用語集
機械学習とは?種類とアルゴリズム

機械学習とは?種類とアルゴリズム

機械学習を活用したProofpoint Aegis
Proofpoint Automateにおけるmlモデル

目次

機械学習(マシンラーニング)とは、人工知能の中核的な部分であり、コンピュータシステムがデータ入力から学習し、明示的にプログラムされることなく自律的に改善する技術を指します。機械学習は、機械にデータを与えれば、自動的にパターンを学習し、決定を下し、時間とともにその性能が向上するという考えに基づいています。この学習プロセスは、人間が経験から学ぶのと同じですが、驚異的な速度で拡張され処理されます。

従来のプログラミングでは、プログラマーが望む結果を得るために、コンピュータに明示的な指示を提供する必要があります。対照的に、機械学習モデルは、大規模なデータセットとアルゴリズムを用いてタスクの実行方法を学習します。これらのタスクは、パターンの認識や値の予測といった単純な機能から、画像認識、自然言語処理、自動運転といったより複雑な取り組みまで多岐にわたります。

機械学習の汎用性と能力は、金融、医療、製造業、サイバーセキュリティなどのさまざまな産業分野で、数々のイノベーションへの道を切り開きました。このイノベーションは、最終的に私たちが技術を認識し、相互作用する方法を再形成しました。

サイバーセキュリティ教育とトレーニングを始めましょう

無料トライアルを始める

無料トライアルのお申し込み手順

  • 弊社のサイバーセキュリティ エキスパートが貴社に伺い、セキュリティ環境を評価して、脅威リスクを診断します。
  • 24 時間以内に最小限の構成で、30 日間ご利用いただけるプルーフポイントのソリューションを導入します。
  • プルーフポイントのテクノロジーを実際にご体験いただきます。
  • 組織が持つセキュリティの脆弱性に関するレポートをご提供します。このレポートは、サイバーセキュリティ攻撃の対応に直ちにご活用いただくことができます。

フォームに必要事項をご入力の上、お申込みください。追って、担当者よりご連絡させていただきます。

Proofpointの担当者がまもなくご連絡いたします。

機械学習の仕組み

人工知能の不可欠な構成要素として、機械学習はコンピュータに経験から学ぶことを教えるモデルです。機械学習に指示を与えるアルゴリズムは、計算手法を用いて情報を獲得し、予め決められた方程式をモデルとして必要とせずに、データから直接「学習」します。データサンプルの数が増えるにつれて、これらのアルゴリズムはその性能を向上させます。

より包括的な概要として、機械学習の仕組みを以下に分解して説明します。

  1. データ収集: 機械学習はデータから始まります。数字、画像、またはテキスト、例えば銀行取引、ユーザーログイン、人物の写真、センサーからの時系列データ、販売報告書などです。データは収集され、トレーニングデータまたは機械学習モデルが学習する情報として使用されるように準備されます。データが多ければ多いほど、プログラムはより効果的になります。
  2. データ前処理: 生のデータは、有用になるために準備と変換を必要とすることがよくあります。このステップでは、欠損値の処理、外れ値の除去、値の正規化(スケーリング)、カテゴリ変数のエンコーディング、データのトレーニングセットとテストセットへの分割などが含まれる場合があります。
  3. 機械学習モデルの選択: そこから、プログラマーは使用する機械学習モデルを選択し、データを提供し、コンピュータモデルにパターンを見つけさせたり予測を行わせたりするためのトレーニングを行います。時間とともに、人間のプログラマーもモデルの性能を向上させるために調整を行います。
  4. モデルのトレーニング: 前処理されたデータを手に入れたら、次のステップは選択したモデルにそれを供給して「トレーニング」することです。トレーニングには、モデルにデータを提示し、モデルの内部パラメータを調整して、その予測と実際の結果との差を最小化することが含まれます。「教師あり学習」は、入力データを既知の出力に最もよくマッピングするようにパラメータを調整することを意味します。「教師なし学習」では、モデルはデータ内の固有の構造やパターンに基づいて自己調整を行います。
  5. 評価: モデルがトレーニングされたら、未見のデータ(テストセット)でその性能を評価する必要があります。これは、モデルが単にトレーニングデータを暗記している「過学習」だけではなく、新しい未見の例に一般化できることを確認するためです。評価の指標は問題の種類によって異なります(例えば、分類問題では精度、適合率、再現率、回帰問題では平均二乗誤差など)。
  6. ハイパーパラメータチューニング: ほとんどの機械学習モデルには、トレーニング中に学習されないが、モデルの性能に影響を与える可能性のあるハイパーパラメータがあります。最適なハイパーパラメータを見つけることは、グリッドサーチやランダムサーチなどの手法を用いた実験を伴うことがよくあります。
  7. デプロイメント: トレーニングとチューニングの後、モデルは本番環境にデプロイされ、新しいデータを取り込み、リアルタイムで予測や分類を行い始めることができます。
  8. フィードバックループ: 多くの実世界のシステムでは、モデルの予測が実際の結果に対して継続的に評価されるフィードバックメカニズムが確立されています。モデルがドリフトし始めたり、精度が低下し始めたりした場合、このフィードバックはモデルの再トレーニングや調整の時期を知らせる信号となります。
  9. 反復的な改善: より多くのデータが利用可能になり、問題の性質が進化する可能性があるため、機械学習モデルは効果を維持するために、しばしば反復的な改善と再トレーニングを受けます。

