Special
» 2016年08月29日 10時00分 UPDATE

未知のマルウェア検知率、99%:“変化する脅威”はAIでブロック マルウェア対策ツール「プロテクトキャット」の実力は

IT資産管理と情報セキュリティ対策で定評あるエムオーテックスの「LanScope Cat」に、未知のマルウェアなどによる外部攻撃の検知・駆除・追跡を可能にした「プロテクトキャット」が登場した。10億個以上のファイルを学習した人工知能(AI)が守る新発想の対策とは、どのようなものか。

[PR/ITmedia]
PR

 情報システム部門を悩ませる大きな課題の1つがセキュリティ対策だ。特に、Webやメール、USBメモリといったさまざまな経路でPCに感染するマルウェアの検知や駆除、状況調査とそれに基づく対応作業は、大きな負担になっている。

 しかも、マルウェアの種類は年々増加し、感染などを狙う攻撃手法も多様化している。最近では、ファイルやPCをロックし、その解除と引き替えに金銭を要求するランサムウェアが猛威を振るうなど、その手口もより巧妙になっている。こうした背景から、マルウェアの検知が難しくなり、さらには検知から被害が起こるまでの期間もどんどん短くなっている。新たな脅威への対応が難しくなっているのが現状だ。

Photo

 「日々進化する外部からの脅威を防ぐためには、新たなアプローチのセキュリティ対策が必要」――。こう話すのはエムオーテックス 執行役員 経営企画本部長 中本琢也氏である。同社はこの夏、IT資産管理と情報セキュリティ対策を支える「LanScope Cat」に、未知の脅威へ対応する新たなソリューション「プロテクトキャット Powered by Cylance」をリリースした。

 プロテクトキャットが採用するエンジンは、未知のマルウェア検知率99%の実績を持ち、日々のパターンファイルの更新が不要で、半年に1度のアップデートで済む運用を実現するという。こうした特徴でマルウェア対策に苦労する情報システム部門の手間を軽減するが、そのカギは「人工知能」(AI)にあるというのだ。

セキュリティの常識を覆す「新たなアプローチ」とは

Photo エムオーテックス 執行役員 経営企画本部長の中本琢也氏

 中本氏は、昨今のセキュリティ対策の状況についてこう話す。

 「マルウェアは常に新しい形態が出現しているだけでなく、最近は特定の企業を狙った標的型攻撃のように次第に高度化・複雑化しています。そのため、従来のアンチウイルス製品だけでは全てを防ぎ切れません」

 特に、特定の企業の機密情報を狙うような標的型攻撃では、新種のマルウェアが使われる。そのためパターンマッチングで既知のマルウェアを検出するソリューションでは対応できないことも多く、「未知の脅威に対する早急な対策が必要」というのが同氏の見方だ。

 こうした不安の声は、「LanScope Cat」のユーザーからも多数寄せられていたという。同社が開催したセミナーでは、マルウェアの感染原因の特定に時間がかかったり、原因不明のままOSを再インストールするなど応急的な対応に迫られたりと、外部脅威への対策に課題を抱える企業が目立ったとのことだ。

 そこで同社が着目したのが、AIを使った新たなアプローチによるセキュリティ対策製品の投入だった。

人工知能を採用した革新的な製品

 プロテクトキャットは、AIによる標的型攻撃対策製品で急成長した米Cylanceのエンドポイント・マルウェア防御製品「Cylance PROTECT」をエンジンに採用している。

 Cylanceは、McAfeeの元グローバルCTO、Stuart McClure氏と、同じくサイエンティストだったRyan Permeh氏が2012年設立した企業だ。サイバーセキュリティ分野でAIのアルゴリズムを取り入れた革新的なアプローチのマルウェア対策ソリューション「Cylance PROTECT」を開発し、栄枯盛衰の著しいセキュリティ市場において一躍注目を集めるようになった。

 中本氏によるとエムオーテックスは、ユーザーの抱える課題の解決につながるとしてCylanceの先進性を高く評価し、そのエンジンを採用した製品を実現すべく、CylanceとOEM契約を締結した。

 「Cylanceは設立から4年の新興企業ですが、調査会社のGartnerが発表したエンドポイント・プロテクション市場における企業力指標(マジック・クアドラント)でも、革新的なビジョンを備えた企業として高く評価されています。その理由は、AIによる全く新しいアプローチを取り入れたCylance PROTECTを開発している点にあります」(中本氏)

 Cylance PROTECTの最大の特徴は、従来のアンチウイルス製品にとって一般的な定義ファイルや振る舞い検知、さらにはソフトウェア自体のアップデートなどを必要としない点にあるという。

