[レポート]MLを使用してより安全に運用する方法 #AWSreInvent #SEC320

GuardDutyの中の機械学習がどうなっているのか、という話と合わせて、どうやってセキュリティ運用に機械学習を利用していくかのヒントを得られるチョークトークです
特集

臼田佳祐

2023.11.29

こんにちは、臼田です。

みなさん、re:Invent 2023楽しんでますか?(挨拶

今回は下記のセッションのレポートです。このセッションはチョークトークで、GuardDutyの中身の話から、自分たちでどうやってMLをセキュリティに活用するかのヒントが得られます。

SEC320 | How to use ML to operate more securely

ML is transforming security, but the new opportunities it brings come with a learning curve and some new challenges. In this chalk talk, AWS experts share examples of how you can use ML to help protect your AWS environment. Learn how Amazon GuardDuty continuously enhances its intelligent threat detection capabilities using the latest developments in AI/ML. Discover how you can work with AWS Global Services to determine which capabilities are ideal for your use case and explore tailored ML techniques. Leave this talk with a deeper understanding of how AWS is embracing ML for security and how you can utilize that experience to confidently run your sensitive workloads on AWS.

SEC320 | ML を使用してより安全に運用する方法

ML はセキュリティを変革していますが、ML がもたらす新たな機会には学習曲線といくつかの新たな課題が伴います。 このチョークトークでは、AWS の専門家が ML を使用して AWS 環境を保護する方法の例を共有します。 Amazon GuardDuty が AI/ML の最新開発を使用してインテリジェントな脅威検出機能を継続的に強化する方法を学びましょう。 AWS Global Services と連携して、どの機能がユースケースに最適であるかを判断し、カスタマイズされた ML テクニックを検討する方法を説明します。 AWS がセキュリティのために ML をどのように採用しているか、そしてその経験を利用して AWS 上で機密性の高いワークロードを自信を持って実行できる方法について、より深く理解してこの話を終えてください。

要約

Amazon GuardDutyでは内部的に機械学習を用いており、様々な手法を組み合わせている。特にAutoencoder modelの利用についてとpost-processingやtuning/evaluationについてどのように行っているかを解説している。

最後に、これらの情報を元にユーザー自身がどのようにセキュリティに対して機械学習を用いればいいかディスカッションしている。

レポート

はじめに、残念ながら私の都合でこのセッションは前半のGuardDutyにおける機械学習の利用についての解説のみのレポートとなっています。後半のディスカッションは次のセッションの都合で離席してしまったので聞けていません。ご容赦ください。

このセッションは機械学習をセキュリティの運用に取り込むための内容です。

前半にGuardDutyの機械学習活用状況について解説し、後半はどう活用していくかのディスカッションです。

機械学習とセキュリティやAWSとの関係性はいろいろあります。ここでは特に、機械学習をセキュリティの運用や維持に活用する部分や、ユーザーが機械学習を利用したAWSサービスを活用したり、独自のセキュリティワークロードを構築する部分にフォーカスします。

下記はなぜAmazon GuardDutyを利用するのかというスライドですが、ここに大変驚くべき記載があります。

Used by over 90% of the top-2000 AWS customers

GuardDutyを使わない手はないということですね。説得の根拠に使っていきましょう。

そしてGuardDutyの内部の機械学習の話です。Autoencoder modelを利用して正常な状態を学習し、異常検知をしているという説明があります。

そして、アノマリ検出に対してpost-processingやtuning/evaluationをどのように行っているか説明されました。

このあたりは、re:Inforce 2023のセッションでも解説されていますので、詳しくは下記も御覧ください。

以降はQAベースのどうやって取り組めばいいかというディスカッションの種です。

なぜ自分でこれをやりたいと思うのですか?

  • AWS のサービスでは対応できない重要なユースケースがある
  • 独自のデザインを活用したい
  • 文化を変え、実践して学ぶ機会があります - 小さく始めて実験してください

何が関係しているのでしょうか?

  • 具体的な問題、仮説、成功基準
  • ドメインの専門知識 (セキュリティ、リスク、コンプライアンス)
  • データ (およびデータ インフラストラクチャ)
  • コンピューティング インフラストラクチャ (規模に応じて)
  • ラベル
  • データサイエンスの専門知識と経験
  • 評価戦略
  • MLOps の専門知識と経験

どこから始めれば?

  • 何が重要ですか? 実用的ですか?
  • 問題の規模を適切に把握する
  • アプローチまたはツールを選択する
  • AWSのサービスを活用する
  • 可能性:
  • イベントのラベル付け/分類
  • 特定の行動を学ぶ
  • アラート分析
  • データの分類

ここからディスカッションスタートですが、私はここで離席しました。

詳細が気になる方は上記の動画や、もし公開されたらこのチョークトークの動画をご確認ください。

まとめ

GuardDutyの中の機械学習がどのようになっているのかは大変興味深いですね。

中身がわかるとより楽しいです!是非動画と合わせてチェックしてください!

AWS

関連記事

GuardDuty Findingsのフィードバック機能の動作をマネジメントコンソールとboto3で確認してみた

臼田佳祐

2024.04.16

Amazon GuardDuty EC2 Runtime Monitoring 서비스가 정식 출시 되었습니다!

KeumSangwon

2024.04.12

GuardDuty のマルウェアスキャンを実施した際に外部共有された EBS スナップショットが作成されたのはなぜでしょうか?

Funa

2024.04.11

GuardDuty Malware Protection はインターネットにアクセス可能な構成でなければ利用できないのか教えてください

片方 裕人

2024.04.09