PR

セキュリティにおける真陽性・偽陽性・偽陰性・真陰性

判定マトリックス セキュリティ
2024.12.22
記事内に広告が含まれています。
スポンサーリンク


 某感染症の流行により,「真陽性」,「偽陽性」,「偽陰性」,「真陰性」という言葉がかなり身近なものになりました.
これらのキーワードは,医療や疫学分野に限ったものではなく,AI・データサイエンス分野,情報セキュリティの分野などにおいても,精度評価の指標としてよく用いられます.

 本記事では,情報セキュリティ分野における「真陽性」,「偽陽性」,「偽陰性」,「真陰性」についてまとめています.

スポンサーリンク
スポンサーリンク

改めて定義の再確認

判定マトリックス

真陽性

 真の状態が陽性であるものを,AI・検査により陽性であると正しく判定することです.セキュリティの分野では,トゥルーポジティブ(True Positive)と表現することが多いです.

偽陽性

 真の状態が陰性であるものを,AI・検査により陽性であると誤って判定することです.セキュリティの分野では,フォールスポジティブ(False Positive)と表現することが多いです.

偽陰性

 真の状態が陽性であるものを,AI・検査により陰性であると誤って判定することです.セキュリティの分野では,フォールスネガティブ(False Negative)と表現することが多いです.

真陰性

 真の状態が陰性であるものを,AI・検査により陰性であると正しく判定することです.セキュリティの分野では,トゥルーネガティブ(True Negative)と表現することが多いです.

精度(Accuracy)

 一般的によく用いられる精度(略して,「ACC」と表現することもあります)は,以下の計算式によって求めることができます.

\[ \frac{真陽性+真陰性}{真陽性+偽陽性+偽陰性+真陰性} \]

正解数を全判定数で割ったものが精度になります.直感に即した分かりやすい式だと思います.

閾値(Threshold)

 閾値(いきち,しきいち)は,どの数値以上を陽性とし,どの数値未満を陰性とするかの境界線です.従って,閾値を高く設定すれば偽陽性のリスクは低下しますが,偽陰性のリスクが上昇してしまいます.反対に,閾値を低く設定すれば偽陰性のリスクは低下しますが,偽陽性のリスクが上昇してしまいます.
全体の精度や偽陽性率,偽陰性率の指標を参考にしながら適切な閾値を設定することが重要です.

スポンサーリンク

セキュリティ分野における陽性・陰性

 医療・疫学分野における陽性は,何らかの疾病や感染症に罹患している状態(平たく言えば,病気)を表し,陰性は疾病や感染症に罹患していない状態(平たく言えば,健康)を指すことが一般的です.
一方で,セキュリティの分野においては陽性(Positive),陰性(Negative)がどのような状態を指すのかについては,ケースバイケースになります.
以下の具体例を見てみましょう.

マルウェア検知

 セキュリティ分野で陽性・陰性の概念が登場する代表例は,マルウェア(平たく言えば,コンピュータウィルス)検知です.マルウェアに限らず,異常な通信,サイバー攻撃と読み替えても良いでしょう.

 この場合は,先ほどの疫学・医療分野と同様に,陽性が何らかの攻撃・異常が存在する状態を指します.反対に,陰性が攻撃・異常が存在しない状態を指します.従って,各用語の意味は,以下のようになります.

・トゥルーポジティブ:異常なファイル・通信を異常であると正しく判定する.
・フォールスポジティブ:正常なファイル・通信を誤って異常であると判定する.
・フォールスネガティブ:異常なファイル・通信を誤って正常であると判定する.
・トゥルーネガティブ:正常なファイル・通信を正常であると正しく判定する.

以上の関係から,安全性を重視するのであれば,フォールスポジティブのリスク上昇を受け入れてでも,フォールスネガティブのリスクを下げた方が良いということになります.
反対に,利便性を重視するのであれば,フォールスネガティブのリスク上昇を受け入れてでも,フォールスポジティブのリスクを下げた方が良いということになります.

・安全性重視:閾値を低く設定する.(少しでも不審なら躊躇なく異常と判定)
・利便性重視:閾値を高く設定する.(余程の自信が無い限り,異常とは判定しない.)

本人識別

 続いて挙げられるのが生体認証による本人識別の例です.生体認証は,指紋や虹彩など物理量の読み取りになるため,どうしても誤差が生じてしまいます.この誤差をどこまで許容するのかを閾値として設定することになります.

 まず,先ほどと同じように言葉の関係を確認しましょう.今回は,陽性が「本人」を指し,陰性が「本人以外」を指します.

・トゥルーポジティブ:本人を本人であると正しく判定する.
・フォールスポジティブ:本人以外を誤って本人であると判定する.
・フォールスネガティブ:本人を誤って本人以外であると判定する.
・トゥルーネガティブ:本人以外を本人以外であると正しく判定する.

以上の関係から,安全性を重視するのであれば,フォールスネガティブのリスク上昇を受け入れてでも,フォールスポジティブのリスクを下げた方が良いということになります.反対に,利便性を重視するのであれば,フォールスポジティブのリスク上昇を受け入れてでも,フォールスネガティブのリスクを下げた方が良いということになります.

・安全性重視:閾値を高く設定する.(余程の自信が無い限り,本人とは判定しない.)
・利便性重視:閾値を低く設定する.(誤差の影響を考慮し,本人判定の幅を広げる.)

 「フォールスポジティブ」や「フォールスネガティブ」,「閾値」の設定に関する説明が先ほどのマルウェア検知の例とは逆転していることにお気付きでしょうか?
セキュリティの分野では,このようにその時々によって言葉の意味が反転することがあるので,注意が必要です.

スポンサーリンク
スポンサーリンク
セキュリティ
シェアする
しばをフォローする
しば
タイトルとURLをコピーしました