** 本記事は、Small world: The revitalization of small AI models for cybersecurity の翻訳です。最新の情報は英語記事をご覧ください。**
ここ数か月から数年、新たなテクノロジーと世界的な熱狂に後押しされ、複数の分野で AI の統合が波のように押し寄せています。エンジニアリングから人事まで、組織のあらゆるレベルで AI アシスタント、要約モデル、コードアシスタント、チャットボットが登場しています。これらのモデルの影響は、専門的なものにとどまらず、個人にも及んでいます。コードを書く能力、情報を特定する能力、難解なテキストを要約する能力、新しいアイデアをブレインストーミングする能力などが強化されています。
どれもごく最近の出来事と思われるかもしれませんが、AI は長年にわたりサイバーセキュリティの基盤に組み込まれてきました。しかし、改善の余地はまだあります。たとえば、サイバーセキュリティ業界では、モデルが大規模に展開され、1 日に数十億件ものイベントを処理することがしばしばあります。通常、話題に登る大規模言語モデル (LLM) は高い性能を発揮し人気を集めていますが、この種のアプリケーション用には適していません。
数十億件ものイベントを処理するために LLM をホストするには、広範な GPU インフラストラクチャと大量のメモリが必要となります。特殊なカーネルやルックアップテーブルを用いたキーバリューキャッシュのパーティショニングといった最適化技術を適用した後でも変わりません。付随するコストと保守は、多くの企業にとって実現不可能であり、特にファイアウォールやドキュメント分類など、モデルを顧客のエンドポイントで実行する必要がある導入シナリオでは困難です。
LLM を維持するための計算要件が、多くのサイバーセキュリティアプリケーション、特にリアルタイム処理や大規模処理を必要とするものには非現実的であるため、小型で効率的なモデルが重要な役割を果たします。
サイバーセキュリティにおける多くのタスクは生成的なソリューションを必要とせず、代わりに小型モデルによる分類で解決できます。小型モデルは費用対効果が高く、エンドポイントデバイスやクラウドインフラ内でも実行可能です。サイバーセキュリティにおける生成 AI のユースケースと見なされがちなセキュリティコパイロットの一部も、アラートのトリアージや優先順位付けなど、分類によって解決できるタスクに分解できます。小型モデルは、悪意のあるバイナリの検知、コマンドライン分類、URL の分類、悪意のある HTML の検知、メールの分類、ドキュメントの分類など、他の多くのサイバーセキュリティ上の課題にも対処できます。
小型モデルの主な問題はその性能です。性能は、学習データの品質と規模に左右されます。サイバーセキュリティベンダーとして、ソフォスは豊富なデータを持っていますが、そのデータをどう最大限に活用するか、という課題が常に存在します。従来、データから有用なシグナルを抽出するアプローチの一つとして「AI-アナリストフィードバックループ」が用いられてきました。AI 支援型 SOC (セキュリティオペレーションセンター) で、モデルの予測に対するアナリストからの評価や推奨事項を統合することで、モデルの精度が向上します。しかし、このアプローチは人力での作業を要するため、規模が制限されます。
そこで登場するのが LLM です。アイデアはシンプルでありながら革新的です。大規模モデルを断続的かつ戦略的に使用することで、小型モデルをより効果的に訓練するというものです。LLM は、大量のデータから有用なシグナルを抽出し、既存のラベルを修正したり、新しいラベルを提供したり、現在の分布を補完するデータを生成したりするための最も効果的なツールです。
小型モデルの学習プロセスに LLM の能力を活用することで、その性能を大幅に向上させられます。高価な大規模モデルの高度な学習能力と、小型モデルの高い効率性を融合させることで、高速で商業的に実現可能かつ効果的なソリューションを生み出せます。
このアプローチには、知識蒸留、半教師あり学習、合成データ生成という 3 つの主な手法があります。それぞれについて本記事で深く掘り下げていきます。
