教師あり学習の活用：Threat Stack独自のデータ ラベル付けでセキュリティを強化

急に光が差し込んで「なるほど」と思う瞬間がありますか。ほとんどの人がこの瞬間を経験しているでしょう。たいていの場合それは、何かを考えすぎているか、結論まで論理的に筋道をたどっていないことが原因です。

私はよく、ある程度知っている話題について、専門家や、私よりずっと先を歩いてきた「第一人者」（または少なくとも賢人）と話しているときに、そのような瞬間があります。最近もそのような体験があり、深い学びを得ることができました。

クラウドネイティブ セキュリティの流れ

舞台は整いました。F5の一員であるThreat Stackは、クラウドネイティブ セキュリティにおいて実績があります。F5は、アプリケーションとAPIの保護に主眼を置いている、一方、Threat Stackは、こうしたアプリケーションが実行されるクラウド インフラストラクチャを保護します。「アプリケーションとAPIの安全性は、それらが実行されるインフラストラクチャに依存する」という概念が、F5のDNAに組み込まれています。Threat Stackのエンジニアや調査担当者は、お客様のインフラストラクチャとシステムをさらに安全にするために、革新的なソリューションに常に取り組んでいます。

Threat Stackのクラウド セキュリティ プロセスの大部分は、「ルール」の作成と運用です。ルールは、拡大し続ける初期のトリアージ フィルタだと考えることができ、文字通り、何十億ものデータ ポイントを毎日取得して並べ替え、「問題ない」と教わったものは除外し、「問題がある」と教わったものはユーザーへ警告します。

Threat Stackではまず、クラウドネイティブの運用環境においてルールで「問題ない」と判断されるものを探し出して除外し、さらに脅威に焦点を当て、警告するためのルールを作成することから始めます。またこのプロセスでは、データの並べ替えと分類も行います。このルールの広範なライブラリができることで、Threat Stackはお客様に既知の脅威を知らせることができるようになりました。

しかし、それだけでは不十分なことはわかっていたので、F5は教師なし学習を追加しました。この機能では、ルールの範囲外のものがあると、「このイベントについては教わっていないので、確認するよう警告します」という内容の異常検知アラートがトリガーされます。提供されたデータ セット構造を調べて推論しますが、「良い」または「悪い」の判断はせず、「新しく、これまでとは異なる」ということに注目します。つまり、人間の介入なしに、ただ異常を検知するのです。

ご想像のとおり、何十億ものデータ ポイントをトリアージしても、組織は、何千もの異常と潜在的なクラウド セキュリティの脆弱性を選別しなければなりません。あるイベントが、本当にセキュリティ チームが注意を払う必要があるものなのかどうか。その選別は、多くの労力とリソースを要するものになりかねません。DevSecOpsの担当者は、大量の潜在的な問題を分析して対処しなければならないことを指す「Alert Fatigue（アラート疲れ）」という造語が創作された程です。

どちらのソリューションも、そしてそれらを組み合わせた場合も、誤検知を減らすことを目指しています。しかしそれでは、極めて高いリスクをはらむ「正常」な動作を見落とす可能性があります。Threat Stackは、異常検知だけでもルールだけでも十分ではないと判断しました。

異常検知では十分でない

教師なし学習は、ルールと組み合わせたとしても、やはり異常検知結果の提供を重視します。教師なし学習によって問題の一部は解決されますが、リスクを孕む、いわゆる「正常」な動作は無視され、システムが脆弱になります。

Threat Stackのエンジニアはこの問題に直面し、次のように考えました。「何かもっと良い方法はないだろうか。全てのシステムの長所を組み合わせた何か」。彼らは「動作が正常に見えても実際は悪意がある場合、その脅威をどのようにして識別するか」という課題の答えを探しました。その最後のステップが教師あり機械学習です。教師あり学習（SL）はクラウドネイティブ セキュリティでわずかに使用されていますが、SLではデータをラベル付け、グループ化、分類できないことが問題でした。そのために、クラウドネイティブ セキュリティの提供において、その可能性を十分に発揮できていません。今のところは。

深層学習についての深層学習

教師あり学習、あるいは「深層学習」について、私は少なくとも今日までは、その仕組みを理解している程度でした。そして、Threat Stackの製品およびエンジニアリング担当RVPであるChris Fordと話していて、「なるほど」と思う瞬間が訪れたのです。

Threat Stackのエンジニア チームはいつも、Threat Stackのセキュリティをさらに強力にする方法を模索しています。いくつかの潜在的な脅威や誤検知を除外するだけでは十分ではありません。Chrisとそのチームのメンバーは、クラウドネイティブ セキュリティの分野にはもっと多くの可能性、機会、成長を見込めることを理解していました。

Chrisは、教師あり学習には一見、欠点があるように見えると指摘しました。教師あり学習は、データの分類、整理、ラベル付け、グループ化を行いません。教師あり学習は、データの分類や結果の正確な予測を行うアルゴリズムを学習させるために、ラベル付けされたデータセットを使用するように定義されており、そのことに制限されていました。

教師なし学習モデルと異なり、教師あり学習は、それ自体でデータのクラスタリングや分類を行うことができません。また、うまく機能し、その可能性を最大限に発揮し、クラウドネイティブ セキュリティで深層学習を本当の意味で進化させるには、ISが整理してラベル付けしたデータを扱う必要があります。

