近年、企業に対するサイバー攻撃の傾向として、マルウェアの台頭が目覚ましい。手口が巧妙になっているだけでなく、数分単位で変種が発生しており、従来型のブラックリストによる対応だけでは到底攻撃を防ぎきれないのが実情だ。
これに対抗するものとして、AI(人工知能)活用を打ち出したセキュリティ製品も多く見られるようになってきた。エムオーテックス(MOTEX)が2016年7月にリリースした「プロテクトキャット Powered by Cylance」もその1つだ。
同社と米Cylanceは2月14日、Cylanceが標榜するAIを活用した予測防御と、そのAIエンジンを搭載したプロテクトキャットの活用状況について、説明会を開催した。
セキュリティ対策は「侵害されてからでは遅い」
かねてよりIT資産管理・情報漏洩対策ツール「LanScope Cat」を提供するMOTEXでは、そのオプションとして2016年7月にCylanceのAIエンジン「CylancePROTECT」を搭載した「プロテクトキャット Powered by Cylance」をリリースした。これにより、主に内部からの漏洩対策ツールだったLanScope Catに、マルウェアをはじめとする外部からの脅威に対する検知・防御の機能が加わったことになる。
一般に、AIや機械学習でサイバーセキュリティの問題を解決しようという場合、大量のデータのなかから多数の特徴量を見いだし、解析して「パターン」を理解するという流れになる。これをシンプルな機械学習で実行する場合、基本的には「過去に何が起きたか」に焦点を当て、いくつかの限られたパターンを見ていくことになるため、ある一定の予測しかできない。
だが、「CylanceのAIは、悪意のあるファイルが実行される前に予防することができます」と米Cylance 技術部門 バイスプレジデントのロン・タルウォーカー氏は語る。つまり、見いだしたパターンから将来を予測できるというのだ。Cylanceでは数年間をかけてこの技術の開発にあたり、確立するまでに8つの特許を取得しているという。
 |
|
Cylanceが保有するAIに関する特許技術 |
従来のアンチウイルスソフト、次世代のファイアウォールなどでは、既知の脅威パターンから脅威を判断するが、将来何が起きるかまでは予測できない。その対策として、サンドボックスやホワイトリスティングといった新しい技術も誕生してきた。
だが、それらの技術も実際に機能するのはセキュリティが侵害されてからであり、「対策としては遅すぎる」というのがタルウォーカー氏の主張だ。
「競合他社も『機械学習を導入している』と言っていますが、実際にはほとんどの場合、新たなシグネチャを作るために使っているだけです。しかしそうしたやり方では、将来どのようなマルウェアが発現するのかまではわかりません」(タルウォーカー氏)
 |
|
米Cylance 技術部門 バイスプレジデント ロン・タルウォーカー氏(左)とCylance Japan 最高技術責任者 乙部幸一朗氏(右) |
氏の弁に、Cylance Japan 最高技術責任者 乙部幸一朗氏も「他社がAI対応、機械学習対応と言っているものは、我々のアプローチとは大きく異なります」と同調する。シグネチャを作る際に機械学習を用いる手法は10年以上前から行われており、今さらハイライトするものではないというのだ。
Cylanceでは、データモデル(数理モデル)の作成にAIを活用しており、このデータモデルを基にファイルの構造を見て脅威を判定する。「これにより、予測型の防御を行えるのが他社との大きな違い」(乙部氏)だという。
