CylancePROTECTって実際どうなの？
その① 国内ファーストユーザーが率直に語ってみた

マルウェア対策

Written by 丸山悠介

事業開発本部　ビジネス戦略課所属　MOTEX-CSIRT
パートナーセールス、ダイレクトセールスを経て、製品導入前から導入後のユーザーアフター対応まで一通り経験。
最近はユーザー企業とのワークショップ、CSIRTメンバーとしての活動、外部講演、情報収集活動等々・・マルチに活動中。

CylancePROTECTって実際どうなの？<br>その① 国内ファーストユーザーが率直に語ってみた

はじめに
 導入した製品「CylancePROTECT（サイランスプロテクト）」
まずはMOTEXのセキュリティ体制について

3分でわかる！BlackBerry Protect

AI(人工知能)を使った次世代型アンチウイルスをわかりやすく解説

資料のダウンロードはこちら

はじめに

昨今、ランサムウェアや不正アクセス、マルウェア感染による情報漏洩（漏えい）などの、サイバー攻撃による被害が連日発表されています。
従来の対策が通用しなくなり、新しいセキュリティ対策が求められていますが、まだまだベストプラクティスが見つからない現状です。

防御側も攻撃者に負けじと新しい技術・製品・サービスを続々と投入しています。しかしながら選択肢が増えすぎた結果、ユーザー企業としては限られた予算・マンパワーで「何からはじめるべきか？」「何に投資すれば効率的なのか？」と悩みが尽きません。どの製品、サービスも素晴らしい売り文句でどれも魅力的に見えます。

多種多様な情報が溢れる中、一番重要な情報は「製品・サービスをどの様な視点で選定したのか？」「使ってみてどうだったのか？」という実際に使ったユーザーの生の声だと思い、昨今流行している「次世代型セキュリティ製品」の選定・導入後の効果について共有したいと思います。

導入した製品「CylancePROTECT（サイランスプロテクト）」

今回ご紹介する製品は次世代型AIアンチウイルスソフト「CylancePROTECT（サイランスプロテクト）」です。
Cylance社は2012年に起業した若い会社ですが、僅か3年で1200万クライアントに導入された成長著しい次世代型AIアンチウイルスソフトを開発しているメーカーです。

この製品の一番の特長は従来のシグネチャを用いてブラックリスト方式で対応するウイルス対策ソフトとは違い、AIによる予測防御を実現している点です。膨大なマルウェアと正常なファイルをディープラーニングで学習させ数理モデルを作成。その数理モデルを使って既知のマルウェアは勿論、未知のマルウェアに対してもエンドポイント上で検知・防御します。

2014年「ウイルス対策ソフトは死んだ」という言葉が話題になりましたが、昨今のサイバー攻撃では簡単にウイルスの亜種を作成する仕組みが浸透した結果、攻撃者は低コストで未知のマルウェアを作成して簡単に攻撃を成功させる事が出来ます。CylancePROTECTは亜種に対して高い検知率を誇り、攻撃開始時点での検知・防御率が高い事、数理モデルの更新が半年に一度程度で運用できる点、インターネット接続環境がなくてもローカルに持つ数理モデルで高い検知率を持つ点が強みです。

2016年から日本国内でも販売が開始され、国内でも僅か2年で既に300社を超えるユーザーで導入されています。
MOTEXはCylance社のOEMパートナー兼ユーザーという立ち位置になります。OEM製品は弊社製品LanScope Catのオプション機能「プロテクトキャット」としてお客様に提供しています。LanScope Catの操作ログ機能と連携し、CylancePROTECTによるマルウェアブロックから数クリックで流入原因の特定まで可能とするソリューションです。

OEMパートナーとしての側面もありますが、導入ユーザーとしてもCylancePROTECTを実際に自社環境に導入して運用しています。実はMOTEXはCylancePROTECTの日本国内ファーストユーザーで、2016年6月のCylance Japan設立から半年以上前、2015年12月に自社導入しました。既に2年半近く運用しています。昨今では「AIを活用した製品」というプロモーションを良く見かけるようになりましたが、2015年当時はまだまだ日本国内では珍しいものでした。本連載で「なぜ当時目新しかったAIソリューションを採用することにしたのか？」「導入してから展開・運用の工数。導入後の効果はどうだったのか？」について紹介していきます。

まずはMOTEXのセキュリティ体制について

MOTEXは情報セキュリティ市場で長年ビジネスを行ってきた企業ですが、セキュリティの中でも主戦場は「内部不正対策」に特化していました。
自社のセキュリティに関しても「HDD暗号化」「操作ログ取得」「ファイル持ち出し制御」といった、どちらかと言うと内部不正対策に重心を置いたセキュリティ対策を実施していました。
正直、サイバーセキュリティに対する意識はそこまで高くなく、多くの企業様と同様に2015年話題になったサイバーセキュリティ事件をきっかけに動き出すことになります。

日本シーサート協議会（NCA）のワーキングへのオブザーバー参加を始め、一部メンバーで各種セキュリティセミナーに参加して情報収集、次世代FWの導入等の最低限のシステム投資を実施、2017年度に正式にCSIRTを立ち上げNCAにも正式加盟しました。

セキュリティビジネスを行っていることから、セキュリティシステム投資の決済が下りやすいのは良かったのですが、課題になったのは”リソースとスキル”でした。システムは導入するだけでは効果を発揮せず、機能理解に始まりテスト実施からポリシーチューニングや社内調整、日々の運用をこなして始めて効果を発揮します。マンパワー的にも厳しく、システム導入で様々なアラームが上がる環境は作り出せたものの、アラームに溺れて追いきれない状況になってしまいました。また、社員側もIT企業ではありますが特筆してセキュリティリテラシーが高いわけでも無いのが実態でした。

サイバーセキュリティのトレンドは「多層防御」で多種多様なソリューション、サービスが生まれていましたが、現状あるシステムの保守・運用だけでもパンク状態で更に導入するシステムの面倒を見る余力・スキルもない。「少ないマンパワー、拙いスキルでいかに効率よくセキュリティレベルを底上げするか？」を意識して対策を考えることになりました。

今回は連載の趣旨とCylancePROTECTの概要、MOTEXの2015年当時の現状について紹介しました。
次回のコラムでは実際にCylancePROTECT導入を決定した流れや実施した検証の詳細について紹介したいと思います。