ニュース

セキュアスカイ・テクノロジー、クラウド型WAF「Scutum」の異常検知性能を向上

 株式会社セキュアスカイ・テクノロジーは24日、同社がサービス提供を、株式会社ビットフォレストが技術提供を行うクラウド型WAFサービス「Scutum」について、独自開発した手法の追加により、異常検知性能が約17%向上したと発表した。

 Scutumは、Webサイトを不正アクセス(攻撃)から守るクラウド型WAFサービス。AIの一分野である確率的グラフィカルモデルの一種「ベイジアンネットワーク」により、従来のシグネチャ型WAFでは通常対応できないような、高度に形を変えた攻撃バリエーションについても幅広く検知する。

 また、2017年には、正常通信の中に含まれる異常な通信を検出する「アノマリ検知(=異常検知)機能」を導入。機械学習であらかじめ把握したサイトごとの正常通信特性を元に異常アクセスを検出し、これを「ベイジアンネットワーク」と組み合わせることで誤検知を軽減する。

Scutumサービスイメージ

 セキュアスカイ・テクノロジーでは、Scutumのアノマリ検知機能について、学習段階におけるScutum独自の選別手法である「Thinning(シニング)」手法を追加することで、大幅な攻撃検知精度の向上を確認した。

 Thinning手法は、Scutumが使用している「Isolation Forest」と呼ばれる異常検知アルゴリズムにおいて、ランダムに生成される個々の「木」(=分類器)をあらかじめ余分に用意し、その中から導入Webサイトごとの通信データを判定する上で、より適した木々を事前に選別して残しておく。学習時にこの工程を挟むことで、ScutumがWebサイトへの通信内容を評価する際に、より的確に通信の異常性を検出できるようになる。

 導入前の検証として、Scutum導入サイトから5サイトを無作為に選択し、各サイトの直近800万件の通信から、Thinning手法「あり」「なし」のそれぞれで抽出した異常度の高い1000件を比較。Thinning手法「あり」では、「なし」と比べて、アノマリ検知機能単体での攻撃検出率が平均で55.8%から72.8%に向上したという。

 Thinning手法を追加したWAFエンジンは、8月1日より導入を開始し、現在までにすべてのScutum利用環境への適用を完了している。Scutumでは、今後もより高い検知精度を目指して、積極的にデータサイエンス分野の技術を研究・投入していくとしている。