アノマリー（異常）の検知とは

“Anomaly is what escapes not only the law but the rule. What is outside the game, “offside,” no longer in a position to play.”
アノマリー（異常)とは、法律だけでなく”ルール”という制約から外れている状況を示している。例えば試合でいうと、ルールから逸脱している事象であり、「オフサイド」な状態と同じなのである。
– ジャン・ボードリヤール著『完全犯罪』より

この本は1994年に出版されたもので、サイバーセキュリティとは全く関係ありませんが、アノマリーという言葉の定義を正しく捉えています。

アノマリーとは、ゲームのプレイヤーだけが判断できるものです。言い換えれば、ゲームのルールを知っているからこそ、プレイヤーだけが、「誰が」あるいは「何が」ルールに従っていないのかを特定できるのです。サイバーセキュリティの分野でアノマリーを特定するためには、標準という”ルール”からの逸脱をチェックするデータサイエンティストと、「ゲームのルール」を知っているセキュリティの専門家の両方が必要となります。

そこで本稿では、様々なアノマリーの種類について説明していきます。

アノマリー（異常）とは何か？

まず、アノマリーとは何かを理解するために、ゲームをしてみましょう。
下の３つの画像を見て、それぞれの絵のなかから、あきらかにおかしいものを一つずつ選んでみてください。

すべての画像でまちがいを特定できた人はすばらしいです。

では、あなたの脳は、これらの間違いをどのように特定したのでしょうか。あなたの脳は、それぞれの画像のパターンを分析し、まず類似点を認識しました。例えば、「普通の猫」は両目がまっすぐ前を向いていることを「脳内メモ」に記録したのです。そして、それらのパターンをもつ猫の絵から逸脱するポーズ（この場合は視線）を認識した場合に、あなたの脳はそれを異常なものとして認識したのです。

同じような手順で、あなたの脳は他の2枚の画像についてもアノマリーを特定したのです。

アノマリーとは正常なパターンからの逸脱である

アノマリーを識別するためには、まず「何が正常か」を認識する必要があります。しかし、そもそも「正常」とは何でしょうか？正常とはあくまで主観的なものであり、人、部署、または組織によって異なるものです。

では、あなたがもしオーストラリアの農家だったとしましょう。その場合、上の画像の中のアノマリーはどれになるでしょうか？ 多くの人は、「白ウサギ」が正解だと答えるでしょう。しかし、実際に農家の人に訪ねてみると、オーストラリアにはリスが生息していない、という背景があるので、「茶色いリス」がアノマリーであると答えるそうです。

つまり、アノマリーの特定には文脈的な情報も非常に重要になってくるのです。

企業におけるアノマリーの検知

私たちは、日々の生活の中でアノマリーに気付く度に、状況を正常に戻すための解決策を見出そうとします。それは、少しでも早くアノマリーを発見して、是正することによってのみ、安心感を得ることができるからです。

我々の日常生活にて、どのような場面でアノマリー検知が活用されているのか？

画像のアノマリー検知

病院、研究所、製造業などでは、画像のアノマリー検知を利用することで、より高品質な顧客サービスを提供しています。例えば、MRI画像から癌を検出したり、農業で農産物を選別したり、組立ラインから不良品を除去したりすることがそれにあたります。

時系列データにおける異常検知

ある一定の期間中に収集され、照合された一連のデータから、何が正常で、そして何が異常か特定できるかもしれません。例えば、一定期間ごとに収集された従業員のチェックインデータは時系列データとみなすことができ、チェックイン時間のアノマリーを検出するのに利用できます。
さて、どのような場面でアノマリー検知が利用されているか見たところで、次にアノマリー検知のさまざまな手法を紹介していきます。しかし、その前に、アノマリーの種類を理解しましょう。

アノマリーのタイプ

データ点の異常（外れ値検知）

最も単純で、最も広く観察されているアノマリーのカテゴリーです。ある1つの物体が、他の観測対象から完全に突出している場合、データ点に異常があるとみなされます。

上のグラフでは、ポイント11がアノマリーです。

データセットが徐々に、しかし着実に、増加していることが観察できます。そしてポイント11では、その増加傾向に異常が見られます。ポイント12からはまた正規の範囲に再度下がります。

サイバーセキュリティにおける外れ値検知の例

例えば、ある時刻に１台のサーバーが突如クラッシュした場合、その原因となる要因は一つに限定することができず、複数のパターンが想定されることでしょう。しかし、いくつものサーバーが短期間中で縦続けに故障した場合は、間違いなく何らかのアノマリーであり、潜在的なセキュリティ上の脅威である可能性が高いです。このようなケースに遭遇した場合、ITセキュリティ・チームは細心の注意を払い、厳戒態勢をとるべきです。

部分時系列の異常（異常部位検知）

このようなアノマリーは、特定の時間帯に、特定の状況下で発生します。

上のグラフでは、５の間隔毎に、凹みが発生することがわかります。そして、この凹みの背景に、何か正当な原因や理由があると仮定したとします。しかし、このグラフはよく見てみると、本来あるべきポイント15の地点で凹みがないことにも気がつけます。

これを部分時系列といい、そこに異常がみられるということになります。このようなアノマリーは、グラフが置かれている状況を既に把握している場合にのみ識別することができます。

サイバーセキュリティにおける異常部位検知の例

人事部長は、通常毎日午前10時ごろにログインし、午後7時前にログアウトしています。

ある日、彼女のアカウントが午前3時にログインしたことを確認しました。これは、なんらかの操作ミス、または最悪緊急事態かもしれません。

つまり、セキュリティ・アナリストは、この異常事態が発生した場合、更に調査する必要があります。（特に、対象となるユーザーが今回の様にウォッチリストに登録されている場合は尚更です。）このような異常アラートは、今までのログインとログアウトの情報がなければ、特定することはできなかったでしょう。

部分時系列の異常は、この例の様に、特定の文脈に於いて異常であるが、その文脈の外では異常でないものを指します。

変化点の異常（変化点検知）

変化点の異常は、データポイントのサブセットが他のデータから著しく逸脱しつつも、個々のデータポイント単体だけではアノマリーであるという判断ができないような事象を指します。

上のグラフでは、サーバー毎の通常の営業日のアクティブな特権ユーザーの数を示しています。サーバー4では、特権ユーザーの数が異常に多いようです。しかし、これは他の3つのサーバーのデータと比較することで初めて異常であることがわかります。このような変化点における異常も認識しておかなければなりません。

サイバーセキュリティにおける変化点検知の例

ある特定のサーバーの特権ユーザーの数が急激に増えたとしても、ITセキュリティ・アナリストは、他の3つのサーバーの包括的なデータがなければ、この異常に気付かなかったかもしれません。データの収集や比較は、タイムリーな異常検知に役立つため、ネットワークの安全性を保つ役目を持つセキュリティ・アナリストにとってはとても重要な役割となります。

以上、アノマリーとは何か、そして一般的に使われる様々な種類のアノマリー、そしてサイバーセキュリティの分野で使われるアノマリーが何であるに関する解説ブログでした。