このプロセスはデータから学習することに関するものです。モデルの内部パラメータを調整して、正確な予測や決定を行うことができるようにします。膨大な量のデータと強力な計算リソースの組み合わせにより、複雑なモデルが、かつては人間の知能に固有のものと考えられていたタスクを実行できるようになりました。

機械学習の種類

機械学習のさまざまなタイプは、その独自のモデリング特性に基づいて特定のアプリケーションに使用されます。最も一般的なタイプには以下が含まれます。

教師あり学習

「教師あり学習」は、機械学習の中で最も広く使用されている方法です。この形式では、アルゴリズムはラベル付きデータセットで訓練されます。つまり、データセット内の全ての例に正解が対応付けられています。主な目標は、入力から出力へのマッピングをモデルに学習させ、新しい未知のデータに対して予測やラベル付けを可能にすることです。一般的なタスクには回帰(連続値の予測)と分類(離散的なラベルの予測)が含まれます。サイバーセキュリティでは、教師あり学習は初期段階の脅威の検出、ネットワークの脆弱性の発見、ITワークロードとコストの削減に使用されます。

教師なし学習

「教師なし学習」では、アルゴリズムに明示的なラベルや目標なしでデータが提供されます。代わりに、アルゴリズムは自らデータ内の構造やパターンを識別しようとします。一般的なタスクには「クラスタリング」(類似のデータポイントをグループ化)と「次元削減」(核心的な情報を失わずにデータを簡略化)が含まれます。例えば、サイバーセキュリティでは、教師なし学習はネットワークトラフィックの異常検出、新種のマルウェアの識別、内部脅威の特定に使用できます。

半教師あり学習

多くの現実世界のシナリオでは、ラベル付きデータの収集は高コストで時間がかかる場合がありますが、ラベルなしデータの取得は比較的容易です。「半教師あり学習」は、少量のラベル付きデータと大量のラベルなしデータを組み合わせてトレーニングすることで、このギャップを埋めます。明示的なラベルがなくても、大量のラベルなしデータが学習プロセスを支援する意味のある情報や構造を提供できるという考えに基づいています。ラベル付きデータとラベルなしデータの関係を活用することで、半教師あり手法は、ラベル付きデータの一部だけで、完全な教師ありアプローチに近い性能を達成できることがあります。

強化学習

「強化学習」の核となるモデルは、環境と相互作用し、報酬やペナルティを通じてフィードバックを受けて学習するエージェントに基づいています。エージェントの目的は、時間とともに最大の累積報酬をもたらす最適な戦略(ポリシーと呼ばれる)を学習することです。これは試行錯誤の学習方法で、エージェントは既知の情報を探索しつつ活用しながら決定の順序を学習します。強化学習は、自身の経験から学び、変化するサイバー環境に応じて戦略とポリシーを最適化する自律型侵入検知システムの開発に使用できます。

転移学習

「転移学習」は、ある問題を解決する際に得た知識を、異なるが関連する問題に適用するという強力な概念です。通常、ディープラーニングモデルをゼロから訓練するには、大量のデータと計算力が必要です。転移学習では、すでに大規模なデータセット(例えば、何百万もの物体の認識)で訓練されたモデルを、より小さなデータセットで特定のタスクに微調整できます。このアプローチは、広範なリソースの必要性を減らし、トレーニングプロセスを加速させると同時に、強力な性能を維持します。サイバーセキュリティでは、転移学習はインシデント対応や脅威ハンティングなどのプロセスの自動化に役立てることができます。

