ここ数年、世界中でサイバー攻撃が激化している背景として、新種のマルウェアが日々大量に発生していること、マルウェア自体がより高度化していることが挙げられる。このため、従来型のシグネチャ方式やサンドボックスだけでの対策には限界が来ているのだ。そうしたなか、新しいテクノロジーとして注目を浴びているのがAI(人工知能)を利用したマルウェアの検知、防御システムだ。なかでもディープラーニング(深層学習)を活用したセキュリティ対策は、進化が止まらないサイバー攻撃に対抗するための切り札として最近注目を集めている。そこで本連載では、この「ディープラーニング×セキュリティ」にフォーカスし、その特徴や強みが"5分で"理解できるようにしたい。
5分でわかる! ディープラーニング×セキュリティ
第1回記事「まずは、AIとセキュリティの歴史を知ろう!」は こちら
世界で初めてディープラーニングをセキュリティに取り入れた「Deep Instinct」
第1回では、AIとエンドポイントセキュリティの歴史を振り返りながら、「ディープラーニング×セキュリティ」を考えるにあたって前提となる知識をおさらいした。そこで今回は、ニューラルネットワークを用いたディープラーニングを世界で初めてセキュリティに取り入れた「Deep Instinct」とはどのようなソリューションなのか言及していきたい。
被害が発生する前に脅威を検知するNGEPP(Next Generation Endpoint Protection)製品である「Deep Instinct」の要ともいえるのが、Deep Instinct社が運用するリサーチラボでの数百万ものマルウェアを対象にした、ディープラーニングテクノロジーによる繰り返し学習と、その学習成果が反映された予測モデル「D-Brain」とクライアントエージェント「D-Client」の存在である。これらによって実現する予測能力を使うことで、「Deep Instinct」は、ゼロデイ脅威およびAPT攻撃を比類ない正確性で防御できるのである。
「Deep Instinct」は最も猛威を振るうといわれる、ランサムウェアを含む未知のマルウェアをもリアルタイムで防御するように作られている。そのため、企業内のエンドポイントからサーバー、モバイルデバイスに至るまで包括的な防御を可能とするのである。
マルウェアのエキスパートの解析を踏まえてディープラーニングで学習
ディープラーニングでマルウェアを学習させる前段階として、Deep Instinct社のリサーチチームの手によりマルウェアの詳細な解析を行っている。これは単なる解析ではなく、同社ではマルウェアの“キャンペーン”と呼んでおり、たとえばランサムウェアひとつを取ってみても、種類ごとに目的やターゲットがあるので、同チームがそこまで踏み込んで調べたうえで、ディープラーニングのエンジンに学習をさせているのである。
たとえば悪意を持った人間が、マルウェアでないファイルをマルウェアとして登録したとしても、同社のリサーチチームの解析により見抜かれてしまうことになる。こうして精査したもののみを実際にディープラーニングで学習させているので、より高い精度へとつながっていく。
ただし、学習をさせるときには、教えるのはあくまで正常なファイルとマルウェアだけだ。その後は、Nvidia製のGPUを搭載した最高性能のトレーニングマシン上で何百万ものファイルを用いて自律的に学習させていく。このようなプロセスと、膨大なデータを処理するための高い処理能力により、未知のマルウェアも非常に高い精度かつリアルタイムで検知し、ブロックすることが可能なのだ。
ちなみに「Deep Instinct」のベースとなっている、ディープラーニングのフレームワークやアルゴリズムを研究しているのは、元イスラエル国防省のサイバーセキュリティ出身者とディープラーニングの研究者だ。彼らの研究成果から、3つの登録商標と3つの特許を取得している。
シグネチャ式との決定的な違い
マルウェアのデータを繰り返し学習させるなかで、ディープラーニングにより自律的に特徴を見つけ、その結果である「D-Brain」が管理モジュールである「D-Appliance」からPC、サーバー、モバイル端末など各端末の「D-Client」へと配布される。配信ペースは基本的に3ヶ月に一回だが、ここで注意したいのが、一般的なアンチウイルス製品のような「シグネチャ」の配布とはまったく事情が異なる点である。パターンマッチングを行うシグネチャでは、既に情報が記載されているマルウェアしか検知できないため、未知のマルウェアの検知能力は皆無であり、リアクティブかつ頻繁なシグネチャアップデートが要求される。そして、少しでも古いシグネチャであればセキュリティリスクが大幅に高まってしまうことになる。
対して「Deep Instinct」における「D-Brain」は、リサーチラボでのディープラーニング学習で鍛え上げられた、いわばマルウェア検知を専門とする「頭脳」であるため、たとえリリース後1年近く経っていたとしても、十二分なマルウェア検知能力を誇るのである。こうした自律的な判断能力こそが、「ディープラーニング×セキュリティ」の真骨頂といえるだろう。
実際、客観的なテストを実施した結果、既知のマルウェア検知率、未知のマルウェア検知率いずれにおいても、「Deep Instinct」は他社のエンドポイントセキュリティ製品を上回る結果を示している。
経済誌「Forbes」はじめ、数々のアワードを受賞
このように、ディープラーニングフレームワークに基づいて作られた初めてそして唯一のサイバーセキュリティソリューションである「Deep Instinct」を生みだしたDeep Instinct社のテクノロジーは、世界中から高く評価されている。2016年から2017年にかけて、セキュリティの世界に革新をもたらしたとして、グローバルな数々の団体から様々なアワードを受賞している。たとえば世界的な経済誌であるForbesは、「Deep Instinct」への高い評価から、「ディープラーニングを利用するトップ13の企業」にDeep Instinct社をランキングしている。セキュリティ企業がこのランキングに名を連ねただけでも、画期的なことだといえるだろう。また昨年には、ディープラーニング用のプロセッサメーカーとして名高いNvidia社のディープラーニングカンファレンスにおいて「Best in Show 賞」を受賞している。他にも、世界経済フォーラム2017でDeep Instinct社がTechnology Pioneerとして賞を受賞したりと、その受賞歴は枚挙にいとまがない。
これまでの解説で「Deep Instinct」の実力について十分おわかりいただけたのではないだろうか。連載最終回となる次回は、「Deep Instinct」の最新機能を紹介するとともに、今後の進化の方向性から「ディープラーニング×セキュリティ」の未来を見通してみたい。
5分でわかる! ディープラーニング×セキュリティ
第1回記事「まずは、AIとセキュリティの歴史を知ろう!」は こちら
[PR]提供:アズジェント
