セキュリティでも「AI」「機械学習」は活用すべきだ――ただし、多層防御の“層”の一つとして：特集：「AI」は企業のセキュリティ対策に必要なのか、どう変革するのか（2）

[宮田健，＠IT]

　多くの産業分野で「AI（人工知能）」が注目されている。これまで人間では見えなかったものが、AI／機械学習の“目”を通じて発見され、世界がより良い方向に向かうことを促す技術として捉えられている。もちろん、「サイバーセキュリティ」の世界でも、これは同様だ。

　『特集：「AI」は企業のセキュリティ対策に必要なのか、どう変革するのか』の第2回となる今回は、スロバキアに本拠地を持つESETのエンジニアに、「AI／機械学習でどう顧客を守るのか」「特にエンドポイントに近いコンポーネントにおいてAIや機械学習をどう活用しているのか」を聞いた。

ESETは「AIで守る」をどう定義するのか

ESET Head of AI/ML Research　ユーライ・ヤノシク（Juraj Janosik）氏（提供：イーセットジャパン）

　ESETでは、「AI」をどのように定義しているのか。ESETでHead of AI/ML Researchを務めるユーライ・ヤノシク（Juraj Janosik）氏は、次のように答える。

　「ESETでは、AIと機械学習を明確に区別している。以前から機械学習について研究しており、機械学習を用いたマルウェア判定を行っている。知的レベルの高い人間を機械で置き換えるものがAIであり、人間が行っていることを機械でまねするのが機械学習だ」

　ヤノシク氏によると、ESETがニューラルネットワークを同社のマルウェアスキャナーに追加したのは1997年で、これによりマクロを使ったコンピュータウイルスを検出してきたという。その後研究を続け、2005年にはオンラインによる機械学習を使ったレピュテーションシステムをリリースした。また、ESETが検出してきた大量のサンプルを学習させ、マルウェアの特徴を「遺伝子」として捉える仕組み「DNA Detections」を作成している。

DNA Detectionsは、既知のマルウェアの新しい亜種、または悪意のある動作を示す遺伝子を含んだマルウェアを特定できるという。

　ヤノシク氏によると歴史がある機械学習の分野は、過去2、3年で大学や大企業による研究が大幅に進んだ。昔のメカニズムが悪かったわけではないが、以前の技術を強化すべく新たな研究が進められているという。

　「大事なのはAI、機械学習ともに“データ”を理解すること。そしてその目的は、これらの技術をリサーチし、技術を活用してサイバーセキュリティを提供することであり、顧客を守ることだ。AIも機械学習もマーケティング用語として使われていることは理解している。しかし、何ができるかを理解しない状態で言葉を使うべきではない」（ヤノシク氏）

AI、機械学習が有効なセキュリティ分野とは

　ESETでは機械学習をマルウェアの検知力向上に活用している。とりわけ、その技術が生きるのは、検体の入手が難しい「標的型攻撃」（APT）だという。標的型攻撃の検出において、同社の機械学習スキャナーが「役に立っているケースもある」とヤノシク氏。

　標的型攻撃を行うサイバー犯罪者は資金を確保しており、高度で高コストな攻撃を仕掛けてくる。防御側の組織が持つさまざまなセキュリティ機構を何とかしてくぐり抜けたいという意志を持っているが、そのような攻撃から防御するためには「異常な現象」を発見しなくてはならない。「専門知識を持ち、そのための学習を積んだエンジンで異常行動を見つけられる」ことが、機械学習の効果だ。これを使うことで、シグネチャベースのマルウェア判定方式の短所だった「未知のマルウェアを検知できない」という点をカバーできる。