2017年1月25日、LanScope Cat最新バージョンVer.8.4.0.0リリースをうけ、新製品のお披露目と今後のロードマップも含めたイベントとして「LanScope Cat新製品リリース発表会」を実施しました。今回は、1月31日（東京）、2月3日（福岡）、2月6日（名古屋）、2月8日（大阪）で開催、約450人の方にご来場いただき、大盛況のうちに幕を閉じました。

今回は、東京で開催された「LanScope Cat新製品リリース発表会」をレポートします。

アンチウイルス製品だけを入れていれば安心できる世の中を･･･

まず最初に『AIアンチウイルスCylancePROTECTのご紹介と従来型アンチウィルス製品との比較』と題し、Cylance社の最高技術責任者である乙部様よりご講演いただきました。

Cylance Japan 株式会社　最高技術責任者 乙部 幸一朗 氏

Cylance社は人工知能を使った新しいタイプのアンチウイルス開発している米国の企業です。昨年から日本でも国内販売を開始し、LanScope CatへもプロテクトキャットのエンジンとしてOEM提供をしています。

人工知能の世界を語るために重要なキーワードは「ディープラーニング」です。そのもの自体は2006年に誕生した技術ですが注目を浴びたのは2012年。数学者が集結しその技術力を競う世界的イベントで優勝したチームが使っていたのがディープラーニングの「特徴表現学習」でした。これまで人間が特徴を教え人工知能が判断していたものが、特徴点を人工知能システム自体が細かく見つけ出す仕組みです。ディープラーニングは学習機能により、昨日より今日、今日より明日と、時間をかければかけるほど学習量が増え、エラー率が低下し、精度も高まります。

ではなぜサイバーセキュリティに人工知能（AI）なのか。今のサイバーセキュリティは、従来の製品サービスでは手に負えなくなっています。攻撃の9割がマルウェア。5秒ごとに新しいマルウェアが発生する中、その7割～9割はその企業限定のケースが増えており、アンチウイルスベンダーにも報告されません。従来のパターンファイル対策では対策が難しいという点においては、もはや共通認識になっています。

CylancePROTECT?は、「予測防御」という新しいタイプのアンチウイルス製品で、マルウェアが動き出す前に予測して防御します。人工知能システムが大量のファイルの構造を認識し、判断しており、その検知率は99.7％※を誇ります。従来のシグネチャー（パターンファイル）だと、パターンファイルにない新しいマルウェアは検知できません。しかし我々の製品は、新しいものに対しても高い防御率を実証しています。その検知技術にディープラーニングが使われています。クラウド上にある人工知能システムに10億個の良い・悪いファイルを学習させ特徴点を抽出し、「良い」「悪い」を見分ける閾値をみつけるのです。1ファイル当たり600～700万にのぼる特徴を見ています。AIは学習を終えるとデータモデルと呼ばれる計算式を用いて、ファイルのスコアを出し、閾値をもとにマルウェアかどうかを判定します。

このようにクラウド上で作られた数式モデルを利用する為、軽い上ネットワーク接続は不要です。すり抜けがちな分割・暗号化されたマルウェアもローカル側で展開される際には、必ず完全体になります。CylancePROTECTはローカルで判断するのでその完成体が動き出す前に確実にとめる事が可能です。

他にも人工知能を搭載した同じような製品もありますが、重要なのは「正しい人工知能のモデル」を使い「より多くの学習をしている」かどうかです。企業によりアプローチが違います。最近は1つの機能として人工知能を搭載し早くパターンファイルを当てたり、エンジンそのものに人工知能を使っていないケースも有ります。またエンジンで利用する場合もオープンソースの人工知能を使う企業が増えていますが、その場合、学習量・特徴点が少なく過検知・誤検知が増えます。一般的に人工知能がうまく行かないといわれる背景はそこにあります。強い人工知能で、高度なアルゴリズムを使いより多くの特徴点を見つけ出せるか。さらに優秀なサイエンティストがチューニングしてデータモデルを作成しているかが重要です。

