インタビュー
CylanceはAIによる自動化と予知防御で、セキュリティに低リスクのうちから低コストで対応
2018年11月6日 06:00
米Cylanceは、PCやサーバーなどのエンドポイント用セキュリティ製品のベンダーで、機械学習によるAIを活用している点を特徴としている。もともと、マルウェアなどをブロックするEPP(Endpoint Protection Platform:エンドポイント防御プラットフォーム)製品の「CylancePROTECT」を提供していたが、2017年には感染後の対応をするEDR(Endpoint Detection and Response:検知と対応)製品の「CylanceOPTICS」にも進出している。
同社の特徴といえるAIによるエンドポイントセキュリティについて、Cylance社ワールドワイドセールスエンジニアリング担当バイスプレジデントのGabe Deale氏に話を聞いた。
エンドポイントセキュリティに自動化と予知防御を
――AIによるエンドポイントセキュリティが必要だという背景について教えてください。
Deale氏:いまはデジタルトランスフォーメーションの世界で、過去2年で9割の情報が生成されていると言われています。これを扱うには新しい技術が必要です。
世界経済フォーラムが、2018年における世界のリスクのトレンドを報告しています。それによると、可能性別トップ10では、極端な気象現象や自然災害に続いて、3位にサイバー攻撃が、4位にデータ侵害・窃取が入っています。また、インパクト別トップ10でもサイバー攻撃が6位に入っています。これは、今年が初めてのことです。
このように、セキュリティはいま、未知の世界に突入しています。さながら、20世紀初頭のアムンセン隊とスコット隊による南極探検のようなものです。スコット隊は全滅してしまいましたが、アムンセン隊は成功しました。ここで学ぶべき教訓には「シンプルにせよ」「思い込みで判断せず、自ら試してみよ」といったことがあります。
雪崩を考えてみましょう。雪崩に巻き込まれると、混乱に巻き込まれて圧倒されてしまいます。セキュリティ攻撃に立ち向かうときも、これと同じような状態になります。ここで重要なのは、雪崩に立ち向かうことではなく、雪崩を避けることです。
セキュリティのリスクとコストを2つの軸でグラフにすると、多くのセキュリティベンダーは、高いリスクに高いコストで立ち向かい、人的リソースを割いています。それに対してわれわれは、自動化と予知防御で、低リスクのうちから低コストで対応することを目指しています。
ベライゾンが2018年データ漏えい調査レポートで、人力で対応した場合に、すぐに発見される侵害はわずか3%で、気付かれずに1カ月放置されるものが68%あると報告しています。このように、人の力に頼らずに対応することが必要とされています。
――CylanceのAI技術の効果や実績について教えてください。
Deale氏:CylancePROTECTは、マルウェアが現実の世界で見つかる平均25カ月前に検出して防御できる、予測型の製品です。われわれの出している脅威レポートでは、攻撃の7割のケースが未知の攻撃です。そのため、既存のウイルスを元にしたパターン方式ではなく、予測型であることが求められます。
事例もいくつかお話できます。たとえば、年間数千あった攻撃が5件に減り、そのための人員が6名がパートタイムで1.5名になった企業がありました。
また別の企業では、対策に100台のマシンが必要だった会社がありました。それを0にし、プラットフォーム管理者を10名から1名にしました。さらに、コンピュータの入れ替えサイクルも3年から5年になったという副産物的なメリットもありました。これは、Cylanceの技術はコンピュータへの負荷が低く、長期間にわたってパフォーマンスを維持できるためです。Cylance製品は、OSに入り込んでフックするものではく、継続的なスキャニングもしないため、オーバーヘッドが発生しません。
そのほか、AIがWannaCryを19カ月前の数理モデルで予測できたという実績もあります。従来のパターン方式では未知のマルウェアに対応できませんが、AIのユニークなところは、過去から学んで未知のものにも対応できることです。
AIは何世代かにわたって学んでいけます。われわれのAIの数理モデルはいま第7世代で、すでに100以上の国や異なる言語で動作するなど、汎用的に動いています。
こうしたAI技術の導入は、エンドポイント製品ではわれわれが最初だと思っています。最近では他社からもEDRなどでAIを採用したものが出始めていますが、いずれもクラウドでAIが動くものです。われわれの製品はAIがローカルで動くことがそれらと異なる点です。
ちなみに、ときどき「Cylance製品は誤検知が多い」と言われることがあります。しかし、それは昔の数理モデルでの話で、いまの第7世代の数理モデルでは格段に精度が向上しています。
――EPPでの自信がありつつ、それをすり抜けたものへの対策であるEDRに進出したのはどういった理由でしょうか。
Deale氏:EPPでの100%の防御は無理です。たとえば、単体では攻撃でないものが後から攻撃になるものもあります。それに対応するには、攻撃者がどのようにマシンにアクセスしているかをとらえる技術が必要です。そこで、CylanceOPTICSを補完的な製品として出しました。CylanceOPTICSは、通常と異なるイベントを分析して有害になる前に対応するためのものです。CylancePROTECTで脅威を緩和し、そのあとでCylanceOPTICSで対応するという形です。
われわれの目的は攻撃者をブロックすることで、そのために戦術などもつかみながら早めに抑えこむことを考えています。いずれも思想としてはあくまで予防です。
――EDRではEPPと異なる新しい数理モデルを使っているのでしょうか。また、そうであれば、EPPで第7世代まで積み重ねてきたものを、EDRではまた一からやり直すことになるのでしょうか。
Deale氏:はい、新しい数理モデルです。ただし、EPPで得た知見をEDRに生かして、効果的に学習させることができました。完璧ではありませんが、順調に推移しています。
――そのほか、これからの製品や機能について教えてください。
Deale氏:いま、Personaという新しい技術に取り組んでいます。この技術では、生体認証などによってユーザーを特定し、継続的に観察します。人はけっこう予測可能で、日常ではふるまいが決まっています。そこで、攻撃者が入りこんで違う行動をとると、それを検知できるというものです。これは、EPPにもEDRにも、さらに新しい機能にも、共通の1つのエージェントで対応できるのも特徴です。