インライン・ディープラーニングとは?
目次
インライン・ディープラーニングは、ディープラーニングの分析能力をインラインに配置するプロセスです。
サイバー脅威と戦うための3つの主要コンポーネントが含まれています:
- 大量の実戦脅威データで鍛えられた脅威検知能力
- ネットワークに流入する実際のトラフィックを検査するためにインラインで行われる分析
- ディープラーニング分析とリアルタイムの判決・執行のための大規模な処理能力
なぜインライン・ディープラーニングが重要なのか?
毎年何百万もの新しいサイバー脅威が出現し、組織はその脅威を防ぐためにしのぎを削っています。今日の敵は、クラウド規模のリソースや自動化などの高度なテクノロジーの助けを借りて成功を収め、高度に回避するようになっています。具体的には、現代の脅威アクターには2つの決定的な利点があります(図1):
- 増殖のスピード:攻撃者はこれまで以上に迅速に攻撃を広めることができます。
- 多型性:脅威アクターは、識別可能な特徴を常に変化させることで検知を回避するマルウェアや悪意のあるコンテンツをデプロイする能力を持っています。
図1:Palo Alto Networks Unit® マルウェアの拡散/拡散速度および多型性に関するデータ
新たな攻撃は、従来のサンドボックスやプロキシ、独立したシグネチャ・テクノロジーがデプロイイメントできるよりもはるかに速いスピードで仕掛けられています。最新のマルウェアは、最初の感染後、数秒以内に数千以上のシステムに感染する可能性があります。高度な脅威を防御するためには、組織はこれまでに見たことのない脅威からの初感染を可能な限り迅速に防ぐ必要があります。その目標は、目に見えてから防ぐまでの時間をゼロにすることです。インライン・ディープラーニングのおかげで、これが可能になりました。
ディープラーニングとは?
インライン・ディープラーニングの概念をよりよく理解するためには、まずディープラーニングと機械学習を定義し、両者を区別することが役立ちます。ディープラーニングは、人工ニューラルネットワークを使って脳の機能を模倣し、大量の非構造化データから学習する機械学習(ML)のサブセットです。ニューラルネットワークは、大量の非構造化データを使って学習されます。複数のデータソースからリアルタイムで情報を収集、分析、解釈することができます。ディープラーニングは、大量のサイバー脅威データを検査してサイバー攻撃を検知・回避する際に特に役立ちます。ディープラーニングは特徴抽出を自動化し、人間への依存を排除します:例えば犬、猫、鳥などの動物を分類する場合、ディープラーニングは、それぞれの動物を区別するのに重要な特徴(耳、鼻、目など)を決定します。このような高度な機能こそが、ディープラーニングを分析業務や自動化関連業務の改善に非常に有益なものにしているのです。
機械学習とは?
機械学習は、データを解析し、データセットから学習し、情報に基づいた意思決定を行うために学習を適用するアルゴリズムを含むAIのアプリケーションです。一般的に、コンピューターは構造化されたデータを与えられ、これをトレーニングデータとして使用することで、より優れた評価や行動ができるようになります。基本的な機械学習ベースのモデルは、時間の経過とともに精度が向上するように設計されていますが、それでも人間の介入が必要です。
機械学習とディープラーニングの比較
人工知能(AI)は、自動化された作業を促進するために、さまざまな業界でますます使用されるようになっています。AIを構成する2つの大きな要素は、機械学習とディープラーニングです。この言葉はしばしば同じ意味で使われますが、明確な違いがあります:
- 機械学習では、データサイエンティストやエンジニアが手作業で特徴や分類子を選択し、出力が要求通りかどうかをチェックし、生成された予測が不正確と判断された場合はアルゴリズムを調整する必要があります。
ディープラーニングは人間の介入を不要にします。ディープラーニングは、ニューラルネットワークを通じてアルゴリズムを階層化することで、予測が正確かどうかを自ら判断することができます。
- 機械学習アルゴリズムは、線形回帰や決定木のような単純なアーキテクチャを持つ傾向があります。また、機械学習機能は処理能力が低い傾向にあります。短時間でセットアップと運用が可能ですが、限られた結果しか得られないかもしれません。
ディープラーニングははるかに複雑です。通常、より強力なハードウェア、リソース、セットアップ時間が必要ですが、多くの場合、即座に結果を生成し、維持する必要があるとしても最小限です。