- 知識蒸留は、大規模モデルが学習した知識を転送することで小型モデルを訓練し、大規模な導入に伴う余分なコストや手間をかけることなく、小型モデルの性能を向上させます。このアプローチは、手動での再ラベリングが困難な、無視できないラベルノイズを含むドメインでも有用です。
- 半教師あり学習では、ラベル付けがされていないデータに大規模モデルがラベルを付けることで、小型モデル学習用のより豊富なデータセットを作成します。
- 合成データ生成では、大規模モデルが新しい合成例を生成し、小型モデルの訓練に用いることで、より堅牢なモデルを作成します。
知識蒸留
Richard Sutton 氏が提唱した機械学習の有名な「痛い教訓 (Bitter Lesson)」は、「計算を活用する手法が最終的には最も効果的」だとしています。モデルはより多くの計算リソースとデータを用いることで強化されます。高品質なデータセットの規模を拡大するのは容易ではありません。専門のアナリストが手動でイベントにラベルを付けるには時間に限りがあるためです。そのため、データセットはしばしばさまざまなシグナルを用いてラベル付けされ、中にはノイズが含まれることもあります。
アーティファクトを分類するためにモデルを訓練する際、訓練中に提供されるラベルは通常、カテゴリカルです。具体的には、「0」か「1」、「無害」か「悪性」といったものです。知識蒸留では、生徒モデルはカテゴリカルなラベルと、教師モデルの出力分布を組み合わせて訓練されます。このアプローチにより、ノイズの多いラベルが存在する場合でも、より小さく安価なモデルがより大規模で十分に訓練された教師モデルの挙動を学習し、模倣できます。
大規模モデルは、多くの場合、ラベルに依存しない方法で事前学習され、利用可能な文脈を用いてシーケンスの次の部分やマスクされた部分を予測するように求められます。これにより、言語や構文の一般的な知識がモデルに備わり、その後は、事前学習済みモデルを特定のタスクに適合させるための少量の高品質データだけが必要となります。専門アナリストによってラベル付けされたデータを学習した大規模モデルは、膨大な量の (おそらくはノイズの多い) データを用いて小型の生徒モデルを訓練できます。
2024 年 10 月に開催された情報セキュリティにおける応用機械学習会議 (CAMLIS) でソフォスが発表したコマンドライン分類モデルに関する研究は、このアプローチを裏付けるものです。LOLBin (環境寄生型バイナリ) は、標的の OS に存在する一般的に無害なバイナリを利用して、悪意のある挙動を隠蔽します。ソフォスは、大規模教師モデルの出力分布を利用して、元々ノイズの多いシグナルでラベル付けされた大規模なデータセットで小型の生徒モデルを訓練し、コマンドを「無害なイベント」または「LOLBin 攻撃」のいずれかに分類させました。次に、この生徒モデルを現在の本番環境モデルと比較しました (図 1 参照)。結果は明白でした。監視期間中、誤検知が減少し、正しい検知が増加したことからも明らかなように、新しいモデルの質は本番環境モデルを大幅に上回りました。このアプローチは、既存のモデルを強化しただけでなく、費用対効果も高く、訓練中に大規模モデルを利用して大規模データセットのラベリングをスケールアップできることを示しています。
図 1: 旧本番環境モデルと新 (知識蒸留後) モデルのパフォーマンスの違い
半教師あり学習
セキュリティ業界では、シグネチャ、クラスタリング、手動レビュー、その他のラベリング手法では効果的にラベル付けできない大量のデータがお客様のテレメトリから生成されます。前のセクションにおけるノイズの多いラベル付きデータの場合と同様に、モデルの改善に必要な規模で、ラベルなしデータに手動でアノテーションを行うことも現実的ではありません。しかし、テレメトリからのデータには、モデルが実際に導入された後に経験する分布を反映した有用な情報が含まれており、破棄すべきではありません。
半教師あり学習は、ラベルなしデータとラベル付きデータの両方を活用してモデルの性能を向上させます。ソフォスの大規模/小型モデルパラダイムでは、まずオリジナルのラベル付きデータセットで大規模モデルを訓練またはファインチューニングすることによって実装します。その後、この大規模モデルはラベルなしデータにラベルを生成するために使用されます。リソースと時間が許す限り、このプロセスは反復的にくり返せます。新しくラベル付けされたデータで大規模モデルを再訓練し、改善されたモデルの予測でラベルを更新していきます。予算の制約、または大規模モデルの性能が頭打ちになるなどして反復プロセスが終了すると、最終的なデータセット (大規模モデルからのラベルで補完されています) が、小型で効率的なモデルの訓練に利用されます。
