異常検知 いじょうけんち
外れ値検出不正検知故障予知教師なし学習時系列分析セキュリティ
異常検知について教えて
簡単に言うとこんな感じ!
「いつもと違うパターン」を自動で見つける技術だよ!工場の機械が壊れる前兆、クレジットカードの不正利用、サーバーへの不審なアクセス……普段と違う動きを「あ、これおかしい!」と検知するんだ。「正常な状態」を学習して、そこからズレたものを見つけるのがポイント!
異常検知とは
異常検知(Anomaly Detection) とは、データの中から「正常とは異なるパターン・値」を自動で検出する機械学習・統計の技術です。外れ値検出(Outlier Detection) とも呼ばれます。不正利用・故障・サイバー攻撃など、「何か問題が起きているとき」にデータの振る舞いが変わることを利用して、問題を早期発見します。
異常検知の大きな特徴は、ラベル付きデータが不要(または少量でよい) 点です。「不正な取引」「故障したデータ」は現実には希少で、ラベルを付けて大量収集することが困難です。そこで「正常な状態のデータだけで学習し、そこから大きくズレたものを異常と判断する」教師なし・半教師あり のアプローチが主流です。
ビジネスでの主な活用は、①製造業の設備故障予知(振動・温度センサーデータの異常検知)、②金融の不正検知(普段と異なる購買パターンの検出)、③セキュリティ監視(社内ネットワークへの不審なアクセス検知)、④品質管理(製品の外観検査AI)の4分野です。
異常検知の主な手法
異常の種類
| 種類 | 説明 | 例 |
|---|---|---|
| 点異常 | 単一のデータポイントが異常 | 突発的な大額取引 |
| 文脈異常 | 文脈上では異常(単体では正常) | 夜中の大量ファイルアクセス |
| 集合異常 | 複数点のパターンが異常 | 短時間での連続ログイン試行 |
歴史と背景
- 1960〜70年代 — 統計的な外れ値検出(チェビシェフの不等式など)が品質管理で活用
- 1980年代 — セキュリティ分野で侵入検知システム(IDS) が登場。ルールベース主体
- 2000年代 — Isolation Forestなど機械学習ベースの手法が論文発表(2008年)
- 2010年代 — ディープラーニング(Autoencoder・LSTM)で複雑なパターン検知が可能に
- 2015年〜 — IoTデバイスの普及で製造業・インフラの予知保全への活用が急増
- 2020年代 — LLMを使ったログ異常検知(自然言語ベースの説明付き検知)が登場
異常検知の実装フロー
- 正常データの収集 — 異常でないデータを大量に収集・整備
- 特徴量設計 — センサー値・ログカウント・統計特徴量など
- モデル学習 — 正常パターンを学習(Isolation Forestなど)
- スコアリング — 新データに「異常スコア」を付与
- 閾値設定 — どのスコア以上をアラートにするか決定
- 運用・フィードバック — 誤検知・見逃しを継続的に改善
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| ISO 13381-1 | 機械の状態監視・診断に関する規格(予知保全) |
| NIST SP 800-94 | 侵入検知・防止システムのガイドライン |
関連用語
- 教師なし学習 — ラベルなしデータからパターンを発見する手法
- クラスタリング — データを似た者同士でグループ化する手法
- One-Class SVM — 正常データのみで学習する外れ値検出手法
- 時系列分析 — 時間的な変化のパターンを扱う分析手法
- ランダムフォレスト — アンサンブル学習による分類・異常検知
- 深層学習 — ニューラルネットワークを多層化した機械学習
- 精度・再現率・F1スコア — 分類モデルの性能評価指標