PCセキュリティにも訪れる“人工知能”の時代人工知能が99%の脅威を入り口で検出し、セキュリティ対策全体のコストを削減

シグネチャベースの対策では侵入を防げない―――そんな事実を前に、事後対策への注目がにわかに高まっている。だが、事前の防止策は本当に“限界”を迎えているのだろうか? 人工知能を活用して未知の脅威を高い精度で検出する新たなエンドポイントセキュリティ製品を、デルが提供している。

» 2016年04月13日 10時00分 公開
[PR/@IT]
PR

「入り口対策」を諦めるのはまだ早い

 過去10年以上についていえば、危険なインターネットと安全な内部ネットワークとを分断する境界部分の「ファイアウォール」やシグネチャベースの「アンチウイルスソフト」で侵入を食い止めるというアプローチが、セキュリティ対策の「定番」だった。ところが2015年、国内の複数の組織や企業をターゲットにした「標的型攻撃」による情報漏えい被害が発生したことを皮切りに、従来型のセキュリティ対策は根本的な見直しを迫られることになった。

 例えば、ベライゾンの調査によれば、ユーザーの手元に届いた怪しいファイルを最初の一人が開いてしまうまでの時間的猶予は短くて1分22秒しかないという。この間にファイルを検査し、マルウェアだと判断、シグネチャを作成し、ユーザーに配布する……。言うまでもなくこんなことはほぼ不可能で、被害を防げないのは明白だ。

 こうした状況を踏まえ、脅威の侵入をいち早く検知し、内部での拡散を食い止めることで被害を消火する「事後対応」に注目が集まっている。インシデントレスポンス体制の整備に取り組む企業も増えているようだ。

 ただ、ある対策にフォーカスが当たると、そこばかりに力を注いでしまう光景もしばしば見られる。「事前の防止」から一転して「事故前提型」の対策ばかりに注力し、やれ「CSIRT(Computer Security Incident Response Team)の構築だ」「SIEM(Security Information and Event Management)製品の導入だ」と、トレンドに振り回されている組織も少なくはないのではないだろうか?

 サイバー攻撃による被害を最小限に抑えるために本当に重要なのは、事前の防御を固めつつ、いざ侵入が明らかになったときには速やかに対処できる体制やプロセスを整備すること、つまり事前と事後の対策両方にバランスよく取り組んでいくことだ。その意味で、昨今やや影が薄くなりがちな侵入防止策にいま一度目を向け、本当に有効な「防御策」を再考すべき時期が来ているのではないだろうか。

人工知能によるマルウェア/ゼロデイ攻撃検知

 こうした考えからデルは、法人向けPCに新たなエンドポイントセキュリティ製品「Dell Data Protection | Endpoint Security Suite Enterprise」(DDP | ESS E)を追加した。これは米Cylanceが開発した「人工知能や機械学習機能を活用したエンドポイントセキュリティ製品」のOEM提供を受けたもので、高い精度で攻撃コードやマルウェアを検知することを特徴としている。

図1 「Dell Data Protection | Endpoint Security Suite Enterprise(DDP | ESS E)」概要

 伝統的なセキュリティ対策の一つであるアンチウイルスソフトウェアは、マルウェアの特徴を記した「定義ファイル(シグネチャ)」を配布し、それをファイルと照合することによって悪意あるソフトウェアを判別していた。

デル クライアントソリューションズ統括本部 Dell Data Protection マーケティングマネージャー 國持重隆氏

 しかし近年、マルウェアやウイルスの数は膨大なものに上っており、それら全ての定義ファイルを作成し、配布するのはもはや困難だ。また、少しだけファイルの内容を変えたマルウェアの亜種、すなわち「ミューテーション」も横行しており、従来の定義ファイルをベースにした検出システムでは、「せいぜい50%か、それ以下しかマルウェアを捉えられない」と、デル クライアントソリューションズ統括本部 Dell Data Protection マーケティングマネージャーの國持重隆氏は指摘する。

 これに対しDDP | ESS Eでは、機械学習を活用するという全く異なるアプローチによって、マルウェアか否かの判定を下す。より具体的に言えば、プログラムの作成者や署名の有無、ファイルの種類といった基本的な項目からプログラムのロジックまで、約1000万に上るファイル特性の関係性を独自のアルゴリズムに基づいて解析し、「マルウェアらしさ」をスコアリングする仕組みだ。一連のプロセスに人手を介する必要は全くない。また、このアルゴリズムは未知のマルウェアにも対応可能で、誰かが最初の犠牲者となって検体を提出する必要もない。

図2 DDP | ESS Eではシグネチャベースでもサンドボックスなどの実行後検知でもなく、人工知能アルゴリズムにより脅威を実行前に検知する

 國持氏によれば、この人工知能のアルゴリズムは、Cylanceが約3年をかけて「マルウェアとともに正規のプログラムを大量に学習させる」ことで精度を向上させてきたものだという。特にまだ誰もシグネチャを作成していない新規のマルウェアやゼロデイ攻撃をも“99%”という高い精度で検出できるという意味では、従来型のアンチウイルスソフトの限界を打破したものだといえるかもしれない。

動画が取得できませんでした
DDP | ESS Eではシグネチャによらず、マルウェアを“実行前”に検知し、パフォーマンスへの影響も抑える

 加えてDDP | ESS Eでは、テキストファイルに仕込まれた悪意あるスクリプトから悪意あるファイルを呼び出すといった、ファイルスキャンのような静的解析だけでは検知できない脅威も見つけ出す動的解析(メモリ保護など)の機能も備えている。

