マルウェアが激増、人材は不足……セキュリティ業界で「AI×機械学習」が注目される背景（1/2 ページ）

AIや機械学習を活用したセキュリティ対策が注目を浴びて久しい。初めて登場したのは10年ほど前だが、2020年に入ってからもなお、業界のトレンドとなっている。人手によるセキュリティ対策や、従来型のセキュリティソリューションによる対応では足りない理由を、最近の攻撃動向を踏まえながら解説する。

[高橋睦美，ITmedia]

　サイバー攻撃と、それに対する防御はいたちごっこと言われます。最近ではAIや機械学習といった領域にまたがる形で攻防が繰り広げられているようです。

　この数年間、主要なセキュリティベンダーのソリューションが、次々とAIやML対応をうたうようになりました。大きな理由は、サイバー攻撃の量とスピード、特に未知のマルウェアの登場する速度が大幅に高まっており、自動化しなければ間に合わないからです。

　パロアルトネットワークスの林薫氏は、このほど開いた記者説明会で「今や1年間で1億2000万件ものユニークなマルウェアファイルを検知し、データベースに登録するようになっている。5年前、10年前はその数分の1で足りていたが、今はそれが爆発的に増え、1秒間に3〜4個のペースで新しいマルウェアが増えている計算になる」と解説しました。

　林氏によると、かつてサイバー攻撃に使われるマルウェアは、サイバー犯罪者自身が開発したり、ダークウェブ上のマーケットなどで仕入れたりしたものを、そのまま不特定多数にばらまく場合がほとんどでした。

　しかし「攻撃者はそれでは効率が悪いことに気付き、マルウェアを“未知化”する作業を始めるようになった。仕入れたマルウェアをそのまま使うのではなく、それぞれ異なるファイルに見せかけることによって、単純なパターンマッチングからの検出を逃れるようにしている」といいます。

昨今のサイバー攻撃の手法（出典：パロアルトネットワークス）

攻撃の手法は多様化するが、セキュリティ人材は不足

　既存のアンチウイルス製品の多くは、既知のマルウェアプログラムの特徴的なパターンをまとめた「シグネチャ」（あるいは定義ファイル、パターンファイル）と照合して疑わしいファイルの検出を図る、パターンマッチング方式を採用してきました。この方式ならば、既にいったん世の中に出回った「既知」のマルウェアを効率的に検知できます。

　ですが、攻撃者はその検出をかいくぐるため、マルウェアをコピーしてそのまま使うのではなく、少しだけ改変を加えたり、圧縮や難読化を行う「パッカー」と呼ばれるソフトウェアの種類を変えたりして、「未知のマルウェア化」をしているというわけです。

　ただでさえ、他のさまざまな業務に追われ、十分な教育やトレーニングが行えないことから、セキュリティ人材は人手不足が指摘されています。そんな状況下で、専門家が努力しても間に合わないスピードで増加している脅威を捕獲、分析し、ブロックするためのポリシーを作成するのは難しいです。何らかの形で自動化し、精度を高めていかなければ間に合いません。そこにAIやMLを活用する余地があります。