ページの先頭です。

2017/02/15 09:03

[週刊BCN 2017年02月06日付 Vol.1664 掲載]

限定特集

セキュリティと人工知能 サイバー攻撃対策の新たなアプローチ

 日を追うごとに高度化、巧妙化するサイバー攻撃。いくら対策を講じても、セキュリティインシデントの発生が後を絶たず、従来型のセキュリティ対策だけではサイバー攻撃に対抗できないというのが周知の事実となっている。このまま、泣き寝入りするしかないのか。そんななかで、にわかに脚光を浴びつつあるのが人工知能(AI)だ。セキュリティ対策において、AI技術の活用は果たして効果的な施策となるのか。各ベンダーの取り組みから、「セキュリティとAI」の現在を追う。(取材・文/前田幸慧)

マルウェアの侵入を防げない従来型のセキュリティ対策に限界

 サイバー攻撃による被害が後を絶たない。近年は新たな脅威として、感染させたシステムやファイルの使用を制限し、解除と引き換えに金銭を要求する「ランサムウェア」が台頭。トレンドマイクロの調査によると、2016年1月から11月の期間における日本国内の被害件数は2690件を数え、前期比(15年1月~12月)約3.4倍の増加で、過去最大の被害であったとしている。国内で確認されているランサムウェアの多くは、英語で記載されており、世界中で行われている攻撃の一部が日本に流入したものと思われるが、16年10月以降は、断続的に日本語対応したものも発見されていることから、今後ますますランサムウェア被害が拡大する恐れがある。

 こうした被害を許してしまう、現状のセキュリティ対策の課題とは何か。一つは、「マルウェアの感染を防止する」という従来型のセキュリティ対策アプローチの限界だ。これまで、それを主に担ってきたのは、シグネチャベースの「パターンマッチング」技術だ。確かに、パターンファイルによる検出は、既知の脅威においては高い効果を発揮する。しかし、攻撃者は次々に新たなマルウェアや亜種を作成し、攻撃してくる。パターンマッチングはこうした未知のマルウェアへの対応には弱く、対策を打っている間にも攻撃者は新たな攻撃手段を用意するため、いくら対応してもいたちごっこになってしまう。

 また、近年はIoTが普及し、管理しなけらばならないデバイスの数が増加したことで、セキュリティ管理者の負担が重くなっている。24時間365日、セキュリティを監視し、迅速な対処を施していくうえでは、人的リソースを確保することが急務であるが、セキュリティ人材の不足が叫ばれている現状では、それも簡単ではない。

 こうしたことから、大量のトラフィックをリアルタイムに監視し、既知・未知の脅威にかかわらず、組織内部に侵入した際にも人手を介さずに即時対応ができる「スピード」と「スケーラビリティ」を兼ね備えたセキュリティ対策が望まれている。15年頃からは、エンドポイント製品の新ジャンルとして、マルウェア感染後の迅速な検知と対応を実現する「EDR(Endpoint Detection and Response)」が注目されているが、それとともに期待されているのが機械学習やディープラーニング、すなわちAI技術を活用したセキュリティ対策だ。

Cylance Japan セキュリティ業界に現れた新星 被害発生を未然に防止する

 「マルウェア検知率99.7%」。キャッチーな謳い文句とともに、セキュリティ市場に現れたのが米Cylanceだ。同社はマカフィーの元CTOらによって、12年7月に設立されたスタートアップ。AIを搭載し、未知の脅威にも対処可能なエンドポイントセキュリティ製品「CylancePROTECT」で市場に強烈なインパクトを与え、セキュリティでのAI活用を推進するきっかけとなった存在といっても過言ではない。昨年8月には日本法人を立ち上げ、ブルーコートシステムズやパロアルトネットワークスでトップを務めた経験をもつ金城盛弘氏が社長を務めている。