そうなると、教師あり学習の長所は何だろうと私は考えました。ただそこに置かれ、分類されていないデータを実行し、クランチングを行い、数十億ビットに及ぶ未整理のカオスを理解しようとしているのでしょうか。

誰もが教師あり学習を使うわけではないのはなぜでしょうか。答えは簡単です。
o SLは大量のデータを必要とします（Threat Stackは合格です。１日に600億以上のデータを処理します。）
o SLはラベル付けされたデータを必要とします（これも合格です。ルールが行います。）
o SLは大量のラベル付けされたデータを必要とします（同上。約7年間、Threat Stackはデータの収集、分類、ラベル付けを行ってきました。）

ルールが教師あり学習にデータをフィードする：なるほど！

ここで、「なるほど」と思いました。Threat Stackが何年間も実行してきたルールを思い出してください。これらのルールはそれぞれ、追加され、拡張され、拡大され、深化されています。その結果として現在、Threat Stackは、企業のクラウドネイティブ セキュリティ ルールの最も包括的なライブラリの1つを備えています。

Chrisの説明によると、ルール データ分析プロセスの一部では、何十億ビットものデータがルールを通過する際に、増え続け、さらに絞り込まれているルール プロセスによってデータはラベル付けされ、適切に定義されたグループに分類されます。Threat Stackは、何年もこの分類を行ってきました。その結果、データの分析と分類が深化し、クラウド セキュリティの分野では業界をけん引しています。

圧倒的なカオスからの脱却：データ クランチング、順序付け、教師あり深層学習

Threat Stackは、関連するすべての脅威を明らかにするための理想的な方法を見つけました。侵入検知技術を組み合わせる必要があることに気付いたのです。それが「Detection-In-Depth」です。どの侵入検知技術もそれ自体は必要ですが、それだけでは不十分です。Threat Stackは、教師あり学習を使用して動作検知を行い、そこでは動作を予測して、高効率の脅威検知を行います。これが、クラウド セキュリティで教師あり学習を活用する新しい方法です。

最も重要なことは、Threat Stackの拡大し続けるルール セットがそのデータを分類し、分類されたデータがラベル付けされると、教師あり機械学習によってより多くのことができるようになることです。それは異常を単に示して警告するだけではありません。

この教師あり学習機能は、データ（とくにその分類、ラベル付け、整理、優先順位付けの状況）から学習して、実際のリスクを表すコンテキスト付きの高効率のアラートを作成することができます。そしてさらに学習し、予測を行うモデルを作成できます。こうした高効率のアラートに基づいて、組織のお客様、クライアント、運用データおよびプロセスを保護し、セキュリティを確保するために、迅速に対処することができます。

Threat Stackのすべての学習機能とデータをすぐに利用できるだけでなく、ThreatMLによってお客様は、運用の負担を最小限に抑えながら、環境に合わせて高度に調整されたセキュリティ システムを利用することができます。これによりThreat Stackのお客様は、調査と学習を行いたいモデルに注力することができます。

機械学習、特に教師あり学習では、高効率のアラートが提供されることで、作業（特に人的な労力）が減り、運用効率が上がり、安全な環境の構築に集中的かつ積極的に取り組めるようになることが期待されます。教師あり学習では、その学習が進むほど、ルールの焦点が絞り込まれて明確になり、アラートの効果が高まります。「アラート疲れ」はもうありません。

このように、教師あり学習は、クラウドネイティブ セキュリティを継続的なプロセス分析/継続的なプロセス改善に導き、運用上の負担（コスト、オーバーヘッド、人員、リソース、時間）を軽減します。また、Threat Stackはこのソリューションを、透明性を保ちながら、複数のプラットフォームにわたって機能するように構築しているため、Threat Stackとお客様はどちらも、継続的に学習し、適応していくことができます。隠れた「ブラック ボックス」は存在せず、Threat Stackはその仕組みを見えるようにしています。実際、お客様には、何が起こっているか、なぜアラートが生成されたのかを確認するために、「ボックスの中を見る」ことをお勧めしています。こうすることで、お客様はそれぞれのセキュリティ体制に適応し、これを改善していくことができます。

お客様からThreat Stackに寄せられたセキュリティのニーズ

Threat Stackの成長と進化は常に、お客様を中心としており、それは教師あり学習でも変わりません。私たちは、お客様の課題、特に脆弱性と脅威検知に関する課題に耳を傾けてきました。市販されているさまざまなソリューションは、情報、つまりアラートが多すぎるか、アラートに恣意的な制限があってアラートや脆弱性、脅威を見逃してしまうかのどちらかでした。

その解決策は、両方の問題を解消し、かつ負担のないシステムを構築することです。その結果として考え出された「Detection-in-Depth」は、既知の普遍的な脅威や脆弱性と、未知のまだ発見されていない（しかし予測可能な）ものをどちらも網羅しています。両方のアプローチを併用することで、組織は必要なものを見つけることができ、かつクラウド セキュリティ チームと組織の負担が軽減されます。

クラウドネイティブ セキュリティにおける教師あり機械学習の役割の拡大に関するウェビナー

Threat Stackのルールと教師あり機械学習の組み合わせが、脅威検知とクラウドネイティブ インフラストラクチャ セキュリティの新たな一歩となることについては、Chris Fordが出演するDataBreachToday.comのウェビナー「Machine Learning Done Right：高効率のアラートでアプリケーション インフラストラクチャを保護する」をご覧ください。