[Security Days Fall 2016開催直前インタビュー] 人工知能がサイバーセキュリティにもたらすゲームチェンジ(Cylance)
井上 「2015年、アメリカ連邦政府人事管理局(OPM)がサイバー攻撃を受け、2000万人以上の個人情報が流出した事件がありましたが、そのあとOPMはCylanceを採用しました。」
研修・セミナー・カンファレンス
セミナー・イベント
PR
10月3日に大阪で、10月5日から7日まで東京で開催される同カンファレンスは、セミナーを中心に行われ、専門企業と先端技術者による最新知見が共有される。
「Security Days Fall 2016」で他社セキュリティ製品との検知精度比較デモを中心としたセッションと、人工知能を活用したエンドポイントセキュリティ製品の技術と機能に関する講演を行うCylance Japan株式会社のセールスエンジニアマネージャの井上 高範 氏に、講演の見所と個性あふれる同社のデモンストレーションについて直前取材を実施した。
●インシデント発生後のアメリカ連邦政府人事管理局も採用
――短期間でユーザー数を増やしていますね。
創業から4年ですが、すでにグローバルで1,000社以上に採用され、600万台のPCにインストールされています。2015年、アメリカ連邦政府人事管理局(OPM)がサイバー攻撃を受け、2000万人以上の個人情報が流出した事件がありましたが、そのあとOPMはCylanceを採用しました。
――これまでにも機械学習や人工知能技術を利用した製品はありました。Cylanceは何が違いますか。
シグネチャに依存しないウイルス対策を実施する製品は他にもあります。例として「ふるまい検知」を挙げると、ふるまい検知は検体をサンドボックスや仮想環境で実行、そして解析、モニターし、要は危険行動を実際に把握してから処理するという種類の対症療法です。
一方、Cylanceが徹底するのはAIを活用した「予測型防御」です。Cylance PROTECTは、対象とするファイルの「構造」「サイズ」「アイコン」「拡張子」など、1ファイルあたり、最大620万点の特徴点を静的解析した、弊社がファイルの「DNA」と呼ぶ情報をもとに判断を下します。
そのDNA判定の仕組みを解説すると、まず、クラウド上で5億件のファイルを解析します。そして、その結果情報を元にディープラーニング(深層学習)を実施し、アルゴリズムを生成、そうしてできたアルゴリズムをパソコンの端末にインストールすることで、日々やりとりされるファイルのマルウェアらしさを毎回瞬時に判定し、脅威を未然に防ぎます。
●マルウェア以外のファイルも解析する理由
――つまり、収集・解析したDNA情報とファイルを直接比較するのではなく、DNA情報を学習させたAIに、そのファイルは安全か危険かをアルゴリズムで判断させているということでしょうか。
そうです。アルゴリズムがファイルを処理するので、膨大なパターンファイルが一切不要になります。学習させたアルゴリズムは、クライアントにエージェントとしてスタンドアローンでの実装が可能で、ネットワーク接続がなくても機能します。
――5億件のファイルの解析データを学習させるとのことですが、マルウェアやその亜種などを集めたものですか。
5億件の内訳は、まず、マルウェアが2億5千万件。そして、ここがCylanceの特徴ですが、あとの半分の2億5千万件は、悪意のない普通のファイルです。
普通のファイルの中にはさまざまなツールやユーティリティも含まれます。まったく無害のファイルも存在しますが、これらのDNAも学習させることで、「危険なマルウェア」だけでなく、「悪意が疑われるグレーなファイル」「悪意はないが悪用可能なツール(PUP:Potentially Unwanted Program)」「無害なファイル」の4段階の検出が可能になるのです。
これまでの検知ソリューションはPUPの扱いや、ホワイトリストの管理が繁雑でしたが、AIに任せれば、グレーなファイルやPUPの検出もしてくれます。
●刺激的デモ「アンビリーバブルツアー」
――全国で行われた、一般的なアンチウイルス製品とCylanceとの検知率の違いを目の前で比較して見せるデモンストレーション「アンビリーバブルツアー」は、 Security Days Fall 2016 の講演と展示ブースの双方で行われると聞いています。AIがマルウェアを検知するなら、既存のセキュリティ製品は不要になると思いますか。
Cylanceはエンドポイントセキュリティなので、そのほかのファイアウォールやUTM製品などとは競合しませんし、これまでの入り口対策、出口対策が必要なくなるわけではありません。
一方でもちろん、既存のエンドポイントセキュリティ製品とは競合します。Cylanceは米国企業ですが日本で販売を開始してから数ヶ月であるものの、Cylance Protectへの乗り換えを実施済みのお客様もいらっしゃいますし、何よりご検討中の企業様が多数いらっしゃいます。また一方で「既存のエンドポイントセキュリティも外したくない」という要望も時々あります。
じつは、従来型のアンチウイルス製品とはファイルを検査するフッキングポイントが異なるため、既存のアンチウイルスと干渉することもなく、つまり共存も可能です。また資産管理系のセキュリティソフトとの相性もよいのです。
――最後に読者へのメッセージをお願いします。
AIによるマルウェアプロテクションがどんなものか、ぜひ会場にご自身の目で確かめにいらしてください。
――ありがとうございました。
《ScanNetSecurity》
関連記事
この記事の写真
/