ネットワークセキュリティ統合管理ツール「LanScope Cat」を展開するエムオーテックスは2016年7月、エンドポイントセキュリティの新製品「プロテクトキャット Powered by Cylance」の提供を開始した。同製品は、米Cylanceが開発したAIによるマルウェア検知技術を搭載し、クライアントPC側で未知の脅威の大部分を防御するという製品だ。クライアントPCにインストールした検知エンジンで対処するため、定義ファイルを日々アップデートするといった運用から解放されることが大きな特徴となっている。
エムオーテックスは8月24日、この新製品の発表に合わせてCylanceとの共同イベント「Unbelievable Tour in Japan」を開催。同イベントでは、米Cylanceの担当者がAIを使ったマルウェア検知技術を解説するとともに、実際に未知のマルウェアを検知するデモが披露された。また、イベント後半のトークセッションでは、セキュリティ業界の著名人が登壇。専門家の視点から、AI技術の評価や可能性についてさまざまな意見が交わされた。本稿では、その内容をダイジェストでお届けする。
AIを使った検知の精度はいかに?
OWASP JAPAN 代表の岡田 良太郎氏 |
HASHコンサルティング 代表取締役の徳丸浩氏 |
トークセッションは2部構成。前半は「Cylanceのココが知りたい! 」と題し、OWASP JAPAN 代表の岡田 良太郎氏とHASHコンサルティング 代表取締役の徳丸浩氏が、米Cylance ワールドワイドセールス シニアバイスプレジデント ニコラス・ワーナー氏と、Cylance Japanでセールスエンジニアリングマネージャーを務める井上高範氏に、率直な疑問を投げかけた。
徳丸氏はまず最初に尋ねたのは、「すでにインストールされているアンチウイルス製品と競合するものなのか、共存させることができるものなのか」についてだ。これに対して井上氏は「動作が軽く早いため、既存のソフトと同居させてもまったく問題ありません」と回答。
Cylanceは、マルウェアのDNAをAIで検知する仕組みになっており、フルスキャンのようなCPUを必要とする処理は行わない。そのため、ほかのアンチウイルスソフトと共存させても、負荷が高まることがないのだという。もっとも、「検知率から言えば、Cylance1本にまとめていただくほうがコスト削減にもつながる」と強調した。
米Cylance ワールドワイドセールス シニアバイスプレジデント ニコラス・ワーナー氏 |
Cylance Japanでセールスエンジニアリングマネージャーを務める井上高範氏 |
また、ワーナー氏は「非常に軽く動作するように設計されており、XP SP3もサポート対象にしているので、生産設備におけるIoTデバイスの管理などで一定のセキュリティを確保できます」と説明する。その場合は、特定のアプリケーションだけを起動可能にする設定を行い、外部からの攻撃を防ぐことが必須になるとしている。
さらに、岡田氏は「検知率が高くても、その分誤検知が増えては管理しにくくなるのでは?」という疑問を投げかける。井上氏は、「過検知や『すり抜け』の問題は、極力起こらない設計になっています」と説明。それを受け、ワーナー氏が「当社のAIの特徴は、良いものと悪いものを分けて判断していく従来の機械学習とは異なり、良いもの、悪いものを同等に扱い、トレーニングを重ねることで特徴量を抽出します。それをマルウェアのDNAとしてとらえることで、マルウェアを実行することなく、マルウェアかどうかを判定できるようになっているのです。もちろん、間違った場合は、簡単にホワイトリストとして登録する仕組みも用意しています」と補足した。
岡田氏と徳丸氏はこれらのほか、「暗号化・難読化されたマルウェアをどう検知するのか」「プログラムのアップデートが半年ごとというスパンで、未知の脅威に対抗できるのか」「今後はどういった展開を行う予定か」など、セキュリティの専門家として感じる疑問を次々に投げかけていた。
徳丸氏は「話を聞いても狐につままれたような面がなくはないと思います。ただ、ぜひ自分で使って確かめてみたいというのが率直な感想です」と語り、AIを使った新しいマルウェア検知方法に高い関心を寄せた。ワーナー氏も「私やベンダーの言うことをむやみに信じないでください。大切なのは、自分で試してみることです」と呼びかけた。