フォールスポジティブ

フォールスポジティブ（False Positive）は、異常や脅威が存在しない正常なコンテンツを「問題あり」と誤って判定する現象です。
ITや医療など多くの分野で使用されている概念で、情報セキュリティ分野では、セキュリティツールが正常なファイルや通信を「マルウェア」と誤認し、悪意のあるコンテンツとして分類してしまうことを指します。
フォールスポジティブの発生は、以下のような影響をもたらします。

業務効率の低下

誤検知によって、正常な通信や重要なデータが遮断・削除されることがあります。一時的にシステムやファイルにアクセスできなくなるなどの支障が起こり、業務効率が低下します。

本当の脅威を見過ごすリスク

誤ったアラートが頻発すると警戒心が薄れ、重要な警告を見逃してしまう恐れがあります。このような油断や不信感は、重大なセキュリティインシデントを招く原因となります。

リソースの消費

アラートの対応に人員や時間が費やされ、新たなセキュリティ対策に充てるべきリソースが削られます。結果的に企業全体のセキュリティレベルが低下する可能性もあります。

フォールスポジティブが発生する主な要因として、以下の点が挙げられます。

システムの設定が適切でない

セキュリティシステムの検出ルールが厳しすぎると、正常な通信や操作を脅威と誤認する可能性が高くなります。機能の重複や設定に矛盾がある場合も同様です。また、システム環境や業務プロセスの変更が検出ルールに反映されないまま運用していると、誤認知の原因になります。

学習データが不十分

機械学習（※1）を用いたセキュリティシステムでは、学習データの質が検出精度に大きく影響します。不十分なデータでは正常なパターンを判別できず、フォールスポジティブが増える可能性があります。

ソフトウェアのバグや不具合

セキュリティツールのソフトウェアに欠陥がある場合、誤検知が発生する可能性があります。他のソフトウェアやハードウェアと互換性が低い場合も、フォールスポジティブにつながります。

通常と異なる行動パターン

新しいソフトウェアの導入や業務内容の変化により、安全な行動が異常と判断される場合があります。例えば、繁忙期などで複数のユーザーが同時にアクセスする状況や、通常と異なるIPアドレスからのアクセスが不正とみなされる可能性があります。

セキュリティシステムの誤検知には「フォールスポジティブ」と「フォールスネガティブ」の２つがあります。以下に、両者の違いを解説します。

フォールスポジティブが発生する具体的なケースを紹介します。

IDS / IPSにおける誤検知

不正侵入検知システム（IDS）や侵入防止システム（IPS）が、正常な通信を「異常」と誤検知するケースです。例えば、バックアップなどで大量のデータ送信が集中すると、DDoS攻撃と誤認されて遮断される場合があります。

AIの異常検知モデルによる誤分類

AIを用いた異常検知モデルが誤分類するケースです。正常なデータや動作を「異常」と判断し、システムへのアクセスが制限され、使用できなくなることがあります。

ウイルスシグネチャによる誤検知

ウイルスシグネチャ（マルウェアの識別情報）が誤検知するケースです。ウイルス対策ソフトは、ウイルスシグネチャをデータベースに登録し、それと照合することでマルウェアを検出します。しかし、そのシグネチャが古い場合や誤りが含まれている場合、業務に必要なファイルをマルウェアと誤認し、隔離・削除される可能性があります。

フォールスポジティブの発生を完全に防ぐことは困難ですが、以下のような対策を講じることでリスクを軽減することができます。

検出ルールの適切な設定

セキュリティソフトの設定を最適化し、通常の動作を誤検知しないよう調整します。条件を下げすぎると脅威を見逃すリスクが高まりますが、過剰に上げすぎても誤検知が増えるため、業務に合わせて適切に設定することが重要です。

機械学習モデル（※2）の定期的な更新

機械学習モデルは、時間の経過とともに精度が低下するのが一般的とされています。最新データを用いて定期的に正常なパターンを学習させることで、より高精度な検出が可能となり、不必要なアラートを減らすことができます。

フィードバックループの構築と最適化

誤検知に関するフィードバックで得られた情報を活用し、フォールスポジティブの原因を分析・修正する仕組みを構築します。このプロセスを定期的に繰り返すことで、誤検知が起こりやすい傾向を把握でき、検出精度の向上が期待できます。