株式会社セキュアスカイ・テクノロジー(東京都千代田区 代表取締役 大木 元 以下、SST)がサービス提供を、株式会社ビットフォレスト(東京都千代田区 代表取締役 高尾 都季一 以下、ビットフォレスト)が技術提供を行うクラウド型WAFサービス「Scutum(スキュータム)」は、2021年8月より、従来の「アノマリ検知機能」に新たに独自開発した『Thinning(シニング)』手法を追加することで、Webサイトへの攻撃に対する検知精度の大幅向上を実現したことを発表します。
Scutumでは、「Webセキュリティ専門家によるリアルな判断に近い高度な攻撃検知能力を持ちながらも、正常通信の誤検知(*1)が極めて少ない。ユーザーが手放しで安心して利用できるWAF」をサービス開始以来一貫して目指し、これを実現するために2つの主要なデータサイエンス技術を活用してきました。
その1.「ベイジアンネットワーク」の導入
2013年よりAIの一分野である確率的グラフィカルモデルの一種「ベイジアンネットワーク」(*2)を導入。旧タイプのシグネチャ型WAFでは通常対応できないような、高度に形を変えた攻撃バリエーションについても幅広く検知することが可能となりました。また、新たな脆弱性や攻撃手法が確認された時点で既に検知が可能となっている「ゼロデイ防御」も多数実現しています(*3)。
その2.「アノマリ検知(=異常検知)機能」の導入
2017年には正常通信の中に含まれる異常な通信を検出する「アノマリ検知(=異常検知)機能」(*4)を導入。機械学習によりあらかじめ把握したサイトごとの正常通信特性を元に異常アクセスを検出し、これを「ベイジアンネットワーク」と組み合わせることで誤検知の大幅軽減に成功しました。
● 新たな技術を導入 『Thinning(シニング)』手法とは?
今回は、このうち「アノマリ検知機能」について、学習段階におけるScutum独自の選別手法であるThinning手法を追加することで、大幅な攻撃検知精度の向上を確認することができました。
Thinning手法は、Scutumが使用している「Isolation Forest」と呼ばれる異常検知アルゴリズムにおいて、ランダムに生成される個々の「木」(=分類器)をあらかじめ余分に用意し、その中から導入Webサイトごとの通信データを判定する上でより適した木々を事前に選別して残しておく方法です。学習時に本工程を挟むことにより、ScutumがWebサイトへの通信内容を評価する際にはより的確に通信の異常性を検出できるようになります。
●『Thinning』手法の検証結果
導入前の検証として、Scutum導入サイトから5サイトを無作為に選択し、各サイトの直近800万件の通信についてThinning手法「あり」「なし」それぞれで抽出した異常度の高い1000件のうち最終的に攻撃と判定された通信の割合を比較した結果、下図の通りThinning手法「あり」では「なし」と比べて、アノマリ検知機能単体での攻撃検出率が平均で55.8%から72.8%へと、約17%の大幅向上を示しました。
【図】アノマリ検知機能「単体」での攻撃検出率比較テスト(2021年7月実施)
Scutumでは、「Webセキュリティ専門家によるリアルな判断に近い高度な攻撃検知能力を持ちながらも、正常通信の誤検知(*1)が極めて少ない。ユーザーが手放しで安心して利用できるWAF」をサービス開始以来一貫して目指し、これを実現するために2つの主要なデータサイエンス技術を活用してきました。
その1.「ベイジアンネットワーク」の導入
2013年よりAIの一分野である確率的グラフィカルモデルの一種「ベイジアンネットワーク」(*2)を導入。旧タイプのシグネチャ型WAFでは通常対応できないような、高度に形を変えた攻撃バリエーションについても幅広く検知することが可能となりました。また、新たな脆弱性や攻撃手法が確認された時点で既に検知が可能となっている「ゼロデイ防御」も多数実現しています(*3)。
その2.「アノマリ検知(=異常検知)機能」の導入
2017年には正常通信の中に含まれる異常な通信を検出する「アノマリ検知(=異常検知)機能」(*4)を導入。機械学習によりあらかじめ把握したサイトごとの正常通信特性を元に異常アクセスを検出し、これを「ベイジアンネットワーク」と組み合わせることで誤検知の大幅軽減に成功しました。
● 新たな技術を導入 『Thinning(シニング)』手法とは?
