトの受信および特集トラフィックを監視し、その行動を記録する侵入検出システムです。これにより、疑わしい活動を検出し、検出時にアラートを生成する監督が可能になります。これらのアラートに基づいて、セキュリティオペレーションセンター（SOC）のアナリストやインシデントレスポンダーが問題を調査し、脅威を修正するための適切な行動を取ることができます。IDSは、さまざまな環境に展開するように設計されています。そして、多くのサイバーセキュリティソリューションと同様に、IDSはホストベースまたはネットワークベースであることができます。では、さまざまなタイプのIDSについて少し学びましょう。.

ホストベースIDS（HIDS）： HIDSは、内部および外部の脅威から保護するために特定のエンドポイントに展開されます。このタイプのIDSは、コンピュータの受信および送信ネットワークトラフィックを監視し、実行中のプロセスを観察し、システムログを検査することができるかもしれません。HIDSの可視性はホストコンピュータに限定されており、意思決定のためのコンテキストが減少しますが、ホストコンピュータの内部コンポーネントに対して深い可視性を持っています。.

ネットワークベースIDS（NIDS）： NIDSは、保護されたネットワーク全体を監視するように設計されています。ネットワークを流れるすべてのトラフィックに対して可視性を持ち、パケットのメタデータと内容に基づいて判断を行います。この広範な視点は、より大きなコンテキストと広範な脅威を検出する能力を提供します。ただし、これらのシステムは、保護するエンドポイントの内部コンポーネントに対する可視性が欠けています。統合された脅威管理ソリューションが推奨され、技術を単一のシステムに統合して、より包括的なセキュリティを提供します。可視性の異なるレベルのため、孤立したHIDSまたはNIDSを実装することは、組織の脅威システムの不完全な保護を提供します。.

IDS検出方法

IDSソリューションは、潜在的な侵入を識別する方法が異なります：

シグネチャ検出 – シグネチャベースの侵入検出システムソリューションは、既知のサイバー脅威の指紋を使用してそれらを識別します。マルウェアやその他の悪意のあるコンテンツが識別されると、シグネチャが生成され、IDSソリューションが受信コンテンツをスキャンするために使用するリストに追加されます。これにより、IDSは既知の悪意のあるコンテンツの検出に基づいてすべてのアラートが生成されるため、誤検知なしで高い脅威検出率を達成できます。ただし、シグネチャベースのIDSは既知のサイバー脅威の検出に限定され、脆弱性の検出はできません。.

異常検出 – 異常ベースの侵入検出システムソリューションは、保護されたシステムの「通常の」行動のモデルを作成します。すべての将来の行動はこのモデルと比較され、異常は潜在的なサイバー脅威としてタグ付けされ、アラートをトリガーします。このアプローチは新しいサイバー脅威を検出することができますが、「通常の」行動の正確なモデルを作成することの難しさは、これらのシステムが誤検知と誤否定のバランスを取らなければならないことを意味します。.

ハイブリッド検出 – ハイブリッドIDSは、シグネチャベースの検出と異常ベースの検出の両方を使用します。これにより、どちらかのシステムを単独で使用した場合よりも低いエラー率でより多くの潜在的な攻撃を検出することができます。.

IDSとファイアウォール

IDSシステムとファイアウォールは、エンドポイントまたはネットワークを保護するために実装できるサイバーセキュリティソリューションです。ただし、それらの目的は大きく異なります。IDSは、潜在的なサイバー脅威を検出し、アラートを生成する受動的な監視デバイスであり、インシデントレスポンスSOCのアナリストが潜在的なインシデントを調査し対応することを可能にします。ただし、エンドポイントまたはネットワークに対する絶対的な保護は提供しません。一方、ファイアウォールは、ネットワークパケットのメタデータを分析し、事前に定義されたルールに基づいてトラフィックを許可またはブロックする保護システムとして設計されており、特定の種類のトラフィックやプロトコルが通過できない制限を作成します。.

言い換えれば、ファイアウォールは、侵入防止システム（IPS）のようなアクティブな保護デバイスです。IPSは、IDSのようですが、単にアラートを上げるのではなく、識別されたサイバー脅威を積極的にブロックします。IDSはファイアウォールの機能を補完し、多くの次世代ファイアウォール（NGFW）はIDS/IPS機能を内蔵しており、事前定義されたフィルタリングルールを適用し、より洗練されたサイバー脅威を検出し対応することができます（IDS/IPS）。.

ルールベースIDS

これは、パターンとの一致から始まるソリューションであり、システムがそれらを自動的に検出し、警告を発することができるようにします。いくつかの例としては、Snort、Suricata、Ossec、Samhain、Bro、Kismetなどがあります。これらのシステムはすべて、事前に設定されたルールに基づいており、自動的かつ監視なしで動作するようにする必要があります。また、既知の脅威に関するデータベースが更新される限り、それらは効果的であることを忘れないでください。.

IDSソリューションの選び方

IDSシステムは、あらゆる組織のサイバーセキュリティ実装に存在しなければならないコンポーネントです。単純なファイアウォールはネットワークセキュリティの基盤を提供しますが、多くの高度なサイバー脅威は見逃される可能性があります。IDSは、サイバー防御の追加のラインを追加し、サイバー攻撃者が組織のネットワークに検出されずにアクセスすることを困難にします。.

IDSを選択する際には、展開シナリオを考慮することが重要です。場合によっては、侵入検出システムがその仕事に最適なオプションであるかもしれませんが、他の場合には、IPSの組み込み保護がより良いオプションであるかもしれません。IDS/IPS機能を統合したNGFWは、統合されたソリューションを提供し、サイバー脅威の検出とセキュリティ管理を簡素化します。.

結論

サイバー攻撃は止まらず、企業は情報の完全性と可用性、そしてシステム全体の正しい機能を保証するために、さまざまなセキュリティ対策を実施しなければなりません。これらのセキュリティ対策の中で採用できるものには、侵入検出システムがあります。多くの場合、企業が使用するセキュリティツールの中には、IDSとファイアウォールを組み合わせた混合システムが見られます。.

両方のシステムがネットワークとデバイスを監視し、異常なサイバー脅威を分析する一方で、IDSとIPSの主な違いは、後者が攻撃をブロックできることにあります。IPSは予防的かつ積極的な役割を果たします。.

ファイアウォールに関しては、すべてのトラフィックをブロックし、その設定で許可されたトラフィックやデータパケットのみをフィルタリングします。IDSはその逆を行い、すべてのトラフィックを通過させ、悪意のあるデータや活動をスキャンします。したがって、IDSとファイアウォールは協力して機能する必要があります。ファイアウォールが許可されたトラフィックをフィルタリングし、IDSがそれを脅威や異常のために分析します。.