ここ数年、世界中でサイバー攻撃が激化している背景として、新種のマルウェアが日々大量に発生していること、マルウェア自体がより高度化していることが挙げられる。このため、従来型のシグネチャ方式やサンドボックスだけでの対策には限界が来ているのだ。そうしたなか、新しいテクノロジーとして注目を浴びているのがAI(人工知能)を利用したマルウェアの検知、防御システムだ。なかでもディープラーニング(深層学習)を活用したセキュリティ対策は、進化が止まらないサイバー攻撃に対抗するための切り札として最近注目を集めている。そこで本連載では、この「ディープラーニング×セキュリティ」にフォーカスし、その特徴や強みが"5分で"理解できるようにしたい。
5分でわかる! ディープラーニング×セキュリティ第1回「まずは、AIとセキュリティの歴史を知ろう!」は こちら
第2回「世界初のディープラーニング×セキュリティ製品はここが凄い! 」は こちら
ディープラーニングが実現するオムニサイバーセキュリティプラットフォーム
ディープラーニングを世界で初めてセキュリティに取り入れたことで、ゼロデイ脅威などに対する卓越した検知率を発揮しセキュリティの世界に変革を促しつつある「Deep Instinct」。まさに「ディープラーニング×セキュリティ」を具現化しているこのソリューションには、Deep Instinct社の最先端のテクノロジーと、同社のエンジニアや研修者らの地道なリサーチの成果が集約されていることは前回述べた。しかし「Deep Instinct」は、今も進化を続けているのである。連載最終回となる今回はそんな「Deep Instinct」の最新情報と、進化の先に目指す世界について紹介したい。
まずは「Deep Instinct」の概要と特徴について改めて抑えておきたい。「Deep Instinct」は、Deep Instinct社のリサーチラボで学習した結果である「D-Brain」と管理モジュール「D-Appliance」、クライアントエージェントの「D-Client」から構成されており、日々ディープラーニングを用いて何百万ものマルウェアを繰り返し学習することにより、高い検知率を実現。学習によって得られた結果を「D-Brain」として3ヶ月ごとに反映している。そして「D-Appliance」が、D-Brainを各端末(クライアントエージェント)に配布し管理しており、Microsoft Azureをはじめとするクラウドとオンプレミスの双方で動作可能だ。クラウドを使用する場合には、ネットワーク構成を変更することなく、低コストで導入が可能となる。
また「D-Client」は、ゼロデイ攻撃や標的型攻撃をはじめとする脅威から端末を保護するが、一般的なアンチウイルス製品が頻繁にアップデートを行うのに対し、予測モデルは3ヶ月ごとに配信されるため、オンライン、オフラインに関わらず長時間使用することができる。加えてメモリ使用率が非常に低いため、インストール後も端末のパフォーマンス低下を感じることがなく、主要なアンチウイルス製品との協調稼働による多層防御も可能となっている。
このように「Deep Instinct」は、デバイスの実行前における保護をエンドポイントかモバイルか、サーバーかなどといったデバイスを問わず行い、NGEPP/EDRとして稼働させることが可能である。またWindows、Andoroid、Mac OS(4月対応予定)、iOSとOSにも依存しない。加えてオンプレミス、クラウド上のどちらでも稼働可能であり、ゼロデイ攻撃、APT攻撃、さらにはスクリプトやマクロ、コードインジェクションなどのファイルを使わない攻撃も含めた様々なファイルに対し、効果を発揮する。このような「Deep Instinct」ならではの防御の仕組みを、Deep Instinct社では「オムニサイバーセキュリティプラットフォーム」と呼んでいる。
自動マルウェア分類で未知のマルウェアを検知し、セキュリティ管理者に適切な対応を促す
「Deep Instinct」の2017年11月にリリースされた最新バージョン「2.1」では、ディープニューラルネットワーク(DNN)を使った新しい「Deep Classification Brain」が導入されている。これは、メモリフットプリントが30MB未満と極めて軽量なモジュールであり、ファイルがマルウェアとして検知されると、そのファイルは更に「Deep Classification Brain」によってスキャンされ、人手を介することなくわずか数ミリ秒でマルウェアファミリータイプの分類結果を出すことが可能となっている。
一般的にセキュリティ製品では検知率にフォーカスしがちだが、実はそれ以外も重要な要素があることはあまり知られていない。それこそが、マルウェアを本当に検知してしまった後に、どうするべきかという問題なのである。「Deep Instinct」では、他では軽視されがちな領域までも踏み込んで考えられているのだ。
未知のマルウェアを検知してしまうと、どのようなインパクトがあるのかが課題になるため、「Deep Classification Brain」では、マルウェアを以下の7つのファミリータイプに分類する。
- ランサムウェア
- バックドア
- ドロッパー
- スパイウェア
- ウイルス
- ワーム
- Potential Unwanted Applications(PUA)
この分類機能により、検知したマルウェアがどういうものなのかその種類が把握でき、脅威に対する最低限必用な判断を迅速に行い、適切な対応へとつなげることができるのである。つまり、未知のマルウェア関するナレッジが何もない状況であっても対応可能であるということだ。
ここで示す「Deep Instinct」の管理コンソールの画面は、大半がランサムウェアで一部スパイウェアの特性も含んだマルウェアであるという分類結果を示している。
将来のリリースでは、悪意度のレベルと分類されたファミリータイプの組み合わせによって、セキュリティ管理者が「Deep Instinct」のポリシーから自動アクションルールを定義することも可能になる予定である。
日本市場での手厚いサポートで安心して導入・運用が可能
そして今後も、「Deep Instinct」はさらなる進化を続けていく予定だ。近い将来では、次期バーションの目玉となる「ダイナミックアナリシス」機能が挙げられる。これは、マルウェアと判断されなかった場合にランサムウェア、キーロガー、ヒューリスティックの3つのポイントから、さらにマルウェアを動的に解析する機能である。こうした新機能の追加により、検知率の残り0.1%を埋めて99.9%にまで高めようというのがDeep Instinct社の狙いである。
本連載を通じて、「ディープラーニング×セキュリティ」のインパクトと、それを実現する「Deep Instinct」の圧倒的な強みについておわかりいただけたのではないか。Deep Instinct社の日本における代理店であるアズジェントでは、20年ちかくにわたりイスラエルのテクノロジーに注目しており、どこよりも新しい情報をいち早く活用して日本市場に製品を提供できる体制が整っている。さらに、チェック・ポイントをはじめとする他社製品を含めたトータルサポートも、各メーカー本社と協力しながら提供できるため、あらゆる問題について解決するためのノウハウも実績も有している。ディープラーニングが可能にする新世代のセキュリティを手に入れたいと考えるのであれば、ぜひ一度相談することをおすすめしたい。
5分でわかる! ディープラーニング×セキュリティ第1回「まずは、AIとセキュリティの歴史を知ろう!」は こちら
第2回「世界初のディープラーニング×セキュリティ製品はここが凄い! 」は こちら
[PR]提供:アズジェント