自己教師あり学習

このアプローチは、学習アルゴリズムが入力データから独自の監督信号を生成する、教師なし学習の変種と考えてください。データの一部を入力として使用し、別の部分を予測するタスクを設計することで、明示的な外部ラベルを必要とせずに教師あり学習に似たモデルを訓練できます。鍵は、データ自体が監督を提供する学習目標の作成です。例えば、「自己教師あり学習」は、ネットワークトラフィックの異常を検出し、新種のマルウェアを識別できます。

機械学習アルゴリズム

さまざまなアプリケーション(サイバーセキュリティを含む)で標準的な機械学習アルゴリズムが使用されています。以下に、最も人気のあるアルゴリズムの一部について簡単な概要を示します。

  • ニューラルネットワーク: 人間の脳にインスピレーションを受けたニューラルネットワークは、トレーニング中に接続を調整する相互に接続されたノード(ニューロン)の層で構成されています。画像や音声認識などのタスクに優れていますが、サイバーセキュリティではマルウェアや侵入検知などのタスクにも使用されています。
  • 線形回帰: 1つ以上の独立変数に基づいて連続的な出力を予測する統計的手法です。これらの変数と結果の関係をモデル化します。線形回帰は、過去のデータに基づいてサイバー攻撃の可能性を予測するタスクをサポートできます。
  • ロジスティック回帰: 二値分類に使用され、ロジスティック回帰はインスタンスが特定のカテゴリに属する確率を推定します。スパム検出や顧客離脱の予測などによく使用されます。
  • クラスタリング: データ内の固有のグループ(顧客セグメントやデータパターンなど)を発見するために、類似のデータポイントをグループ化する教師なし手法です。サイバーセキュリティでは、ネットワークトラフィックのパターン識別や異常検出などのタスクに使用されます。
  • 決定木: 一連の質問を行うことに基づいて決定を下す木のようなモデルです。解釈可能性で知られており、医療診断から信用リスク分析まで様々なタスクで使用されます。このアルゴリズムは、サイバー攻撃を検出するための最も重要な特徴を識別するのに役立ちます。
  • ランダムフォレスト: 複数の決定木からの予測を集約して精度を向上させ、過学習を減らすアンサンブル手法です。ランダムフォレストは、データ分類と回帰タスクの両方に広く使用されています。サイバーセキュリティでは、マルウェアの検出やネットワークトラフィックの分類をより効果的に行うために使用されます。

これらのアルゴリズムはそれぞれ、データを理解し予測するための独自のアプローチを提供しており、さまざまなユースケースやデータタイプに対応しています。

機械学習とサイバーセキュリティ

伝統的には、デジタル脅威に対抗する専門分野であったサイバーセキュリティは、その防御を強化するために、ますます機械学習に頼るようになってきました。これは、人間の専門知識が脅威を最小限に抑える上で重要ではないという意味ではありません。しかし、機械学習が持つ膨大なデータセットを分析し、パターンを認識し、予測を行う能力により、手動のプロセスよりも効率的に、脅威や異常、悪意のある活動を識別することができます。

機械学習の活用方法

機械学習は、サイバーセキュリティ業界において重要な資産となっています。以下に、サイバーセキュリティにおける機械学習の活用方法をいくつか紹介します。

  • 初期段階での脅威の検出: 機械学習は大量のデータを分析し、パターンを見つけることができるため、攻撃を初期段階で検出するのに最適です。
  • ネットワークの脆弱性の発見: ネットワークトラフィックを分析し、潜在的な脆弱性を示すパターンを識別することで、機械学習はネットワークの脆弱性を迅速に特定できます。
  • ITワークロードとコストの削減: 機械学習は、インシデント対応や脅威ハンティングなどのサイバーセキュリティプロセスを自動化でき、セキュリティアナリストのワークロードを削減し、インシデント対応の速度と精度を向上させます。
  • 自動脅威検出と対応: 機械学習モデルは、検出を調査するようチームに警告したり、パッチ適用のための優先度の高い脆弱性を提供したりすることで、脅威検出と対応を自動化し、アナリスト主導の調査を支援できます。
  • 行動分析: 機械学習は、徹底的かつ迅速なユーザー行動分析と異常検出を通じて、潜在的な脅威の検出を劇的に改善できます。
  • 敵対的トレーニング: 機械学習は、モデルのセキュリティを向上させるための敵対的トレーニング技術の開発に使用されます。敵対的トレーニングは、機械学習アルゴリズムが一部のタスクを人間と同等かそれ以上にうまく実行できるように、別のシステムに適応させることができます。

