誤検知
誤検知 とは何ですか?
誤検知正常な活動を悪性として検知してしまうセキュリティアラート。アナリストの時間を消費し、検知ルールへの信頼を損なう。
誤検知は、検知ルール・シグネチャ・異常モデルが正常な振る舞いを脅威と分類したときに発生します。広すぎるシグネチャ、テスト環境、ソフトウェア更新、定期スキャン、攻撃的すぎるベースラインなどが主な原因です。誤検知は分析者の集中力を奪い、SOAR プレイブックを発火させ、アラート疲れを助長するため非常にコストが高くなります。検知エンジニアリングチームはルール単位で誤検知率を計測し、ロジックを調整し、許可リストや文脈の付与を行い、十分に特異化できないルールは廃止します。目標はアラートをゼロにすることではなく、適合率・再現率・運用コストのバランスを取ることです。
● 例
- 01
セキュリティチーム自身が実行した脆弱性スキャンを IDS ルールが攻撃と判定する。
- 02
PowerShell を子プロセスとして起動するソフトウェアアップデータを EDR が悪性と判断する。
● よくある質問
誤検知 とは何ですか?
正常な活動を悪性として検知してしまうセキュリティアラート。アナリストの時間を消費し、検知ルールへの信頼を損なう。 サイバーセキュリティの 防御と運用 カテゴリに属します。
誤検知 とはどういう意味ですか?
正常な活動を悪性として検知してしまうセキュリティアラート。アナリストの時間を消費し、検知ルールへの信頼を損なう。
誤検知 はどのように機能しますか?
誤検知は、検知ルール・シグネチャ・異常モデルが正常な振る舞いを脅威と分類したときに発生します。広すぎるシグネチャ、テスト環境、ソフトウェア更新、定期スキャン、攻撃的すぎるベースラインなどが主な原因です。誤検知は分析者の集中力を奪い、SOAR プレイブックを発火させ、アラート疲れを助長するため非常にコストが高くなります。検知エンジニアリングチームはルール単位で誤検知率を計測し、ロジックを調整し、許可リストや文脈の付与を行い、十分に特異化できないルールは廃止します。目標はアラートをゼロにすることではなく、適合率・再現率・運用コストのバランスを取ることです。
誤検知 からどのように防御しますか?
誤検知 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
誤検知 の別名は何ですか?
一般的な別名: FP, 良性アラート。
● 関連用語
- defense-ops№ 405
見逃し
検知が捕捉できなかった悪性活動。脅威が気付かれず進行し、攻撃者は検知されないまま行動を継続できる。
- defense-ops№ 041
アラート疲れ
過剰・低価値・重複したセキュリティアラートによってアナリストが感覚を失い、本来の対応が遅れる状態。
- defense-ops№ 307
ディテクションエンジニアリング
脅威モデルに基づいて検知をコードとして設計・テスト・展開・運用し、攻撃手法に対する網羅性を測定可能にする実践分野。
- defense-ops№ 1039
SIEM
企業全体のセキュリティテレメトリを集約・正規化・相関分析し、検知・調査・コンプライアンス・レポートを支援するプラットフォーム。
- network-security№ 048
アノマリベース検知
正常な活動のベースラインを構築し、そこからの逸脱を潜在的に悪意があるものとして検出するアプローチ。
● 関連項目
- № 1040SIEM ルールチューニング