拓海先生、最近部下が「ファイアウォールにAIを入れれば運用が楽になる」と言い出して困っております。要するに人手を減らして安全性を上げられるという話ですか?
素晴らしい着眼点ですね!結論から言うと、本論文はファイアウォールの設定を自動で学習・更新する仕組みを示しており、応答速度と検出精度の改善が見込めるんですよ。大丈夫、一緒に要点を3つに分けて説明できますよ。
3つに分けるんですか。具体的にはどんな仕組みで学習するのですか。機械学習の種類で言われても私には分かりにくくて……
まず本質だけ。1) 異常を見つける部分、2) それに応じてルールを変える意思決定、3) 実際の環境で改善を続ける仕組みです。技術名で言うと、異常検知はLSTMとCNNの組み合わせ、意思決定は強化学習(Reinforcement Learning: RL)で行いますよ。
LSTMとかCNNとかRLと聞くと腰が引けます。これって要するに現場で『異常を見分けるセンサー』と『センサーの判断で自動的にルールを変える司令塔』があるということ?
その通りですよ!素晴らしい着眼点ですね!更に補足すると、センサーは時系列の挙動を把握するLSTMと局所的な特徴を掴むCNNを組み合わせ、司令塔は過去の行動と結果から最適なルール変更を学ぶRLエージェントです。現場ではソフトウェア定義ネットワーク(SDN)上で動かす想定です。
投資対効果が気になります。誤検知(false positive)や誤遮断で業務に支障が出たら元も子もない。論文ではその点をどう検証しているのですか。
良い質問です。論文はNSL-KDDやCIC-IDS2017といった公開データセット上でシミュレーションをし、検出率と誤検知率、そしてルール変更後のトラフィック影響を評価しています。報酬設計で誤検知をペナルティ化しており、業務停止リスクを抑える工夫がされていますよ。
なるほど、シミュレーションで抑えているのですね。しかし現場のネットワークは千差万別です。導入時の安全策はどうすれば良いですか。
安全策は3段構えです。1) まずは監視モードでAIの判断を人がレビューする段階、2) 次に部分的に自動化して限定的ルール変更を許可する段階、3) 最終的に完全自動運用へ移行する段階です。段階ごとにKPIを設定して定量評価すれば現実的に導入できますよ。
導入のハードルは運用担当の教育やルール整理にもありそうですね。これって要するにまずは小さく試して評価基準を作ることが肝心ということですか。
まさにその通りですよ。素晴らしい着眼点ですね!最初はパイロットで効果を示し、経済的効果(コスト削減、応答時間短縮)を定量化してから本格展開するのが現実的です。大丈夫、一緒に設計すれば必ずできますよ。
分かりました。まとめると、自動で異常を検知する装置と、それに応じて安全にルール変更する仕組みを段階的に導入して効果を測る、ということですね。これなら現場も納得しそうです。
素晴らしいまとめですね!ポイントは3つ、異常検知、意思決定、段階的導入です。そして評価指標を明確にすることで投資対効果を示せますよ。大丈夫、一緒にやれば必ずできますよ。