 CylancePROTECTの特徴は、「ファイルのDNA(構造)をAIによって分析し、安全性を予測・判断」できることだ。プログラムファイルを対象に「インフィニティ」と呼ぶクラウド上で稼働するAIエンジンに、あらかじめ「良い」「悪い(=マルウェア)」とラべリングした約10億にも及ぶファイルデータを教師データとして読み込ませて、ファイルサイズやファイルヘッダといったあらゆる特徴点を抽出し、「良い」「悪い」を見分けるしきい値を見出す。一つのファイルに対して、600万から700万の特徴をみているという。そこから、AIが学習を終えると生み出す、データモデル(数理モデル)と呼ばれる計算式を用いて、読み込ませたファイルのスコアを出し、定めたしきい値をもとにして、マルウェアかどうかを判定することができる。Cylance Japanの乙部幸一朗・最高技術責任者(CTO)は、「パターンファイルを使わない。計算で動く計算ソフトのイメージ」と説明。実際、第三者機関のAV-TESTによる評価において、先述した「99.7%」という高い検知率を実現したという。

 CylancePROTECTは、マイクロソフト認定のアンチウイルス製品となっていて、とくに「AIの技術をつかって認定された製品としては世界初」(乙部CTO)だという。軽量な動作と少ないメモリ消費、シグネチャを用いないことから頻繁な定義ファイルの更新が不要であり、ネット接続がなくてもマルウェアの判定が可能だ。

 このAIを用いたマルウェア判定技術で実現するのが、マルウェアの「実行前防御」だ。乙部CTOは、「ほとんどのサイバー攻撃には、マルウェア本体がある。このペイロードを止めに行くことに主眼を置いている」と話す。実行前防御では、マルウェアが動き出す直前にフォーカスして判定を行うことで、被害の発生を未然に防止する。ファイルが動き出していなくとも、「バックグラウンドスキャン」機能によって、ユーザーがまったく作業をしておらず、CPU利用が少ないときに能動的にスキャンをかけることで、自動的にマルウェアを検出、削除することができる。

 また、CylancePROTECTのメイン機能は、AIを活用したマルウェアの実行前防御の機能だが、ほかにも、「メモリ保護」や「スクリプト制御」、「アプリケーション制御」といった機能も搭載している。

 シグネチャや振る舞いに頼らないことから、「既存のアンチウイルス製品とアプローチがまったく違う」と乙部CTOは強調する。これまでのアンチウイルス製品でも機械学習自体は利用されてきているが、それはあくまでシグネチャをつくる過程でのことであり、「当社のように、AIに学習させてデータモデル(数理モデル)を出し、この計算式をベースにマルウェアかどうかを判定するところは他にない。マルウェアの実行を止めることに関しては、どこよりも自信がある」。そのため、Cylanceが市場で非常に注目を集めているわけだ。グローバルでは、現時点で900万台のエンドポイントで稼働。日本でも、現地法人の設立からはまだ約半年と短いが、電機メーカーでの3万台、小売店での8000台といった大型導入をはじめ、金融、証券、製造、自治体などから引き合いがあるようだ。

 今後は、販売体制を強化していく方針。現在、日本における一次代理店は2社、OEMパートナーとしてはIT資産管理ベンダーのエムオーテックスと契約しているが、「ほかにも数社と契約に向けて動いている」(乙部CTO)という。また、CylancePROTECTはあくまでマルウェア感染の予防製品であり、現状は何らかのインシデントが発生したときに対処するEDRの機能を備えていない。ここについては、「今年の夏頃までに、CylancePROTECTの機能としてリリース予定」だとしている。市場にインパクトをあたえた同社が、既存のアンチウイルス製品市場に変革をもたらすか、今後の動向にも注目だ。
※本記事はITビジネス業界紙「週刊BCN」より抜粋したものです。全文は紙面をお読みください。
→定期購読のお申し込みはこちら

■おすすめの記事





PR

週刊BCN購読のお申し込みはこちら

Bizline会員サービス(無料)のご案内 新規会員登録はこちら

PR










ITジュニアの広場

「ITセミナー・イベント」コーナーで注目商品・サービスなどのセミナーを一挙公開!

過去の掲載記事一覧

ITビジネス情報紙「週刊BCN」

ITビジネス情報誌「週刊BCN」
2017年02月06日付 vol.1664
セキュリティと人工知能 サイバー攻撃対策の新たなアプローチ

2017年02月06日付 vol.1664 セキュリティと人工知能 サイバー攻撃対策の新たなアプローチ

「週刊BCN」購読お申し込み
BCN Bizline ITを売るパートナービジネスの創造を

「BCN Bizline」は、株式会社BCNが保有する登録商標です。(商標登録番号第5388735号)