定義

モデルベースセキュリティレイヤーとは、計算モデル（多くの場合、機械学習（ML）または人工知能（AI）によって駆動される）を利用して、複雑なシステム全体にわたるセキュリティポリシーを理解、予測、強制する高度なセキュリティアーキテクチャを指します。従来のファイアウォールのような静的なルールセットだけに頼るのではなく、このレイヤーは「正常」なシステム動作の動的で振る舞い的な理解を構築し、攻撃を示す逸脱を検出します。

なぜ重要なのか

従来のセキュリティ対策は、既知のシグネチャを検索するため、ゼロデイエクスプロイトや洗練された低速・潜行型攻撃に対してしばしば苦戦します。モデルベースセキュリティレイヤーは、反応的な検出からプロアクティブな予測へとパラダイムを転換させます。これにより、組織は学習されたパターンに基づいて攻撃ベクトルを予測し、悪意のあるアクターの機会を大幅に減少させることができます。

仕組み

このプロセスは通常、いくつかの段階を含みます。

• データ取り込み： システムは、ネットワークトラフィック、ユーザー行動ログ、API呼び出し、システムコールなどの膨大なテレメトリデータを継続的に取り込みます。
• モデルのトレーニング： MLアルゴリズムは、これらのデータを使用してトレーニングされ、すべてのエンティティ（ユーザー、サービス、エンドポイント）の期待される安全な動作のベースラインモデルを確立します。
• 異常検知： システムはリアルタイムでライブアクティビティを確立されたモデルと比較します。重大な統計的逸脱（異常）が発生すると、アラートまたは自動応答がトリガーされます。
• ポリシーの強制： 異常の深刻度と信頼度スコアに基づいて、このレイヤーはアクセス制限、侵害されたサービスの隔離、多要素再認証の要求など、セキュリティポリシーを自動的に強制できます。

一般的なユースケース

この技術は、最新のITインフラストラクチャ全体で非常に適用可能です。

• 内部脅威の検出： データ漏洩や破壊工作を示唆する従業員の微妙な行動変化を特定します。
• 高度なマルウェア検出： シグネチャを絶えず変更するものの、予測可能な振る舞いのパターンを維持するポリモーフィックマルウェアを認識します。
• APIセキュリティ： 自動スクレイピング、インジェクション試行、または不正なデータアクセスを検出するためにAPIの使用パターンを監視します。
• クラウドワークロード保護： マイクロサービスやコンテナが期待されるリソースおよび通信境界内で動作していることを保証します。

主な利点

• 精度の向上： コンテキストを理解することで、シグネチャベースのシステムと比較して誤検知を削減します。
• プロアクティブな防御： セキュリティ態勢を修復から予防へと移行させます。
• スケーラビリティ： 最新の分散型クラウド環境によって生成されるデータの複雑さと量を管理できます。

課題

• データ品質への依存： モデルの良し悪しは、トレーニングされるデータの質に依存します。不十分または偏ったデータは、不十分なセキュリティ結果につながります。
• 初期の複雑性： 実装には、データサイエンス、MLエンジニアリング、サイバーセキュリティにおけるかなりの専門知識が必要です。
• 敵対的ML： 洗練された攻撃者は、トレーニングデータを汚染したり、MLモデルを回避するように特別に設計された入力を作成したりしようと試みることができます。

関連概念

このレイヤーは、ゼロトラストアーキテクチャ、行動バイオメトリクス、セキュリティオーケストレーション、自動化、応答（SOAR）などの概念と密接に統合されています。