標的型攻撃やランサムウエアなど、昨今のサイバー攻撃はますます悪質化するとともに手口が巧妙化しています。従来のアンチマルウエア製品はもとより、NGAV(Next Generation Anti-Virus)や事後対策となるEDR(Endpoint Detection and Response)などふるまい検知をベースとする製品をもすり抜けて、企業や組織に甚大な被害を発生させるケースが増大しています。そうした中で注目される深層学習(ディープラーニング)を活用したEPP(Endpoint Protection Platform)による事前対策のアプローチについて、ユニアデックス プロダクトビジネス推進部 NW&セキュリティ課の齋藤隆宏に聞きました。
目次
深層学習の活用でサイバーセキュリティー対策はどう変わるのか
深層学習をセキュリティー対策に応用することで、さまざまなメリットがあります。例えば、マルウエア検知を機械学習で行う場合、まず人間がエンジニアリングを行うことになります。ところが、人間が認識できるマルウエアの特徴には限界があり、仮に100個の特徴があったとしても、気づくことができるのは4~5個程度といわれています。そうした限られた特徴をもとにマルウエアを判定することになるため、未知の脅威の検出精度は50~70%程度にとどまり、誤検知も1~2%発生します。また、データの特徴を抽出する作業も多くを人手に頼るため、学習および判定できるファイルの対象はEXEやDLLといった実行ファイルにとどまっています。
これに対して深層学習を活用した場合、人間が関与しなければならなかった特徴エンジニアリングの大部分をAIに任せられるようになります。end-to-end学習(端対端学習)が可能な深層学習では、生データを大量に読み込ませて学習させるだけで、例えばマルウエアに100個の特徴があれば、そのうちの90%以上を抽出することができます。この膨大な特徴をもとに判定を行うため、結果として非常に高精度なマルウエアの検知が可能になると齋藤は話します。
「さらに、近年猛威を振るっているランサムウエアのEmotet(エモテット)は、メールに添付されたWordやExcelのファイルに埋め込まれたマクロを利用することで端末へ侵入し、拡散します。深層学習を用いたサイバーセキュリティー対策であれば、こうした実行ファイルではない未知のマルウエアも検知できるようになります。これまでは人間が『これがマルウエアだ』と定義した特徴に基づいて、限定された範囲内でしか検知ができませんでしたが、深層学習を利用することで、非常に広範囲にわたってマルウエアを検出することができるようになります」
深層学習を本格的に採用したサイバーセキュリティー対策製品
そうした深層学習を活用したサイバーセキュリティー対策ソリューションとして、ユニアデックスが提供しているのが「Deep Instinct」です。深層学習を本格的に採用した初めてのセキュリティー対策製品で、そのフレームワークは5つの特許を取得しています。
エンドポイントセキュリティーを、事前予防を行うEPPと事後対応を前提としたEDRに大別した場合、Deep Instinctは前者のEPPに位置付けられる製品です。マルウエアが侵入してきた段階で検知し、隔離して感染を防止するDeep Instinctの動作自体は従来型のソリューションと同じですが、深層学習を採用したEPPが必要とされる背景には、EDRの運用負荷が増大している問題があると齋藤はいいます。
「EDRでは、攻撃や不正アクセスの証拠となるメールやファイルの特定、サーバーのログファイルに残る記録などを見つけ、インシデントを把握、解明するフォレンジック調査を行う必要があります。この調査には専門的な知識とスキルが要求されるだけでなく、多くの対応リソースを費やすことになります。復旧までに長時間を要する場合があり、その間は業務停止に追い込まれるリスクがあります。こうした背景から、EDRの負担をいかに軽減するかが問われています。その重要なポイントがEPPの領域における未知の脅威に対する防御力強化と早期発見であり、この課題をDeep Instinctは解決します」
深層学習を採用したDeep Instinctを運用することのメリットは他にもあります。その1つが業務生産性への影響です。これまでのEPPで主に使われてきた従来型のアンチウイルスは、日々更新されるシグネチャーと呼ばれるパターンファイルに基づいてマルウエアを検知しています。そのため、検知精度を保つにはシグネチャーを高頻度で確実に更新し続ける必要があります。
また、エンドポイントのファイル全体に対して定期的なスキャンが必須です。スキャンの実行中はエンドポイントのリソースを大量に消費し、OSやアプリケーションのパフォーマンスを低下させ、業務生産性にも影響を及ぼすため、エンドユーザーの重い負担となります。
これに対してDeep Instinctでは、組み込まれている学習モデルの更新こそ必要ですが、その頻度は年間で1~2回程度です。また、エンドポイント全体のスキャンは導入時に行うだけで、その後は必要ありません。エンドユーザーにDeep Instinctの存在をほとんど意識させることなく、未知のマルウエアを含めた早期検知と脅威のブロックが可能になります。
セキュリティー運用全体の効率化と負荷軽減に大きく貢献
Deep Instinctの導入によってEPPの運用負荷が軽減される点は、導入された多くのお客さまから高い評価をいただいているほか、高精度ゆえ検知率が高く、「誤検知のアラートが非常に少なくなった」という声も数多く寄せられています。また、結果としてDeep Instinctによって、EDRでの対応件数も大幅に減少し、サイバーセキュリティー運用全体の効率化に大きく貢献しているという評価もいただいています。
多くの企業でリモートワークが拡大するとともに、DX(デジタルトランスフォーメーション)を見据えた取り組みが加速しています。それは、同時に攻撃対象領域(アタック・サーフェス)が拡大しているということでもあります。エンドポイントのセキュリティー対策の強化は、これまで以上に重要になります。守るべき情報資産に対する攻撃手法は、日々進化を続けています。サイバーセキュリティー対策には「これだけ実施しているから万全」といった終わりはありません。
最新の攻撃手法に対応した対策を選び、それを運用することで、大切な情報資産を守り、事業を継続していく。サイバーセキュリティー対策はすでに経営課題そのものだといえます。ユニアデックスでは、そうした課題の解消に向けたトータルなソリューションを用意しています。サイバーセキュリティーに関するお悩みがあれば、ぜひご相談ください。
齋藤 隆宏
ユニアデックス株式会社
パートナー営業本部
ストラテジック・プロダクト企画統括部
プロダクトビジネス推進部
NW&セキュリティ課