- 従来の機械学習アルゴリズムは、ディープラーニングモデルよりもはるかに少ないデータしか必要としません。MLを利用したテクノロジーは数千のデータポイントで動作しますが、ディープラーニングは通常数百万を必要とします。また、使用されるデータはほとんど構造化されておらず、画像や動画を含むことができるため、揺らぎを排除し、質の高い解釈を行うことができます。
インライン・ディープラーニングの仕組み
ディープラーニング自体は、ネットワークセキュリティを含む幅広い業界で使用されています。継続的な進化を遂げ、摂取した大量の脅威データから時間をかけて学習することができるため、サイバー攻撃を予測するための重要な技術となっています。新たなサイバー脅威の検出と防止における効果をさらに高めるために、業界をリードする新しい戦術、インライン・ディープラーニングが登場しました。セキュリティ侵害が発生した場合、インライン・ディープラーニングを使用して、ネットワークに侵入する悪意のあるトラフィックを分析・検知し、脅威をリアルタイムでブロックします。これは、現代の脅威アクターが、従来のセキュリティ防御では攻撃がわからないような洗練されたテクニックを使用しているため、非常に重要です。インライン・ディープラーニングは、このような素晴らしい能力を持つ一方で、個人のデバイスの使用能力を妨げることなく動作します。気付かれることなくバックグラウンドで実行されるため、デバイスのワークフローや生産性を妨げることはありません。
インライン機械学習による未知の脅威防御
Palo Alto Networksは、未知のファイルベースおよびWebベースの脅威をブロックする機械学習をインラインで提供する、世界初のML-Powered次世代ファイアウォール(NGFW)を提供しました。WildFireと高度なURL Filteringは、特許取得済みのシグネチャレスアプローチを使用して、ビジネスの生産性を損なうことなく、兵器化されたファイル、クレデンシャルフィッシング、悪意のあるスクリプトを未然に防止します。Palo Alto Networks のハードウェアおよび仮想 NGFW は、新しい ML ベースの防御機能を適用できます:
- WildFireインラインMLは、行速度でファイルを検査し、ポータブル実行可能ファイルのマルウェア亜種や、悪意のあるコンテンツの不釣り合いな割合を占めるPowerShellファイルをブロックします。
- URL FilteringインラインMLは、未知のURLを回線速度で検査します。この機能は、フィッシングページや悪意のあるJavaScriptをミリ秒単位で識別し、インラインで停止させることができるため、ネットワーク内の誰も目にすることはありません。
インライン・ディープラーニングの詳細については、Palo Alto Networksのホワイトペーパー「Requirements for Preventing Evasive Threats」を参照してください。
インライン・ディープラーニングは、ディープラーニングの分析能力をインラインに配置するプロセスです。例えば、セキュリティ侵害が発生した場合、インライン・ディープラーニングを使用して、ネットワークに侵入する悪意のあるトラフィックを分析・検知し、脅威をリアルタイムでブロックします。
ディープラーニングは機械学習(ML)のサブセットで、人工ニューラルネットワーク(人間の脳のように動作するようにモデル化されたアルゴリズム)を使用して、脳の機能を模倣し、大量の非構造化データから学習します。
- 人間の介入
機械学習では、データサイエンティストやエンジニアが手作業で特徴や分類子を選択し、出力が要求通りかどうかをチェックし、生成された予測が不正確と判断された場合はアルゴリズムを調整する必要があります。
ディープラーニングは人間の介入を不要にします。ディープラーニングは、ニューラルネットワークを通じてアルゴリズムを階層化することで、予測が正確かどうかを自ら判断することができます。 - アーキテクチャと電力
機械学習アルゴリズムは、線形回帰や決定木のような単純なアーキテクチャを持つ傾向があります。また、機械学習機能は処理能力が低い傾向にあります。短時間でセットアップと運用が可能ですが、限られた結果しか得られないかもしれません。
ディープラーニングははるかに複雑です。通常、より強力なハードウェア、リソース、セットアップ時間が必要ですが、多くの場合、即座に結果を生成し、維持する必要があるとしても最小限です。 - データ要件
従来の機械学習アルゴリズムは、ディープラーニングモデルよりもはるかに少ないデータを必要とします。MLを利用したテクノロジーは数千のデータポイントで動作しますが、ディープラーニングは通常数百万を必要とします。また、使用されるデータはほとんど構造化されておらず、画像や動画を含むことができるため、揺らぎを排除し、質の高い解釈を行うことができます。
