「誤検知(フォルスポジティブ)」は、本来異常ではないものを異常と判断してしまうことで、「過検知」はこの誤検知の一種で、特に検知の精度を高めた結果、見たくないものまで検知してしまう状況を指します。これはセキュリティ対策製品で正常なプログラムをマルウェアと判断するケースや、AIによる画像認識で正常な製品を不良品と判定するケースなど、さまざまな分野で発生します。誤検知が増えると運用負荷が高まり、本来の脅威を見逃すリスクも生じます。
誤検知(フォルスポジティブ)
- 定義:正常な事象を誤って異常と判断してしまうこと、または実際には脅威ではないものを「脅威あり」と検出してしまうこと。
- 具体例:
- セキュリティ製品が正常なファイルをマルウェアと誤認する。
- AI画像認識で、正常な製品を傷や汚れのある不良品だと判断する。
- 不正アクセス検知システムが、正規のユーザーのアクセスを不正なものとして検知する。
補足
フォルスネガティブ(False Negative)は、実際には異常や脅威があるにもかかわらず、それを正常と誤って判断してしまうことを指し、「偽陰性(ぎいんせい)」とも呼ばれます。主にサイバーセキュリティの分野で、マルウェアや不正アクセスを見逃したり、医療分野で病気を誤って見過ごしたりする現象を指します。
過検知
- 定義:誤検知の中でも、特に検知の精度を上げようとした結果として発生する誤検知を指す場合があります。または、見たくないもの(正常なもの)まで見つけてしまう(検出してしまう)状態を指します。
- 原因:検知の精度を高めようとルールの感度を上げると、些細な異常を捉えたり、正常なものまで検知する傾向が強まります。
主な影響
- 運用負荷の増大:大量のアラートに対応するため、セキュリティ担当者や運用者の負担が増加し、「アラート疲れ」を引き起こす原因になります。
- 生産性の低下:外観検査の例では、正常な製品を不良品と判断することで、生産効率が低下し、コストが増加します。
- 本来の脅威の見逃し:過検知によるアラートが多すぎると、本当に重要なアラートが見落とされやすくなります。
対策
- チューニングと調整:誤検知を減らすために、検知システムのルールや感度を調整したり、AIの学習データを見直して精度を向上させたりします。
- 人間による判断:セキュリティ製品などでは、AIが検知した挙動やアラートを最終的にセキュリティ担当者が判断する「人間による判断」を挟むことで、誤検知を減らします。
コメント