AIBR プレミアム
拓海先生、最近部下から「Fuzzingって機械学習で賢くできるらしい」と言われたのですが、正直よくわからなくて困っています。要するにどんな技術で何が変わるのか、簡潔に教えていただけますか。
素晴らしい着眼点ですね!Fuzzing(ファジング)は入力に小さな変化を与えてソフトウェアの弱点を探す手法で、今回の研究はその入力の“作り方”を機械学習で自動化するものですよ。
なるほど。でもうちの現場に入れるときの懸念がありまして、投資対効果や運用の手間が増えないか心配です。手作業で作ったルールと比べて何が良くなるんでしょうか。
大丈夫、一緒にやれば必ずできますよ。要点を3つにまとめると、1) 入力の雛形を学習して自動生成できる、2) 生成した良い入力と部分的に壊した入力を使って効率よく脆弱性を探せる、3) 手作業のルール作成コストを下げられるんです。
これって要するに入力の生成を学習して、それを狙って壊すということ?つまり普通に乱暴に変えるのではなく、賢く壊して効率よくバグを出すという理解で合っていますか。
その通りです!素晴らしい要約ですね。研究ではSequence-to-Sequenceモデルのような生成モデルで入力の確率分布を学び、それを基に“どこをどれだけ壊すか”を確率的に選ぶアルゴリズムを提案しています。
なるほど、確率で壊す場所を決めるんですね。ですが学習がうまく行きすぎると良い入力ばかり作ってバグが見つからないんじゃないですか。学習とファジングの目的は矛盾する気がします。
拾い上げていただき嬉しいです。研究ではその緊張関係を明確に扱っており、学習した確率をそのまま使うのではなく、低確率の要素を狙って故意に異常を挿入するSampleFuzzという手法で折り合いをつけていますよ。
実運用を考えると、学習に用いるサンプル入力の準備やモデルの再学習、そして実際のファジング運用の手順が気になります。これって社内で回せますか、外注する必要がありますか。
大丈夫ですよ。要点を3つにまとめると、1) 初期は既存のサンプル(ログやファイル例)でモデルを作れる、2) モデル更新は自動化できるから頻繁に手を入れる必要はあまりない、3) ただし初期導入はツール選定とエンジニアの学習投資が必要です。
分かりました。要するに我々はまず既存データで学習モデルを作り、それを使って賢く入力を生成しつつ、狙って壊すことで効率的に脆弱性を見つける。投資は初期だけで、運用は比較的自動化できるということですね。