ソフォスは、この半教師あり学習手法を用いることで、小型の Web サイト生産性分類モデルにおいてほぼ LLM に匹敵する性能を達成しました。シグネチャによってラベル付けされた URL で LLM (T5 Large) をファインチューニングし、この LLM を使用してラベルなし Web サイトの生産性カテゴリを予測しました。特定の数の学習サンプルに対し、ソフォスは異なるデータ構成を学習した小型モデルの性能をテストしました。最初はシグネチャによってラベル付けされたデータのみで訓練し、その後、訓練された LLM が後からラベル付けした、元々ラベルなしだったデータの比率を増やしました。学習セットに含まれていないドメインの Web サイトでモデルをテストしました。図 2 を見ると、ラベルなしサンプルをより多く利用するにつれて、小型モデル (最も小規模な eXpose はたった 300 万件強のパラメーターで、LLM の約 238 分の 1) の性能が、最も優れた LLM 構成の性能に近づいていることがわかります。この結果は、小型モデルが学習中にラベルなしデータから有用なシグナルを受け取ったことを示しています。これらのシグナルは、モデルが運用される際に直面する、インターネットのロングテールを反映しています。テレメトリからは膨大な量のラベルなしデータが取得できるため、この半教師あり学習の形式は、サイバーセキュリティにおいて特に強力な技術です。大規模モデルのおかげで、これまで利用できなかったデータを活用し、費用対効果の高いモデルで性能を飛躍的に向上させられます。
図 2: LLM でラベル付けされたデータの量が増加するにつれて、強化された小型モデルの性能が向上する様子
合成データ生成
ここまでは、ラベル付きまたはラベルなしの既存のデータソースを使用して学習データを拡大し、これらのデータを用いてモデルの性能を向上させる方法を検討してきました。しかし、お客様のテレメトリは網羅的ではなく、存在する可能性のあるすべての分布を反映しているわけではありません。また、手動で範囲外のデータを収集するのは非現実的です。LLM は事前学習中に、記録された膨大な量の公開知識 (数兆トークンの規模) に触れています。文献によると、この事前学習は LLM が保持する知識に非常に大きな影響を与えます。LLM は、事前学習中に触れたデータに類似したデータを生成できます。現在のデータソースからシードや例となるアーティファクトを LLM に提供することで、新しい合成データを生成できます。
以前の研究では、シンプルな e コマーステンプレートから始め、GPT-4 によって編成されたエージェントが HTML から広告に至るまで、詐欺キャンペーンのあらゆる側面を生成できることを実証しました。さらに、そのキャンペーンは任意の数のフィッシング EC サイトにまで規模を拡大できます。各 EC サイトには、独自の製品カタログを表示するランディングページ、ユーザーのログイン認証情報を盗むための偽の Facebook ログインページ、およびクレジットカード情報を盗むための偽の精算ページが含まれています。偽の Facebook ログインページの例を図 3 に示します。EC サイトは、宝石、紅茶、カーテン、香水、サングラス、クッション、バッグなどの製品展示用に生成されました。
図 3: ある詐欺キャンペーンで確認された、AI が生成した Facebook ログインページURL は一見本物に見えますが、AI が本物らしく見せるために設計した偽のフレームです。
ソフォスは、各 EC サイトの偽 Facebook ログインページの HTML を、本番環境の二値分類モデルを使用して評価しました。正規表現で HTML から抽出された入力トークンが与えられると、ニューラルネットワークがマスターコンポーネントとインスペクターコンポーネントで構成されます。これにより、コンテンツを階層的な規模で検査できるようになります。本番環境モデルは、それぞれの偽 Facebook ログインページを自信を持って「無害」に分類しました。モデルの出力結果は表 1 に示されています。低いスコアは、GPT-4 が生成した HTML が本番環境モデルの学習分布外にあることを示しています。
