Special
» 2017年03月01日 10時00分 UPDATE

ディープラーニングを使ったサイバー攻撃対策:ひとり情シスの救世主! 人工知能を用いたマルウェア対策が、サイバー攻撃対応レベルを劇的に向上させる!

従来のウイルス対策製品では対応しきれない現状に新しいキーワードとして登場したのが「人工知能(AI)」だ。人工知能を活用することで、攻撃の進化に負けないスピード感を持って対策を講じることができる可能性があるといわれている。では、本当に人工知能でウイルス対策製品は変わるのだろうか? 詳細を専門家に探ってみた。

[PR/@IT]
PR

人工知能に起死回生をかけるウイルス対策製品

 「Antivirus is dead.(ウイルス対策製品は死んだ。)」――あるウイルス対策ベンダーの幹部がこう発言したことをきっかけに、エンドポイントセキュリティの在り方を見直す動きが活発化した。特に昨今、ファイアウォールやIDS/IPSなどの境界対策をすり抜けて、その中にいるやや無防備な人間を直接狙う「標的型攻撃」で被害に遭うケースが後を絶たない。文法的にも違和感がない文章で標的型メールを送りつける、Webサイトにマルウェアを仕込み、標的としている企業のみでダウンロードさせるなど、サイバー攻撃の手口は巧妙化している。

 また、新種のマルウェアが日々大量に発生しており、発見されたマルウェアの情報を基にパターンファイルを作って対策を取る従来型のパターンマッチング方式では防御しきれない状況となっている。

 せめてマルウェアが端末にダウンロードされたとき、またはマルウェアが活動を始めたときに、なるべく早く検知、駆除/隔離したい。こうして登場したのが、マルウェアらしい動作を見つける「ふるまい検知」や「ヒューリスティック検知」、不審なファイルを仮想環境で動作させてその挙動からマルウェアかどうかを判定する「サンドボックス」だ。

 しかし攻撃者も、それを上回る攻撃手段を研究してくる。サンドボックスに入れられたことを認識して動作しないマルウェアや、暗号化などヒューリスティック検知で不正判定が出るだろう性質を隠して侵入する手口など、あの手この手を使って攻撃を仕掛けてくる。防御側は常に不利な状況に追い込まれている。

NECソリューションイノベータ パブリック事業本部 パブリックセーフティソリューション事業部 サイバーセキュリティグループ 統括マネージャー 市川大輔氏

 そんなとき、新しいキーワードとして登場したのが「人工知能(AI)」だ。人工知能を採用すれば、膨大なマルウェア検体を解析しながらスピード感を持って対策を講じられる可能性がある。昨今のウイルス対策製品に「AI」「人工知能」という単語が追加されるようになったのは、こうした背景がある。

 では、本当に人工知能でウイルス対策製品は変わるのだろうか。新型や亜種、特定の企業だけをターゲットとして作成された特殊なプログラムを特定、排除することはできるのだろうか。正規アプリケーションのデータに紛れ込む攻撃を、正規のものをはじくことなく防ぐことは可能なのだろうか。

 攻撃側と防御側のいたちごっこに終止符を打つような、決定打となる新しい製品はないか。こうして出会ったのが、米Cylanceの「CylancePROTECT」だったと、NECソリューションイノベータの市川大輔氏は明かす。

 同社のイノベーション戦略本部 セキュリティ戦略室室長も務める市川氏は、セキュリティ分野のビジネスモデル検討や新商材の発掘に従事。その中でディープラーニング(Deep Learning:深層学習)を採用した、高度な人工知能アルゴリズムをマルウェア対策に活用するCylanceが目に留まったという。

CylancePROTECTと他のマルウェア対策製品との違い

人工知能アルゴリズムである機械学習とディープラーニングの違いは?

 人工知能アルゴリズムである機械学習とディープラーニングの違いは何か。簡単に説明すると、次の通りだ。

 例えば、イヌを機械に認識させるとする。機械学習では「脚が4本」「尖った耳」「短い尾」「長い鼻」という「特徴点」(パラメータ)を人間が設定し、機械はこれら情報をベースに判定する。問題は、人間が特徴点を設定する作業は質や量ともに限界があることだ。イヌと同じ特徴点を持つネコを機械に認識させるには、“ネコらしさ”を示す特徴点を追加しなければならないが、これはなかなか難しい。

 他方のディープラーニングは、大量のサンプルデータ(教師データ)を学習し、共通する特徴点をコンピュータ自身が見つけ出して概念を獲得、総合的に判断する。その認識のロジックは人間の脳に近く、トラを見て「ネコっぽいけど、ネコではない。でもネコ科かもしれない」「イヌ科ではない」といった判断も可能になる。