機械学習の利点

機械学習をサイバーセキュリティに活用することの利点は幅広く及びます。最も影響力のある利点には以下のようなものがあります。

  • 先制的な脅威検知:機械学習は、脅威が顕在化する前に潜在的な脅威を識別でき、先制的な防御アプローチを提供します。
  • スケーラビリティ:デジタルデータと活動量の増加に伴い、機械学習は広大なネットワークを効率的に監視・分析するスケーラブルなソリューションを提供し、攻撃の最初期段階での検出に理想的です。
  • 誤検知の削減:過去のデータから学習することで、機械学習モデルは正当な活動と実際の脅威を区別でき、誤警報を減らすことができます。
  • 継続的な学習:サイバー脅威が進化するにつれ、機械学習モデルは継続的に学習し適応することができ、最新の防御メカニズムを維持します。

機械学習の活用事例

サイバーセキュリティにおける機械学習の活用事例は驚くほど広範囲に及び、アルゴリズムがますます高度化するにつれて進化し続けています。

  • マルウェア検出:ファイルを分析して、既知のマルウェアや不審な挙動に関連するパターンを検出する。
  • フィッシング攻撃検出:コンテンツ、構造、または既知の悪意のあるURLに基づいて、メール内のフィッシング試行を検出する。
  • ネットワーク侵入検知:ネットワークトラフィックを監視して、異常なパターンや不正な活動を検出する。
  • ユーザーとエンティティの行動分析(UEBA:典型的なユーザー行動をプロファイリングし、アカウント侵害を示す可能性のある異常を強調表示する。
  • 高度な持続的脅威(APT)検出:従来の検出システムが見落とす可能性のある、ゆっくりとした、低ボリュームで長期間にわたる脅威を、ネットワークトラフィックとユーザー行動の分析で検出する。
  • 情報漏洩対策(DLP:機密データ(クレジットカード番号、個人識別データなど)を識別し、ネットワーク全体でのその移動を監視し、不正なデータ送信を管理者に警告する。
  • エンドポイント保護とEDR:機械学習を使用することで、エンドポイント保護ツールはリアルタイムでより効果的に脅威を検出して対処し、個々のデバイス(PCやモバイルデバイスなど)を保護する。
  • 脅威インテリジェンス:さまざまなソースからのデータを集約・分析し、新たな脅威に関する予測的な洞察を提供し、組織がより良く準備できるようにする。
  • IDとアクセス管理(IAM):ユーザーアクセスのパターンを識別し、不正アクセスの試みを示す可能性のある異常(通常とは異なるログイン時間や場所など)を検出する。
  • 脆弱性管理:機械学習による予測分析は、既知の脆弱性と攻撃ベクトルの傾向を分析することで、潜在的な脆弱性を予測可能にする。
  • 自動化されたインシデント対応:脅威が検出されると、機械学習駆動のツールが最適な対応行動を提案または自動化し、緩和プロセスを効率化する。
  • ハニーポットと欺瞞技術:機械学習を使用して、ハニーポット(攻撃者を誘き寄せるための囮システム)をより高度化し、侵入者の行動に適応し、脅威についてより豊富なインテリジェンスを収集する。

これらの活用事例は、サイバーセキュリティにおける機械学習の膨大な可能性を強調しています。しかし、機械学習はサイバーセキュリティ対策を大幅に強化できる一方で、より広範なセキュリティ戦略に統合され、人間の専門知識と組み合わせたときに最も効果的であることを忘れてはなりません。

機械学習の課題

サイバーセキュリティに機械学習を統合することには課題がないわけではありません。最も関連性の高い課題には以下のようなものがあります。

データプライバシー

機械学習の使用には膨大な量のデータが必要であり、ユーザーのプライバシー、データ保護、機密情報の潜在的な悪用に関する懸念が生じます。

進化する脅威

サイバー攻撃者も機械学習を活用して、より洗練された適応型の攻撃手法を作り出しています。これは継続的に進化するいたちごっことなる可能性があります。

偽陽性と偽陰性

機械学習は誤警報を減らしますが、完璧なシステムはありません。人間の監視なしに過度に依存すると、脅威の見逃しや不必要な警報につながり、警告疲れを引き起こす可能性があります。

