Azure Security Center の Machine Learning の紹介

このポストは、1 月 28 日に投稿された Machine Learning in Azure Security Center の翻訳です。

マイクロソフトでは、月に 3,000 憶件のユーザー認証を分析し、2,000 憶件の電子メールのスパムとマルウェアをチェックしています。また、各種のクラウド インフラストラクチャやプラットフォーム、そこで行われているアクティビティを詳しく把握しています。そのきめ細かさは、オンプレミス環境のそれとは比べ物になりません。

これは本当に大変なことなのですが、それほど多くのデータを解釈し、サイバー セキュリティに活用するために、どのようなことを行っているか皆様はご存じでしょうか?  

Azure Security Center (英語) では、マイクロソフトおよびパートナーのソリューションが扱う大量のデータを深層まで分析し、お客様のセキュリティ向上を後押ししています。また、こうしたデータを無駄なく活用するために、データ サイエンスを広く導入しています。特に Machine Learning を重視し、脅威の侵入防止や検出のほか、最終的には調査にも利用します。

大まかに言うと、Machine Learning は次の 2 つの目的で使用されています。

  1. 次世代攻撃の検出
  2. セキュリティ管理の省力化

次世代攻撃の検出

攻撃者の攻撃は自動化が進み、その手口はますます巧妙になっています。攻撃者もまた、データ サイエンスを活用しているのです。攻撃者は保護対策のリバース エンジニアリングを行い、振る舞いの変異に対応したシステムを構築しています。また、関係のない通信を装って攻撃を仕掛け、失敗からすぐに学習します。Machine Learning は、こうした攻撃の進化への対応に効果を発揮します。

ルール ベースの検出を強化

たとえば、「X 回ログインに失敗したら、アカウントをロックする」というセキュリティ ルールを作成するとしましょう。開発者用のマシンであれば、X は小さい値にするべきですが、アクセス頻度の高いサーバーでは大きい値にするのが適切です。Machine Learning を使用すれば、それぞれのリソースで許容すべき最適な X の値を自動的に割り出すことができるため、各リソース専用のカスタム分析を用意する必要がありません。

教師あり Machine Learning モデル

マイクロソフトでは、悪意ある例と無害な例を示すことによって「教師あり Machine Learning モデル」を鍛えています。例が示されると、モデルは与えられた例を generalize し、アルゴリズムに反映します。しかしこうした例は、実際には見つけることも分析することも非常に困難です。マイクロソフトには世界中の脅威に関する膨大な情報とセキュリティの専門技術があるため、豊富な分析例を活用し、きわめて精度の高いモデルを開発することができます。

Machine Learning でターゲットの変化にすばやく適応

脅威がブロックされると、攻撃者は振る舞いをわずかに変化させてレーダーをくぐり抜けようとします。マイクロソフトの Machine Learning モデルは、こうした変化に自動的に対応します。

例がなくても機能する「教師なし Machine Learning モデル」

たとえば、あるデータベースにいつも特定のネットワークが使われていたとします。このパターンと異なる現象が検知されると、疑わしいアクティビティとして、Azure Security Center によってフラグが設定されます。

セキュリティ対策の省力化

セキュリティ面で有効な意思決定を下すのは、簡単なことではありません。なぜならそこには、セキュリティに関する豊富な経験と専門知識が不可欠であるためです。大規模な企業であれば社内にセキュリティに詳しい専門家がいるかもしれませんが、多くの組織ではそうはいきません。マイクロソフトでは Machine Learning を使用することで、お客様がセキュリティ上の意思決定を下す際に、他の組織の知恵を活用できるようにしています。

実行可能な推奨事項のご提案

マイクロソフトは Machine Learning モデルを通じて、ニーズ、デプロイ環境、セキュリティ イベントなどが似た参照グループとお客様の状況を比較し、すぐに実行に移せる推奨事項をご提案できるようにしています。その際、プライバシーには十分配慮します。私たちの目的は、お客様の今のセキュリティ パフォーマンスとお客様が抱える課題を解決するための対処策を明らかにすることです。

ノイズの軽減

セキュリティ アプライアンスはノイズが多いことで知られています。不要な情報の中から重要な通知を見分けるには、専門知識が必要な場合もあります。Azure では複数のメカニズムを採用することで、不要な情報をできるだけ自動で削除し、特別な知識がない方でもセキュリティの状況を把握しやすくなるよう努めています。

 

私たちは Machine Learning の可能性に大いに期待しています。現在はもちろん、将来的にモデルのレベルアップを続けていくことでさらに Machine Learning は Azure 内のリソースのセキュリティ向上に貢献してくれるに違いありません。ここで説明した手法に興味を持たれた方は、ぜひ Azure Security Center を実際に使ってみてください。Azure ポータルで [参照] をクリックし、「security」と入力するとアクセスできます。