攻撃者を追いかけるのではなく、攻撃者の先を行くことを可能にするAIベースのセキュリティ

30年近くIT業界に携わり、さまざまな技術革新を目の当たりにしてきたというエムオーテックス 代表取締役社長の河之口達也氏。その同氏が「本物の技術革新だと確信している」と表現する技術が、米サイランスが提供する人工知能を活用したセキュリティ対策だ。

エムオーテックスではその技術に着目し、2016年5月にOEMパートナーとしてサイランスと提携を結び、「プロテクトキャット Powered by Cylance」の販売を開始した。同年8月にはブートアップイベントとして、アジア初の「Unbelievable Tour in Japan」を開催。ライブデモを通じて99.7％という高いマルウェア検知率をアピールし、来場者に大きな印象を与えた。

2017年11月30日に都内で開催された第二弾のイベント「Unbelievable Tour in Japan #2」では、引き続きサイランスの技術による高い検知力をアピールするだけでなく、それが企業にどんな価値をもたらすかという観点からのセッションも行われた。

河之口氏は、「セキュリティ業界はこれまでいろいろな技術や製品を組み合わせて多層防御の実現を提案してきたが、コストやリソースが膨れ上がる一方で、脅威を止められないのが現状だ。これに対してサイランスの技術は、まず『止める』ことで全体コストを削減し、ITシステム担当者がより生産性の高い活動にシフトしてもらえるよう提案できる」と述べた。続けてその具体的な根拠を、米サイランスのCEO兼創設者であるスチュアート・マクルーア氏が解説した。

ウイルス対策ソフトを開発しながら抱いていた忸怩たる思い

実はマクルーア氏は、長年にわたって大手ウイルス対策ソフトウェア企業で技術開発に携わってきた経験の持ち主だ。だが、「当時は常に、顧客に対して申し訳ないという思いを抱き、フラストレーションを抱いていた」という。

というのも、そこで提供していたセキュリティ製品は、既知の脅威の特徴をまとめた「シグネチャ」に基づいて検出を行う。シグネチャというのはあくまで「過去のパターン」に基づくものであり、新規の攻撃には役に立たず、最初に被害に合う「生け贄の子羊」をなくすことはできない。いくら数千人の技術者ができる限り早くマルウェアサンプルを収集し、解析し、新しいシグネチャを作っても、1ビットでも異なる亜種や新種が作られてしまうと防ぐことはできなかった。

マクルーア氏は長年、その状況に忸怩たる思いを抱いていた。「こうした今のセキュリティは、バックミラーだけ見て運転するようなもの。過去だけ見ていても、すぐに何かにぶつかって事故を起こしてしまうだろう」と同氏は述べた。

最近では、全ての脅威を防御することは難しいという一種の「あきらめ」の境地に立ち、検知とレスポンスにフォーカスするEndpoint Detection and Response（EDR）製品への注目も高まっている。たとえ脅威が侵入したとしても、可能な限り迅速に補足し、封じ込めなどのアクションを取ることで、脅威にさらされる時間を最小化するというアプローチだ。だがマクルーア氏は「このモデルも、あまりうまく機能しないだろう。というのも、これもまたシグネチャベースだからだ。シグネチャに基づく限り、失敗は続く」と述べた。

数式は未来を予測し、未知の脅威を検出できる

こうした現状に対し、サイランスでは全く新しいアイデアを取り入れた。「そこで思いついたのが、機械学習、マシンラーニングという新しい技術を活用することで、未知の攻撃を効果的に防御するという新しいアプローチだ」（マクルーア氏）

サイランスの製品は、機械学習であり、数式・数理モデルをベースにしている。「リズムやハーモニーの中にはパターンがあり、パターンを見つければアルゴリズムを見出すことができる。そしてアルゴリズムは数式によって表すことができ、数式によって未来を予測できる」とマクルーア氏は述べ、それゆえに未知のマルウェアにも効果的だとした。

IT環境の変化もそれを後押しした。もし10年前ならば、いくら機械学習で未知のマルウェアを見つけようとしても、必要なデータやリソースが足りなかっただろう。だが「今では十分なデータが手に入る上、クラウドというコンピューティングプラットフォームによって、高次元の数式を立てられるようになった」（マクルーア氏）