静的分析ができれば、ファイルを開く前に止めるのでリスクはありません。思えば10～15年前はパターンファイルを最新にしておけば安心といわれた時代でしたが、今は抜けることが増え新しい製品を追加する必要性があります。パターンファイルを更新しないと対応が出来ないといった受動対応ではなく、静的分析のアプローチを使いながらAIという最新機能を使った新しいアンチウイルスソフトがCylanceです。10年前のようにアンチウイルソフトだけで安心できる日々を作るのがCylanceの目標です。

※2016年1月ドイツに拠点を置くセキュリティ製品の性能検証を行う第三者機関「AV-TEST」にて評価

変化を恐れず新しいテクノロジーで最新の脅威と戦い続ける！

続いてプロテクトキャット導入企業のイー･ガーディアン社の高橋様には、プロテクトキャットの検討から導入、運用のお話を頂きました。

イー・ガーディアン株式会社　情報システム部　ディレクター　高橋 輝雄 氏

イー・ガーディアン社は従業員数約820名で、Webにおけるリアルタイム動向監視を中心とした事業を行ってます。SNSや掲示板、ゲームなどに不適切なものがないか、犯罪に繋がるものや迷惑をかけるものを改修・削除を行うなどの監視業務を委託で行い、ソーシャルの安全性を守る業務を行っています。業務特性上、お客様と交わしたサポート基準を正確に実行する必要があります。そのため時として添付やリンク先に至るまで隅々までしっかり確認する必要があります。弊社の業務は常にサイバー攻撃の脅威と背中合わせです。そんな業務形態が、プロテクトキャットを導入する理由の一つです。

そんな時、出会ったのがプロテクトキャットでした。元々弊社でもディープラーニングの研究を社内で行っていた経緯もあり、その良さはすぐに理解できました。私は、ディープラーニングは、一言で言うと「人間の脳」の学習プロセスと一緒だと思っています。人の脳とは説明ができないものだと思います。なのでアンチウイルスでそれを実践できれば、突破できないだろうと思い、上層部へ提案しました。

上層部へは、従来のパターンマッチング型の検知は3割・5割が限界であること、インシデント発生時の損失について感染1台で特定に数百万かかり、その対応には数十倍の費用が掛かることなどを沿え、実際に複数製品で検証実験も行いその効果を実感させることに成功しました。

運用に関しては、まず初期値の検知・隔離から開始しました。レベルの設定はPOCの説明時にCylanceと、誤検知・過検知がないかを確認し精査。ある程度稼働させ業務に影響がないことを確認して、自動隔離に移行しました。さらにメモリに展開されるマルウェアの検出を行うメモリ保護の設定も行い、管理台数約800台に対して、2ヶ月くらいで完了しました。その後は日に１・２台検知される程度です。数的には十分確認できる量で、監視を始めたために管理工数が増えて大変という状況にはなりませんでした。3ヶ月で約48,000ファイルを検査し、384ファイルが隔離されました。おそらく弊社の業務の特性上であり、一般的な企業より怪しいものを拾ってしまうのは仕方無いとは思っています。

脅威が検知された場合、クリックしていくと、その周辺操作ログが簡単に見れます。以前Adobeのアップデートファイルが脅威として検出された際、本人は給与明細サイトを見ていただけとの事。そこで操作ログを見ると、その前にAdobe自動アップデートが掛かったことが分かりました。後に脆弱性があるといわれたバージョンでした。利用者本人には気づかないことでも、この解析のお陰で原因が分かり、Adobe自動アップデートを止めるという正しい対策を実施、給与明細サイトの閲覧禁止しサービスプロバイダに問い合わせるなどといった的外れな事をせずに済みました。

現在の運用は、基本的に隔離したままにしていますが問題は発生していません。必要なものは申請してもらうようにし、念のためそれらが定期的にきちんと稼働しているか調査しています。

プロテクトキャットを導入して3ヶ月。マルウェアが大量に見つかったという実感はないですが、逆に言えばトラブルも発生しておらず、未知の脅威にも対応できる体制が整ったと考えています。皆様も興味があれば、今後はディープラーニングの時代だと思うので、変化をおそれず新しいテクノロジーを是非取り入れてみてはどうでしょうか。
 