 AI機能を搭載している一般的なウイルス対策製品では、前者の機械学習を新機能とするものが多く見られる。「例えば、シグネチャ生成の自動化や効率化を行うためなど、現状の一般的なウイルス対策製品に取り入れられた機械学習は人間の作業を補助する一機能というイメージだ。既存のウイルス対策製品を強化する中で、新たな手法として機械学習を導入したから、このような発想になったと思われる」(市川氏)

 CylancePROTECTの場合、ビッグデータの解析、特徴点の抽出、判定までの一連のプロセスを完全に機械に任せている。CylancePROTECTの仕組みを、もう少し詳しく見てみよう。

 CylancePROTECTは、およそ10億種の悪いファイル(マルウェアなど)と良いファイル(正規アプリケーションのファイルなど)を読み込み、学習を行う。1つのファイルに対して、ファイルサイズ、ファイルヘッダー、セクションヘッダー、セクションデータ、アイコン、文字列、バージョン、N-gram統計、各セクションのエントロピーなど、600万〜700万点の特徴点を抽出し、検出のための数理モデルを生成する。エンドポイントの端末には、この数理モデルを実装したエージェントをインストール。エージェントはファイルの特徴点を抽出してスコアリングし、マルウェアかそうでないかを瞬時に判断する。

 「肌感覚だが、エージェントのCPU使用率は1〜2%程度と驚くほど軽く、メモリ消費も40〜60MB。実は「Cylance」(サイランス)という社名は「Silence」(サイレンス)から来ており、脅威の存在やエージェントが動いていることを忘れるほどに“静か”というダブルミーニングがある」(市川氏)

CylancePROTECTの深層学習のサイクル

 「Cylance社は設立当初、AIを活用したセキュリティサービスを提供していた。そのAI技術をウイルス対策にも応用して現在の製品が誕生した」と市川氏は話す。実際、米国本社を訪問したとき、多くのAI研究者や数学者に出会ったという。「CylancePROTECTの数理モデルそのものの質が高いのも、AI研究という下地があるから。ディープラーニングの強みを最大限に引き出す製品だ」と市川氏は断言する。

マルウェア検知率は極めて高く、過検知は少ない

 CylancePROTECTの大きな特徴として、マルウェア検知率が極めて高く、「脅威がないイベント」を脅威として検出する過検知が少ないことが挙げられる。

 「実は以前、当社でマルウェア研究者やリサーチャーなどの有識者を招いてシークレットイベントを開催したことがある。CylancePROTECTという製品名を出さず、マルウェアを持ってきてもらい、検知できるかをライブテストした」(市川氏)。会場には各有識者自作のマルウェアや最新のマルウェアがテラバイト単位のディスクで大量に持ち込まれた。まさに新型であるため従来の検知技術では検知が困難だが、メモリ上でファイルを組み立てるマルウェアを含め、CylancePROTECTは全て検知することに成功した。

 「エージェントは数理モデルを実装しているだけなので、オフラインでも同様の高い検知率を実現する。実際、マルウェアが出現する前に作られたCylancePROTECTのバージョンでも防御できたと実証されているのが何よりの証拠だ」(市川氏)

 過検知の少なさについても、シークレットイベントで実証された。ある有識者が持ち込んだプログラムの中にマルウェアに似せた正常な種類のファイルも紛れ込ませてあったが、アラートが出されることなく正常に実行できたという。

 CylancePROTECTには、保護レベルをカスタマイズするための機能が幾つかある。「まずはプログラムの実行は止めない検知モードで運用し、疑わしいものとしてアラートが上がったプログラムを判断し、問題なければホワイトリストに追加する。その後に、より保護レベルを強化する隔離モードに移行するのがお勧めだ」(市川氏)

CylancePROTECTの管理画面

人工知能で運用の負担が大幅に削減

 CylancePROTECT導入に当たって必要なのは、エンドポイントにインストールするエージェントのみであり、展開に掛かる情報システム部門の負荷は少ない。また、従来のウイルス対策製品で必要なシグネチャの定期的なアップデートが不要なため、エンドユーザーによる更新作業や運用負荷もほとんどない。管理者・利用者それぞれの運用負担が削減されるのは、人工知能ならではのメリットといえる。

 実際、同製品を選ぶ顧客に理由を尋ねたところ、「“AI”だから選んだ」という回答もあったが、多くの顧客は「シグネチャ更新やユーザーサポートを含む日々の運用に疲れたから」と答えたという。

 「クラウドベースで、契約してアカウントが発行されたらすぐに利用開始できるのもメリット」と話す市川氏。サーバ購入や導入SIといったコスト軽減も期待できる。

 詳細は、NECソリューションイノベータの製品ページで確認できる。一時の流行にはとどまらない、本物のイノベーションが感じられるCylancePROTECT。検討する価値は十分にある。

Copyright© 2017 ITmedia, Inc. All Rights Reserved.


提供:NECソリューションイノベータ株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2017年3月31日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。