今日の不正検出における主要な課題の 1 つは、AI を活用した検出サービスのブラック ボックス性です。これらのツールは、複雑なリスク パターンが発生したときにチームが迅速に検出できるように設計されており、多くの場合、これらの判定に至った経緯に関する情報なしで推奨事項やリスク スコアを返すため、ユーザーがモデルを調整および更新したり、チーム間で共同作業したり、詐欺の申し立てに関する決定を正当化したり、規制遵守を証明したりすることが困難になります。幸いなことに、機械学習におけるモデルの説明可能性という新興分野の技術である SHAP 値は、これらの問題に取り組むことを目的としています。このブログでは、SHAP 値とは何か、どのように機能するか、また Transmit Security の検出および対応サービスが AI を活用した意思決定ロジックの透明性を実現するために SHAP 値をどのように活用するかについて説明します。
モデルの説明可能性の必要性
適切な人間による監視なしに AI を実装すると、あらゆる種類の偏見や不正確さが生じる可能性があります。その結果、融資を承認するか、詐欺の申し立てを拒否するか、重要なサービスへのアクセスを提供するかといった重要な決定を下すために使用されるモデルは、その決定メカニズムに十分な透明性を提供することが必須となります。モデルの説明可能性は、意思決定に寄与した個々の要因の重要性をユーザーが理解できるようにすることに焦点を当てた機械学習 (ML) の分野です。使用例は次のとおりです。
- 法律および規制の要件の遵守
- モデルのパフォーマンスを改善し、独自のビジネスニーズに合わせてカスタマイズする
- 関係者間の協力とコミュニケーションを促進する
- 偏見を避けるためにAIシステムの説明責任と透明性を高める
- 監査人や規制当局がAIモデルをレビューおよび監査できるようにする
モデルの説明可能性にはさまざまな技術が含まれますが、リスク、信頼、詐欺、ボット、動作検出の分野で特に有望視されているのが、SHapley Additive exPlanations (SHAP 値) です。
SHAP 値とは何ですか? また、どのように機能しますか?
SHAP 値は、説明可能性をモデル化するゲーム理論的アプローチであり、次の透明性を提供します。
- MLモデル内のさまざまな機能の重要性
- 各機能がマイナスの影響を与えるかプラスの影響を与えるか
- さまざまな特徴が個々の予測にどのように貢献するか
この最後の概念は、SHAP 値を、データセット全体における予測に特徴がどのように貢献するかの集計結果を返す、グローバルな説明可能性のみを提供する他のモデル説明可能性手法と区別します。SHAP 値を使用すると、研究者は個々の予測のローカルな説明可能性も得られるため、詐欺調査に使用するのに最適であり、さらに誤検知や偽陰性が検出された場合にモデルを迅速に調整できるようになります。
SHAP値の計算
SHAP は、計算効率の高い方法で Shapley 値を計算できるフレームワークです。ゲーム理論では、シャプレー値を使用して、特定のプレイヤーの入力があった場合となかった場合と比較して獲得したポイント数の加重合計と、すべての可能なプレイヤーのサブセットに基づいてポイント値がどのように異なるかを計算することにより、各プレイヤーが勝敗にどれだけ貢献したかを示すことができます。この同じロジックを ML アルゴリズムに適用して、個々の機能 (モデルがパターンや関係性を学習するために使用するデータの測定可能な特性または属性) の重要性を判断できます。この特徴をモデルから削除するか、その値の重みを変更するとモデル内のエラー率が大幅に増加する場合、それはモデルの意思決定プロセスにおける重要な要素と見なすことができます。
SHAP 値は不正行為検出にどのように使用できますか?
脅威インテリジェンスを活用して新たな攻撃パターンや手法を特定することで、データサイエンティストは適切なトレーニングデータと機能を選択して不正検出モデルをトレーニングし、機能エンジニアリングを使用して微調整して、可能な限り最良の結果を得ることができます。 機械学習に関するブログ投稿。最適なモデルを選択した後、SHAP ライブラリを使用して、モデル内の各機能の SHAP 値を計算できます。負の値は、信頼の指標としての特徴のグローバルな関連性を示しますが、正の値は、より高いリスク スコアに寄与するグローバルなリスク シグナルを表します。これは、さまざまな方法で視覚化でき、さまざまな特徴によって決定される重要性と方向性の両方を示します。さらに、結果を取得して、各機能が個々の予測にどのように貢献したかを視覚化することもできます。
Transmit Security の検出および対応サービスでは、SHAP 値をどのように活用しますか?
モデルのトレーニングと継続的な研究
Transmit Security の検出および対応サービスの ML モデルは、次の基準に基づいて新しい攻撃 MO を検出するように継続的にトレーニングされます。
- ダークウェブからの応用情報
- 最近の侵害から盗まれた認証情報
- 脅威アクターとの関わり
- 攻撃ツールとマルウェアのリバースエンジニアリング
- レッドチームによる攻撃シミュレーション
この脅威インテリジェンスは、新たな脅威のパターン、手法、回避戦術に基づいて ML モデルをトレーニングするために使用するデータと機能を選択するために活用されます。その後、研究者が攻撃ツールをリバースエンジニアリングして作成した合成データを使用してモデルを評価し、実際のユーザーデータでテストすることで、モデルの検出機能を最適化し、可能な限り最良の結果を得ることができます。
新しいモデルは継続的に頻繁に導入されるため、モデルは検出結果を自動的に適用して新たな脅威をリアルタイムで検出し、アクション トリガーとしてサービスの推奨事項である拒否、チャレンジ、許可、信頼を使用して対応を調整できます。各関連アクションのユーザー リクエストごとに、SHAP 値を使用して計算された推奨の主な理由とともに、UI と API を介して推奨事項が返されます。
不正アナリストは、この情報を調査に使用したり、偽陽性や偽陰性を素早く検出して、当社の ラベル API 。個々のユーザー行動のパターンが時間の経過とともに構築されるにつれて、企業は信頼できるデバイスのフィンガープリント、既知の IP、行動バイオメトリクスなどの使用パターンに基づいて、ユーザーのリスクと信頼のシグナルに対するより高いレベルの保証を得ることができます。さらに、SHAP 計算では、ボットの動作など、リスクと信頼のグローバル指標が UI ダッシュボード内の豊富な視覚化を通じて公開されるため、アナリストは大規模な詐欺キャンペーンを示唆する全体的な傾向をすばやく確認し、チーム間で情報を共有し、これらの攻撃パターンに迅速に適応するための最善の行動方針を決定できます。
結論
結局のところ、企業は顧客に対して、信頼できるユーザーと悪意のあるユーザーを見分けるだけでなく、その決定を説明して擁護する責任を負っています。モデルがどれだけ正確であっても、「アルゴリズムがそうさせた」という説明では、アカウントが停止された理由やローン申請が拒否された理由を知りたい顧客を満足させることは難しいでしょう。Transmit Security は、検出および対応サービスで SHAP 値を活用することで、ユーザーにこの透明性を提供し、不正分析、セキュリティ チーム、その他の関係者の作業を簡素化します。検出と対応の詳細については、こちらをご覧ください。 MLベースの異常検出の詳細 行動中または ケーススタディ全文を読む 米国の大手銀行が当社のサービスを活用して、予測される詐欺被害額と運用コストの削減から 1300% の投資収益率を獲得した方法をご覧ください。