私たちは、EC サイトからの合成 HTML を用いて、2 つの新しい学習セットを作成しました。セット V1 では、「クッション」と「バッグ」の EC サイトを評価用データとして保持し、他のすべての EC サイトを学習セットに使用しました。セット V2 では、「宝石」の EC サイトを学習セットに使用し、他のすべての EC サイトを評価用データとして保持しました。それぞれの新しい学習セットについて、学習セット内のすべてのサンプルが悪意のあるものと分類されるまで、本番環境モデルを訓練しました。表 1 は、セット V1 および V2 における、学習後の評価用データに対する各モデルのスコアを示しています。
| モデル | |||
| フィッシング EC サイト | 本番環境 | V1 | V2 |
| 宝石 | 0.0003 | – | – |
| 茶 | 0.0003 | – | 0.8164 |
| カーテン | 0.0003 | – | 0.8164 |
| 香水 | 0.0003 | – | 0.8164 |
| サングラス | 0.0003 | – | 0.8164 |
| クッション | 0.0003 | 0.8244 | 0.8164 |
| カバン | 0.0003 | 0.5100 | 0.5001 |
表 1: GPT-4 が生成した HTML による偽の Facebook ログインページに対する HTML 二値分類モデルスコア。学習セットで使用された Web サイトは、V1/V2 データではスコア付けされていません。
継続的な学習が本番環境モデルの挙動に影響を及ぼさないようにするため、追加のテストセットで性能を評価しました。ソフォスのテレメトリデータを使用して、2024 年 6 月のラベル付き HTML サンプルすべてを収集しました。6 月のテストセットには、悪意のあるサンプル 1,179,562 件と無害なサンプル 1,748,157 件を含む、合計 2,927,719 件のサンプルが含まれています。表 2 は、本番環境モデルと両方の学習セットを用いたモデルの性能を示しています。継続的な学習により、実世界のテレメトリデータに対するモデルの全体的な性能が向上しています。
| モデル | |||
| メトリック | 本番環境 | V1 | V2 |
| 精度 | 0.9770 | 0.9787 | 0.9787 |
| AUC | 0.9947 | 0.9949 | 0.9949 |
| Macro Avg F1 スコア | 0.9759 | 0.9777 | 0.9776 |
表 2: 実世界の評価用 HTML データに対する、合成データで訓練されたモデルと本番環境モデルの性能比較。
結論
大規模モデルと小型モデルの融合によって、新しい研究の道が拓かれます。時代遅れになったモデルの改良や、これまで利用できなかったラベルなしデータの活用が可能となり、小型で費用対効果の高いサイバーセキュリティモデルの分野で革新が生まれています。LLM を小型モデルの学習プロセスに統合することは、商業的に実現可能で戦略的にも健全なアプローチです。計算コストの高い LLM を大規模に導入することなく、小型モデルの能力を増強できます。
LLM は最近の AI とサイバーセキュリティに関する議論を席巻していますが、より有望な可能性は、サイバーセキュリティ運用の基盤を成す小型で効率的なモデルの性能を強化するために、LLM の能力を活用することにあります。知識蒸留、半教師あり学習、合成データ生成といった技術を採用することで、私たちはサイバーセキュリティにおける AI の基礎的な利用を革新し、改善し続けられます。これらの技術により、進化し続ける脅威環境において、お客様のシステムを回復力があり、堅牢で、時代を先取りしたものに保つことが可能になります。このパラダイムシフトは、既存の AI インフラの有用性を最大化するだけでなく、高度なサイバーセキュリティ機能を民主化し、あらゆる規模の企業が利用できるようにします。