 「100%と言い切ることはできないが、99%の悪意あるソフトウェアは間違いなく止めることができる。近頃よく言われるように、『100%侵入を防ぐことはできない』と入り口での防御を諦めてしまうのではなく、入口でなるべく多くの脅威を防ぐことによって、その先の対応に掛けるリソースを削減することができる」と、國持氏は述べる。

気になる「動作の重さ」や「誤検知」にも配慮

 シグネチャでなく人工知能を活用することは、運用面でのメリットも生み出す。例えば、アンチウイルスソフトに対するユーザーの苦情の中で最も多いのが「動作が重たい」ということだが、DDP | ESS Eにはそれがない。大容量のシグネチャファイルをダウンロードし、照合する必要がないため、動作は高速だ。しかも一度検査したファイルの情報はクラウド側にアップロードし、ブラックリストとして共有するため、重複した検査を省くことで「だんだん動作が重くなる」といった事態も回避することができる。これにより、PC本来の目的であるエンドユーザーの生産性向上を阻害せずに利用できる。

 またシグネチャベースの対策では、「常に最新のシグネチャを維持するように」と啓発活動を行い、エンドユーザー自身にアップデートさせたり、配信サーバを運用したりするなど、「ユーザーや管理者頼み」のセキュリティ運用が必要だったが、シグネチャを用いないDDP | ESS Eでは基本的にはそれも不要だ。こうした特性は、制御システムのような、シグネチャベースのセキュリティ対策ソフトの導入が困難だった環境にも生かせそうだ。

 管理面では、各エンドポイントのマルウェア検出状況はオンプレミス環境に導入できる管理サーバに集約され、デルが提供する運用管理インタフェースを通じて一元的に把握できる。ネットワーク全体でのマルウェア検出数はもちろん、どの端末でどのような脅威が検出されたのか、ファイル名や「マルウェアと判定された理由」といった詳細まで確認可能だ。

図3 DDP | ESS Eの運用管理画面(ダッシュボード)
図4 DDP | ESS Eの運用管理画面(脅威分析)

 なお、しばしば懸念事項となる「セキュリティ製品の“誤検出”が正規アプリケーションの動作を妨害してしまう」という事態に対しても、この管理画面上で正規のプログラムを「例外」としてホワイトリストに追加することにより、以降はアラートを回避して運用できるようになる。

 「まず組織の一部で試験的に運用して、業務中にどのようなプログラムが検知に引っ掛かるかを分析し、それをホワイトリスト化していく。そして、運用に耐えられる段階になったら全社展開するというステップを踏むことでスムーズに導入できる」(國持氏)。また、デルのプロフェッショナルによるセキュリティサービスである「Dell SecureWorks」と連携し、DDP | ESS Eで検出した不審なファイルを詳細に分析する、といった形で監視サービスを展開することも検討しているという。

最初の防御を固めることでコスト効果の高いセキュリティ対策を支援

 また、デルはDDP | ESS Eと同時に「POST(Power On Self Test)ブートBIOS検証ソリューション」も提供している。

 日本国内ではあまり大きな話題にこそならないが、近年、OSよりも下のレイヤーであるBIOSを改ざんし、ユーザーに全く知られないようにして情報を盗み取るマルウェアの危険性が指摘されている。POSTブートBIOS検証ソリューションは、ハードウェアチップやクラウドを活用し、手元のBIOSイメージを正常なものと比較・検証し、安全なプラットフォームであると確認した上でPCを利用できるようにする。

図5 「POSTブートBIOS検証ソリューション」

 デルはもともと「Dell Data Protection」ソリューションとして、多要素認証を実現する「DDP Security Tools」やディスク・ファイルを暗号化する「DDP Encryption Cloud Edition」といったソフトウェアを提供し、「最もセキュアなPC」の提供に取り組んできた。DDP | ESS Eは、その取り組みをさらに加速させるものといえるだろう。

 ただ、國持氏は、「これによってその他のセキュリティ対策ソフトがまったく不要になるわけではない」とも述べる。むしろ、DDP | ESS Eは「他のセキュリティ対策の効果を高めるために役立つもの」という位置付けだという。

 「DDP | ESS Eによって、エンドポイントに対する攻撃の大半を防ぐことができれば、残りわずかな脅威への対策に専念できる。入口の防御を固めることで、その後ろのセキュリティ運用をシンプルにできる」と國持氏は述べ、DDP | ESS Eと併せてホスト型不正侵入防止システム(HIPS)やエンドポイント検知・対応(EDR:Endpoint Detection and Response)製品、SIEMなどを活用し、“99%の網”をすり抜けてきた脅威への対処に集中することで、セキュリティ対策全体のコスト削減を実現できる」と説明した。

 セキュリティが経営問題と認識され始めたとはいえ、十分なスキルを持った技術者や予算には限りがある。一方で、Ponemonの調査によれば企業や組織の77%はWeb経由のマルウェア感染被害に遭っており、「基本的に、攻撃はされるものと考えた方がいい」(國持氏)状況だ。そんな状況において、事前の防御と事後対応にバランスよく取り組み、セキュリティ対策のコスト効果を向上させる上でDDP | ESS Eは心強い味方になってくれそうだ。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:デル株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2016年4月26日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。