今回は、このうち「アノマリ検知機能」について、学習段階におけるScutum独自の選別手法であるThinning手法を追加することで、大幅な攻撃検知精度の向上を確認することができました。
Thinning手法は、Scutumが使用している「Isolation Forest」と呼ばれる異常検知アルゴリズムにおいて、ランダムに生成される個々の「木」(=分類器)をあらかじめ余分に用意し、その中から導入Webサイトごとの通信データを判定する上でより適した木々を事前に選別して残しておく方法です。学習時に本工程を挟むことにより、ScutumがWebサイトへの通信内容を評価する際にはより的確に通信の異常性を検出できるようになります。
●『Thinning』手法の検証結果
導入前の検証として、Scutum導入サイトから5サイトを無作為に選択し、各サイトの直近800万件の通信についてThinning手法「あり」「なし」それぞれで抽出した異常度の高い1000件のうち最終的に攻撃と判定された通信の割合を比較した結果、下図の通りThinning手法「あり」では「なし」と比べて、アノマリ検知機能単体での攻撃検出率が平均で55.8%から72.8%へと、約17%の大幅向上を示しました。
【図】アノマリ検知機能「単体」での攻撃検出率比較テスト(2021年7月実施)
●『Thinning』手法の効果
Thinning手法を用いて精度が向上した異常性の評価は、「ベイジアンネットワーク」による汎用的な攻撃検知や他の検知ロジックと組み合わせて総合的な判定に用いられます。今回の性能向上により、正常通信と見分けがつきにくい高度な攻撃や、攻撃と判断されやすい変則的な正常通信など、判定の難しい通信についても検知精度が大幅に向上し、Scutumの検知ロジック全体の誤検知をさらに減少させることが可能となりました。
本手法は、大量の正常データと少量の異常データによって構成されるというWebサイトの通信傾向との相性が良く、また、学習時にはCPU時間やメモリ等のリソースがより必要となるものの、評価時の処理速度は変わらないため、Web通信をリアルタイムで大量かつ高速に処理する必要のあるクラウド型WAFに非常にマッチした手法といえます。
本手法を追加したWAFエンジンは、2021年8月1日より導入を開始し、現在までにすべてのScutumご利用環境への適用を完了しています。
Scutumでは、今後もより高い検知精度を目指して積極的にデータサイエンス分野の技術を研究・投入し、引き続きクラウド型WAFの国内トップブランド(*5)としてWebサイトの安全性向上に寄与してまいります。
※Scutumの実通信データを用いた上記検証結果のほか、AI分野の検証用データとして著名なKaggleのクレジットカード詐欺に関する公開データを用いた検証でもThinning手法による異常検知精度の向上が確認されています。この検証結果およびThinning手法、「Isolation Forest」に関する詳細はScutumサイト内の下記ブログ記事にて解説しています。
【Scutum技術ブログ】Isolation Forestの性能を上げるThinning手法
https://www.scutum.jp/information/waf_tech_blog/2021/06/waf-blog-079.html
【Scutum技術ブログ】Isolation ForestのJavaによる高速な実装をオープンソースで公開
https://www.scutum.jp/information/waf_tech_blog/2020/05/waf-blog-069.html
*1:本プレスリリース中で「誤検知」と表記した箇所は、正常通信を止めてしまう「偽陽性の誤検知」を意味します。
*2、*4:「ベイジアンネットワーク」「アノマリ検知機能」
これら2つの技術を組み合わせることにより、Scutumで誤検知対応が必要となった件数は、両技術導入前の
2011年と比べて両術導入後の2019年には約1/50にまで大幅減少しています。
Scutumのデータサイエンス型WAFエンジンの詳細についてはScutumサイトの下記記事をご参照ください。
「AI型WAFエンジンの特長と効果」:https://www.scutum.jp/details/ai_waf.html
*3:Scutumの新脆弱性対応の詳細はこちら
https://www.scutum.jp/information/technical_articles/index.html
*5:クラウド型(SaaS型)WAF市場シェア11年連続No.1を獲得
https://www.scutum.jp/topics/waf_leader.html
ミック経済研究所刊『情報セキュリティマネージド型・クラウド型サービス市場の現状と展望 2021』 2020年度
富士キメラ総研刊『2020ネットワークセキュリティビジネス調査総覧』 2019年度
株式会社アイ・ティ・アール刊『ITR Market View: サイバー・セキュリティ対策市場2021』 2019年度 ほか
● クラウド型WAFサービス「Scutum(スキュータム)」について
インターネット上で「盾」となって、Webサイトを不正アクセス(攻撃)から守るセキュリティサービスです。お任せ運用・低コストでかつ余計な自前の設備を一切持つことなく、より安全なWebサービスの提供を実現します。
クラウド型WAFサービス「Scutum(スキュータム)」:https://www.scutum.jp/
【株式会社セキュアスカイ・テクノロジー 会社概要】
社名 :株式会社セキュアスカイ・テクノロジー
本社所在地 :東京都千代田区神田司町2-8-1 PMO神田司町 2F
設立 :2006年3月
代表者 :代表取締役 大木 元
事業内容 :Webアプリケーションの脆弱性診断
クラウド型WAFサービス、セキュリティ教育・支援サービス、コンサルティング
URL :https://www.securesky-tech.com/
【株式会社ビットフォレスト 会社概要】
社名 :株式会社ビットフォレスト
本社所在地 :東京都千代田区神田錦町1-17-5 神田橋PR-EX 8F
設立 :2002年2月
代表者 :代表取締役 高尾 都季一
事業内容 :Webアプリケーションセキュリティ製品の開発・販売
URL :https://www.bitforest.jp/