こうして高い検知率を実現したサイランス。その勢いを目の当たりにしてか、ここ1～2年、セキュリティ市場では「機械学習」「人工知能」がバズワードと化しつつある。だが、一歩先んじてきた余裕ゆえか「2012年に創業したわれわれは、長年にわたって機械学習に取り組んできた。それに他社のほとんどは、『AI』とうたいながら実際にはパターン認識を行っているに過ぎない。またサンプル数や特徴点が限られており、誤検出・過検出も多い」と述べた。

同氏は、サイバーセキュリティにおけるAI活用レベルは、学習したデータ量や抽出した特徴点の数、導き出されたモデルの確実さに応じて5つのレベルに分類でき、他社がレベル1～2にあるのにたいし、サイランスの技術はレベル3に達していると説明した。そして今後は、ローカル学習に対応し、「なぜこのファイルが悪いのか」「なぜこのファイルはいいのか」を説明できるような第4世代のAIを目指すとした。

マクルーア氏によると、サイバー攻撃の経路は大きく「コード実行」「認証情報への攻撃」「DoS」に分類でき、そのうちコード実行については、現行の技術である程度防御できる。「われわれの次の取り組みは、認証情報の防御だ。パスワードなしであらゆるコンピュータ、あらゆるユーザーを守っていく」と述べ、今展開している企業向け製品に加え、コンシューマ向け製品も展開することを紹介した。

人工知能や機械学習に寄せられる期待は大きいが、一方で人間に対する「脅威」と取られる節もある。だが「どうかこうした技術を恐れないでほしい。AIを活用する企業には新しい未来が待っている」と述べた。そして、AIを活用して99.7％の脅威を防ぐことにより、「限られたリソースを重要な問題に集中させ、問題を解決できる」と呼び掛けた。

史上初めて手に入れた、守る側が攻撃者の前を行く技術

続けて、サイランス・ジャパンの最高技術責任者を務める乙部幸一朗氏が、デモンストレーションを交えながらその性能を紹介した。「サイバーセキュリティの世界では、歴史始まって以来常に攻撃者が優位に立ち、先手を打ってきた。しかしわれわれは歴史上初めて、攻撃者の前を行く技術を手に入れた」と宣言した。

サイランスでは、機械学習技術を活用して大量のデータを学習させ、600万～700万に上る特徴点を抽出し、数理モデルを作成している。この数理モデルを用いて、新しいマルウェア、未知のマルウェアを判断する仕組みだ。「このデータの学習には時間がかかるが、できあがった数理モデルを用いた判定はあっという間に終わる」（乙部氏）ことも特徴だ。

乙部氏は続けて、2017年に猛威を振るったランサムウェア「WannaCry」の亜種、50種類を用いて、プロテクトキャット Powered by Cylanceと他のウイルス対策ソフトウェア、2製品の検出率を比較するデモを行った。

講演当日、つまり11月末時点のシグネチャを用いれば、他のアンチウイルス製品でもほとんどの亜種を検出できた。だが、その検出処理中はCPU使用率が上昇し、製品によっては100％近くに張り付いてしまう。

さらに乙部氏は、「タイムマシン」に乗って、WannaCryが登場する直前の5月時点のシグネチャで試した場合にどんな結果になるかのデモンストレーションも行った。すると、ある製品で検出できたのは50個の亜種のうち1個、もう1つの製品ではゼロという状況となった。乙部氏は「この2製品がどうこうというわけではなく、見たことのある脅威に定義ファイルを作っていくというやり方では間に合わないことが分かる」と述べ、シグネチャに頼るアプローチには限界があるとあらためて強調した。

一方、プロテクトキャット Powered by Cylanceの場合はどうか。2016年6月に作成した数理モデルに基づく状態でも、ファイルを実行しようとするとアラートが表示され、感染・侵入を防ぐ。

乙部氏はこうした様子を紹介し、「2017年5月に登場したWannaCryだろうが、明日登場する新たなマルウェアだろうが、未知の脅威を高い精度で判定できる」と述べた。一般に、シグネチャベースの対策ソフトでは、アウトブレークの発生直後は検知率が上がり、その後徐々に下がっていくが、プロテクトキャット Powered by Cylanceではそうした変化もなく、常に一定の検知率を保てることも特徴だとした。