未知のマルウェア検知率は99%

 先に述べたように、日々刻々と新しい未知の脅威が登場する現在では、パターンファイルや検出エンジンなどのアップデートを頻繁に行わないと、もはや対応できないだろう。そんな状況で、「アップデートが半年に一度で済む」というセキュリティ対策機能が、果たして通用するのだろうか。中本氏はその疑問にこう説明してくれた。

 「Cylanceは、マルウェアなどの不正プログラムの情報だけでなく、正常なプログラムの情報も合わせて10億個以上を収集しています。それらの実行形式ファイルをバイナリレベルで解析し、700万要素に及ぶ特徴を抽出して、それをAIに機械学習させ、マルウェアを判断するためのルールを作成しています。Cylance PROTECTは、そのルールに従ってマルウェアなのか、正常なプログラムなのかを瞬時に判断しています」(中本氏)

Photo ファイルの要素を機械学習し、バイナリレベルで解析する

 つまり、新しいマルウェアはもとより、プログラムの一部分が異なる“亜種”であっても、Cylance PROTECTはバイナリレベルのファイル要素から判断する。亜種に対してパターンファイルを用意しなければならない従来の方法と比べて、頻繁にパターンファイルをアップデートする必要がないというわけだ。

 「アンチウイルス製品の多くは、パターンファイルで間に合わない未知の脅威への対策に、振る舞い検知やサンドボックスによる解析といった検出方法を併用することで、侵入を防ぎます。これらは、不審なプログラムの動作をみて判断しますが、Cylance PROTECTはAIのエンジンが不審なプログラムそのものを見て判断するので、実行前に防御できるのです」(中本氏)

 中本氏によると、Cylance PROTECTによる未知のマルウェア検知率は99%に上るという。その高い検知率を証明するために、Cylanceでは全米75都市を回る「アンビリーバブルツアー」を実施した。各会場では開催時点の24時間以内に入手したマルウェア100個とその亜種の合計200個に対して、半年前のバージョンで動作するCylance PROTECTがそれらを本当に検知できるのか、観衆の目前で実演。その結果が検知率99%だった。

Photo Cylance PROTECTと従来型アンチウイルス製品との違い

LanScopeならではの機能を付加

 プロテクトキャットは、AIを使った新しいアプローチによるマルウェア防御をLanScope Catの新機能として提供する。IT資産/PC構成管理ソフトウェア部門で11年連続シェアNo.1※1の実績をもつLanScopeシリーズ製品と統合的に運用管理できるのも大きなポイントだ。

 「プロテクトキャットではLanScope Catと統合運用するための管理画面を用意しています。情報システム担当者はこれを利用して、プロテクトキャットが防御したマルウェアの流入経路や原因、影響範囲の広がりなどの状況をすぐに把握し、流入元の特定やマルウェアの駆除、拡大防止といった作業を速やかに実施できます」(中本氏)

 LanScope Catは、以前からメールやUSBメモリなどのデバイスによる情報の持ち出し、機密データのコピーや印刷といった内部不正対策の機能を提供している。こうした既存機能と外部脅威対策のプロテクトキャットを組み合わせることで、内部・外部を問わない脅威の検知と防御、また、万一のインシデント発生時における原因調査や再発防止策の実施に至るまでの対応を実現できるだろう。

Photo LanScope Catと統合運用することで、検知から原因の追跡、対策までを行えるようになる

 なお、プロテクトキャットは従来のアンチウイルス製品との併用も可能だ。スキャンも非常に軽く、既存のアンチウイルス製品と併用しても問題なく動作するという。AIエンジンのアップデートも半年に1度ほどで済み、日常業務への影響も非常に少ない。もちろん、プロテクトキャットのみでも既知・未知の脅威に対して高い検知率を誇っており、中本氏は、「お客さま自身の目で効果を体感して頂き、ベストな運用が行えるよう支援したい」と語る。

 「プロテクトキャットはLanScopeユーザーはもちろん、外部からの脅威に頭を悩ませているさまざまな企業でご利用いただきたい」と中本氏。社員が日常業務で使用するエンドポイントは、セキュリティの脅威を防ぐ文字通りの最終防衛線である。その対策に不安があるという企業は、プロテクトキャットのような新しい対策を検討すべきだろう。

Photo ダッシュボードからのクリック操作で、どんなマルウェアになぜ感染したのか、社内に影響がないかどうかを確認できる

※1 富士キメラ総研「2015年ネットワークセキュリティビジネス調査総覧 上巻」の「IT資産/PC構成管理ソフトウェア」分野(2014年度)

Copyright© 2017 ITmedia, Inc. All Rights Reserved.


提供:エムオーテックス株式会社
アイティメディア営業企画/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2016年9月28日