パターンファイル依存に潜む“落とし穴”――鍵は「AI」による防御

ランサムウェアに代表されるサイバー攻撃の凶悪化に伴い、IT部門にはより一層の対策強化が求められている。しかし、既存のエンドポイントセキュリティ製品には、実は大きなリスクがある。NECソリューションイノベータが語った、既存の対策の問題点と、その対応策とは。

[PR／ITmedia]

PR

既存のセキュリティ製品に潜む“罠”

Cylance Japan 最高技術責任者の
乙部幸一朗氏

　「現状、アンチウイルス製品のほとんどが100％近いマルウェア防御率をうたうものの、そこには大きな“落とし穴”が存在します。パターンファイルに依存する既存のマルウェア対策は、もはや限界に達していることは容易に理解できるのではないでしょうか」

　NECソリューションイノベータは2017年3月10日、「人工知能戦争!　新型マルウェア対策セミナー」をベルサール東京日本橋で開催。PCなど、いわゆるエンドポイントでのセキュリティ対策に焦点を当て、マルウェアの脅威を防ぐ方法を語った。冒頭の言葉は、Cylance Japan 最高技術責任者の乙部幸一朗氏によるものだ。

　では、落とし穴とは何か。端的に言えば、マルウェア検出からパターンファイル配布までのタイムラグである。米国のセキュリティ企業によるレポートによると、新たなマルウェアが検出され、ネットワーク上でその存在が見受けられなくまでの時間は約1分にすぎないという。裏を返せば、それだけ新種や亜種が登場するサイクルが短期化しているわけだ。対して、パターンファイルの配布は検体を捕獲した後になる。当然、パターンファイルができるまで、未知のマルウェアは検知されることなく、システムへの侵入を試み続ける。

防御率の落とし穴

　よくあるマルウェアの防御率テストは、パターンファイル作成後に実施されている。つまり各社の検出率は、「準備ができてから」テストされたもので、実態と大きく乖離しているのだ。

　この現状を踏まえれば、セキュリティ対策の見直しが不可欠なことは明らかだ。そこでの新たな“解”として乙部氏が提示したのが、人工知能（AI）を活用してプログラムの特徴点を解析し、パターンファイルがなくても悪意の有無が見抜けるセキュリティ対策である。

　「各種ファイルの中身を見れば、その特徴点から悪意の有無を見抜くことが可能です。その作業をAIに代行させることで、パターンファイルに依存せずに、マルウェアを阻止する環境を実現できるのです」（乙部氏）

AIを活用したCylancePROTECTなら、パターンファイルがない未知のマルウェアも検出できる

その能力と管理のしやすさから導入企業が続々

　Cylanceのセキュリティ製品「CylancePROTECT」は、大手セキュリティベンダーの幹部であった創業者が、「ファイルの特徴点を調べ、スコアリングすることで、悪意の有無を判断する」という考えを基に開発された製品だ。その検知率は99.7％に上る。セミナーでは、比較的新しいマルウェアの検体を使って、他製品との比較テストなども実施。AIによる特徴点解析を行い、マルウェアを実行前に阻止できるCylancePROTECTなら、新種のマルウェアであってもしっかりと防御できることを披露した。

　CylancePROTECTの性能の高さに着目し、2016年9月からパートナーとして同製品の販売に乗り出たのがNECソリューションイノベータである。乙部氏に続き登壇した、NECソリューションイノベータのパブリックセーフティソリューション事業部 サイバーセキュリティグループで主任を務める平野良子氏は、「CylancePROTECTはクラウド上の管理サーバでクライアントの運用管理を一括管理できる点で、運用面の負荷を確実に低減させられます。社内の全端末を対象にしたポリシー設計／変更も、それだけ容易になっているのです」と、製品の技術的な優位性に加え、運用面でのメリットを強調した。

　こうした総合力が高く評価され、すでに、国内でもCylancePROTECTの導入が相次いでいるのだという。平野氏が紹介したのは、約150台の端末が運用されているWebサービス企業の導入事例だ。同社では、ITスタッフが1人で端末の運用管理を実施。ただし、OSの種類ごとにセキュリティ製品を使い分けていたため、担当者の管理負荷が極めて高いことが問題となっていた。

　だが、WindowsやMac OSなど複数OS上での稼働が可能なCylancePROTECTを採用したことで、端末設定がクラウド上で一元的に行えることもあり、対策の厳格化はもちろん、管理負荷の大幅軽減も実現できたという。また、他社製品ではマルウェアによる被害が発生したが、検証作業中のCylancePROTECTでは確実に保護できたことで、導入にまで至ったメーカーのケースなども紹介された。

“製品＋サービス”で、より強固な対応を

　NECソリューションイノベータでは、同社のSI力を生かし、製品導入から運用までの広範なサポートサービスを提供している。そこで注目されるのが、CylancePROTECTで検出された脅威を、専門アナリストが解析し、セキュリティリスクを抑制する「ThreatZERO」だ。

　「脅威を分類し、事前対応につなげることがサービスの主目的。導入時にはAIの検知能力の高さから意図しないリスクが顕在化することも少なくありません。それらを一度、すべて払拭し、いわば“真っさら”の状況から腰を入れて対策を組み立てられるようになるわけです」（平野氏）

　導入前のコンサルティングから、検出されたマルウェアを解析し、攻撃の意図を明らかにするサービスまで、同社は企業の多様なニーズに対応したメニューを用意。状況に応じたそれらの活用を通じ、より強固な守りの策を講じることが可能となる。

NECソリューションイノベータなら、導入フェーズから運用フェーズまで、しっかりとサポートしてくれる

　セミナーの最後で、「我々の製品でも完璧な防御は実現できていません。だからこそ、多層防御の観点からの対策も不可欠です」と乙部氏。その実践を通じた、より高度な対策の実現に向け、CylancePROTECTとNECソリューションイノベータの組み合わせで、安心・安全な環境を目指す必要があることを訴えた。