 

変革の2016年から本当に活用できる製品を目指して･･･

最後に、弊社取締役副社長の宮崎、経営企画部 プロダクトマネージャの北村より、最新バージョンのご紹介と、LanScope「今」と「未来」についてご紹介させていただきました。

まず2016年のMOTEXの活動報告として、1月からソフトバンク社にLanScope AnをMDMとして提供したのを皮切りに、多くのモバイルベンダー様と協業をスタートさせました。一方Catでは、Webコンソールを一新したLanScope Cat Ver.8.3、プロテクトキャットのリリースなど、2016年はMOTEXにとって大きな変革となる1年でした。12年連続トップシェアも獲得でき、これまでの内部情報漏えい対策だけでなく、外部脅威対策を行うことで、より多くの価値をご提供できるようになりました。

最新バージョンでは、新たな協業として、電子カルテCSIのMI・RA・Is連携や、ドキュメントからの情報流出対策のQuickスキャン・Speedocとの連携を実現。今後は、新たなソリューションサービスを提供予定です。プロテクトキャットにおける「導入支援サービス」や「運用支援サービス」、「インシデントレスポンスサービス」ではLAC社と連携し、マルウェア解析サービスをご提供する予定です。今後の協業・連携にもご期待ください。

エムオーテックス株式会社　代表取締役副社長 宮崎 吉朗

さて、ここからはVer.8.4と今後のCatの方向性についてご紹介します。Catの最大の特徴は現状把握と問題の抽出です。Catで最重要と考えることは、人をベースとした考え方です。ログそのものが人の行動を即したものであるべきと考えています。

ログ取得には、(1)証跡 (2)現状把握をし問題行動を捉える (3)抑止効果という3つ狙いがあります。これまでは後追い目的のログ取得が主流でしたが、昨今の情報漏えい事故を受け、溜めるだけではなくログを運用したいという企業が増加しています。

それを受け、一昨年よりLanScopeユーザーの皆様と理想の運用を実現するための「LanScopeコンソーシアム」を創設しました。第1期では、現状把握として自社レベルを判定できるマトリクスを作成。これにより自社レベルを把握できるようになりました。現在は、第2期として理想の運用実現を議論しています。このように多くの現場の声から、これからのIT管理は現状把握から迅速な判断ができるアウトプットが重要と考えます。そのためVer.8.4では、数値化を行いスピーディーな判断ができるレポートが搭載しました。

また、プロテクトキャットにおける一番大きな改良点は、非ネットワーク接続環境下でもマルウェア検知を実現したことです。弊社の考えるマルウェア対策とは原因特定と再発防止までが重要と考えます。Cylanceで感染を未然に防ぎ、その流入原因を特定、人の操作自体を見直すことができるのがプロテクトキャットです。

それに関連し、Catのアラーム通知メール機能を使い、脅威の通知も実現しました。マルウェア対策は、多層防御の時代といわれていますが、過度な多層防御はコストも運用も無理がでます。感染前に防ぎ、難しい運用・対策をシンプルにして大きな効果を出せるのがプロテクトキャットなのです。

今後のCatのビジョンは、価値あるログを取得し、誰でも判断できるレポートの強化に力を入れていきたいと思っています。それにより、ログの活用性をさらに高めていきます。今後の機能改良にもご期待ください。

エムオーテックス株式会社　製品戦略部 北村 和久

※本記事に関する製品仕様や内容は掲載日時点の情報です。

MOTEXの新機能「プロテクトキャット」に興味のある方は、MOTEX営業部までお問い合わせください。（sales@motex.co.jp）
お電話でのお問い合わせは
大阪:06-6308-8980　東京:03-5460-1371　名古屋:052-253-7346　九州:092-419-2390まで
 
 

■ハンズオンで学ぶ！未知の脅威対策セミナーも好評受付中です
https://www.lanscope.jp/endpoint-manager/on-premises/seminar/handson-threatseminar201607/