[技術解説]

「AIがマルウェアを検知」次世代ウイルス対策ソフトの強み─Cylance

EDR、NGEPP、そしてAI─進化を続けるウイルス対策テクノロジー

2017年3月14日(火)杉田 悟(IT Leaders編集部)

さまざまな分野でAIの活用が進んでいるが、AlphaGoなどエンターテインメント分野以外での目覚ましい成果はまだまだ少ない。その数少ない成果の1つと言えそうなのが、サイバーセキュリティ分野での活用だ。米Cylanceは、米国でも気鋭のAI関連企業として注目されているウイルス/マルウェア対策ベンダー。同社のウイルス対策手法に、どのようにAIやマシンラーニングが用いられているのか、同社日本法人の最高技術責任者である乙部幸一朗氏に聞いた。

サイバーセキュリティがAIの舞台に

 ある業界団体の懇親会で、政府のAI関連会議で座長を務める業界の識者にAIの今後の展望を聞いたところ、「近い将来サイバー攻撃者がAIを駆使することになれば、防御側もそれに負けじとAIを使う。いずれ、サイバーセキュリティを舞台にAIの熾烈な開発競争が起こるかもしれない」と語ってくれた。

 現在、ソフトウェアを開発する多くの企業がAI開発に取り組んでおり、徐々にその成果を組み込んだ製品を発表し始めている(図1)。ウイルス対策製品ベンダーも例外ではなく、シマンテック、トレンドマイクロの2社は2016年11月にAI搭載ウイルス対策ソフトを相次いで発表している。

図1:ウイルス対策の流れ(出典:Cylance)
拡大画像表示

 ところが、これら大手のウイルス対策ベンダーより一足早くウイルス/マルウェア対策へのAI活用を始め、すでに多くの成果を上げ注目を集めている企業がある。日本ではあまり知られていないが、米サイランス(Cylance)というベンダーだ。

写真1:Cylanceの乙部幸一朗氏は同社が世に知られるようになった経緯を説明してくれた

 このCylance、米国では多くの逸話を持っているという。そのひとつが、2015年に米国で起こった米国政府関連で過去最悪の情報漏洩事件といわれるOPM(米人事管理局)のデータ流出事件。日本で年金機構におけるデータ流出が騒がれている同じ時期に米国で起こった情報漏洩事件だ。

 年金機構では125万人分の個人情報が漏洩したが、OPMでは公務員全員とその家族、更には公務員試験の受験者の個人情報2000万人分という桁違いの情報が漏洩している。Cylance日本法人の乙部幸一朗氏(写真1)によると、これを見つけて止めたのがCylanceだったのだという。

 当時OPMでは、別のベンダーのウイルス対策製品を使っていたが、たまたま「他によい製品がないか」と内々に声を掛けて、評価のために導入していたのが、Cylanceのウイルス対策製品「CylancePROTECT」だった。従来製品では何の反応もなかったのだが、たまたま評価中のCylanceが不審な動きを察知、不正通信が外に出ていることを見つけて事件が発覚したのだという。事の顛末は、事件の検証委員会がまとめて2016年末に公開したレポートに、具体的な製品名入りで記されている。

 同じ年、デルの当時のCTOが、自社製品に組み込んで提供するNGEPP(Next Generation Endpoint Protection:次世代エンドポイント保護)製品を探すプロジェクトを進めていた。有名どころから無名まで60ものエンドポイントセキュリティ製品が集められ、性能テストが行われた。

 テストは、デルの子会社であるセキュアワークスが集めた検体4160個を使って、その検知率を競う形で行われた。検体のうち、460個は社外に発表されていない未知のもので、多くの製品が1割から2割、良いもので6割を検知するのが精いっぱいだった。そんな中、Cylanceが99.7%の検知率を記録した。

 あまりの突出した検知率を不審に思った当時のCSOが、自分たちのチームでもう一度試験をしてみたいと言い出し、別の中国産のマルウェアを投げてみたところ、Cylanceはそのすべてを検知して止めたという。デルからは買収提案も出たがCylance側がこれを拒否、結局デルにはOEM提供され、グローバルで展開するエンタープライズ製品のセキュリティエンジンとして搭載されているという。

 Cylanceが一般に注目されるようになったのは、同社が行ったUBT(アンビリーバブルツアー)からだ。リアルタイムでパソコンにマルウェアを投げ込み、他社製品とCylanceがどれだけの検知率を示すかを比較するものだ(図2)。これにより、多くの人がCylanceの検知率の高さを実感したという。

図2:米国で行われたUnbelievable Tourでの主要アンチウィルス製品の検知率(出典:Cylance)
拡大画像表示

 このような逸話を生んだのが、Aiを活用したCylanceの検知技術だ。ウイルス対策とAIの関係は意外と古い。5年、古い所では10年前から、ウイルス対策ベンダーで機械学習の技術が使われていたという。主な利用用途は、人間の作業の効率化だ。

 多くのウイルス対策製品が、ウイルス/マルウェアの特徴をデータベース化したシグネチャ型を採用している。ベンダーはこれまで、2000人、3000人を投入した人海戦術でシグネチャを作成してきたが、毎日何千、千万と増える検体に対応が追い付かず、その作成に機械学習を取り入れるベンダーが増えてきたという。

AIが未知のマルウェアを検出する仕組み

 Cylanceは、「一歩進んで、マルウェアの構造をAIで学習して、予測型のモデルを作って止めていくというアプローチをとった」と乙部氏はいう。具体的には、AWSクラウド上に、「Infinity(インフィニティ)」という名のコンピューターシステムを用意した。これは、何千というコンピューターノード、万に近い数のCPUを乗せたAIシステムで、ここでデータセットと呼ばれる大量の教師データを使ったマシンラーニング(機械学習)を行っている。

この記事の続きをお読みいただくには、
会員登録(無料)が必要です
関連キーワード

Cylance / マシンラーニング / EDR / NGEPP

関連記事

Special

-PR-

「AIがマルウェアを検知」次世代ウイルス対策ソフトの強み─Cylanceさまざまな分野でAIの活用が進んでいるが、AlphaGoなどエンターテインメント分野以外での目覚ましい成果はまだまだ少ない。その数少ない成果の1つと言えそうなのが、サイバーセキュリティ分野での活用だ。米Cylanceは、米国でも気鋭のAI関連企業として注目されているウイルス/マルウェア対策ベンダー。同社のウイルス対策手法に、どのようにAIやマシンラーニングが用いられているのか、同社日本法人の最高技術責任者である乙部幸一朗氏に聞いた。

PAGE TOP