検知とAIの関係性について
- カテゴリ:
- Nonセキュリティエンジニア向け
- セキュリティ入門
この内容は表に情報がなくてかけなかったのですがやっとかけます;
まずは検知そのものの話。
ウイルスとかマルウェア、ユーザの振る舞い検知(人為的な悪さ検知)の流行は
今まで
単純に「ブラックリストに引っかかったものを検知する」
という方向性だったのですが、
1)ホワイトリスト形式でまず一致するものを除外する
2)そのなかからブラックリストに載っているものは即時報告する
3)載っていないものはそれはそれで新攻撃の可能性ありと検知し人間の判断を仰ぎ学習する
という順番で検知するのが主流となってきています。
ただし、
・ホワイトリスト:提供された情報+人により学習したもの
・ブラックリスト:提供された情報
となります。
次に「AI」について。
実は、「AI」と一言で言っても言いたいことは実は企業毎(製品により)に異なっていて
・提供した情報とのマッチング精度のこと
・人により学習したものが入るのでAIとか入る(より人間が判断しやすいようにする)こと
・異常を検知した後の挙動(ブロックするかネットワークを遮断するか)を判断して行うこと
のいずれかをさしています。
AIだからといって全自動で何かをされるということではありません。
つまり検知にAIとかビックデータと言っても、
結局は誰かが担当として何かしらのことをしなければならないので
手数は省けても全自動化ですべてできて楽できると思ってはならないということです。
つまり検知にAIとかビックデータと言っても、
結局は誰かが担当として何かしらのことをしなければならないので
手数は省けても全自動化ですべてできて楽できると思ってはならないということです。