資源集約的

包括的な機械学習モデル、特にディープラーニングモデルのトレーニングには、大量の計算リソースが必要であり、すべての組織にとって実現可能とは限りません。

解釈可能性と透明性

機械学習モデル、特にディープニューラルネットワークは「ブラックボックス」として機能し、その意思決定プロセスを理解し説明することが困難になる可能性があります。

過学習

モデルがトレーニングデータに対して過度に適合してしまい、脅威が変化し進化する実世界のシナリオでは効果が低下する可能性があります。

データ汚染と敵対的攻撃

攻撃者がトレーニングセットに悪意のあるデータを導入し、モデルに不正確な予測や分類をさせる可能性があります。同様に、敵対的攻撃では、入力データにわずかな変更を加えて機械学習モデルを欺くことがあります。

スキルギャップ

サイバーセキュリティへの機械学習の統合には、両分野のスキルを持つ専門家が必要です。現在、業界ではこのような学際的な専門家が不足しています。

質の高いデータへの依存

機械学習モデルの有効性は、トレーニングデータの質と包括性に大きく依存します。不完全またはバイアスのあるデータは、歪んだ結果につながる可能性があります。

これらの課題を認識し対処することは、サイバーセキュリティにおいて機械学習を効果的に活用するために重要です。機械学習は大きな可能性を秘めていますが、バランスの取れた情報に基づいたアプローチを取ることで、その利点を最大化し、潜在的な落とし穴を軽減することができます。

Proofpointの機械学習ソリューション

Proofpointは機械学習の力を活用して、クライアントに世界クラスのソリューションを提供する業界をリードするサイバーセキュリティ企業です。当社の機械学習を使用する具体的な製品や技術ソリューションには以下のようなものがあります。

  • NexusAI:これはProofpointのAIおよび機械学習プラットフォームで、Targeted Attack Protection、Cloud App Security Broker、Security Awareness Trainingなどの様々な製品を支えています。フィッシングキャンペーンで使用されるURLやWebページを特定し、クラウドアカウントにおける異常なユーザー活動を検出し、あらゆる外部脅威に対して完全かつ最先端の保護を提供します。
  • Proofpoint Aegis:Proofpoint Aegisは機械学習を使用してAIが生成したフィッシングメールを検出します。機械学習アルゴリズムが大量のデータを分析し、潜在的な脅威を示すパターンを発見します。
  • Stateful Composite Scoring Service(SCSS):ProofpointのSCSSは機械学習を使用してメール分析を自動化します。SCSSはセキュリティチームがスパムや大量メールから、メール詐欺を含む高度な攻撃まで、より簡単に対処できるよう支援します。SCSSは機械学習を使用してセキュリティデータのパターンを認識し、自動応答をトリガーすることで、手動介入の必要性を減らします。
  • Supernova Behavioral Engine:Supernova Behavioral Engineは、言語、関係性、リズム、コンテキストを使用して、AIと機械学習によりリアルタイムで異常を検出し、脅威を防ぎます。Supernova Behavioral Engineは、Proofpointの既に優れた効果をさらに向上させると同時に、顧客にとって誤検知率を低く抑えます。
  • Proofpoint Intelligent Classification and Protection:これはAIを活用したデータ検出および分類ソリューションで、ペタバイト規模のデータ分類と保護を正確に提供します。データプライバシーの懸念に対処し、コンプライアンスを強化するために、独自の機械学習技術を採用しています。

Proofpointは、トランスフォーマーモデル、教師なし機械学習、ディープラーニング、自然言語処理などの様々な機械学習技術を使用して、常に進化する脅威の状況からお客様を保護するための革新的なソリューションを提供しています。詳細については、Proofpointにお問い合わせください。

関連資料

Webinar

Do it once! The role of machine learning in regulatory compliance

Webinar

The Rise of Identity Threat Detection and Response Systems

ソリューション概要

アイデンティティ脅威の検知と対応

See more resources

無料トライアル

まずは無料のトライアルをお試しください

無料トライアルのお申込み
Previous Glossary
Next Glossary