最近では、特定の組織を狙った標的型攻撃や、パッチやパターンファイルのリリース前に仕掛けるゼロデイ攻撃が増加している。パターンマッチングや振る舞い検知を利用した従来型のマルウエア対策製品は、こうした脅威に十分対応できなかった。
日立ソリューションズがAIを利用したマルウエア対策製品
米サイランスと販売提携、機械学習で未知ウイルスでも検知率99%
2016.04.19−日立ソリューションズは18日、米サイランス(Cylance)と販売代理店契約を締結し、AI(人工知能)/機械学習を用いて開発したマルウエア対策製品「CylancePROTECT」を19日から発売すると発表した。過去のマルウエアの特徴を豊富に学習しており、新しく出現したマルウエアにもそのまま対応することが可能。パターンファイルを更新する隙を突かれることがないため、これまでで最強のエンドポイント防御が実現できるという。
最近では、特定の組織を狙った標的型攻撃や、パッチやパターンファイルのリリース前に仕掛けるゼロデイ攻撃が増加している。パターンマッチングや振る舞い検知を利用した従来型のマルウエア対策製品は、こうした脅威に十分対応できなかった。
これに対し、CylancePROTECTは既知のマルウエアなど8億個のファイルを機械学習させた独自の検出エンジンを搭載。悪意のあるファイルに見いだされる約700万もの特徴を抽出し、学習によって統計的なモデルを作成した。暗号化のライブラリーを参照しているか、ファイルのエントロピー量がどのくらいか、メモリーのどこにアクセスしようとしているか−といった特徴に注目し、最急降下法などの4つ以上のアルゴリズムによって集合モデルが作成されたということだ。
実際に検知する場合は、マルウエアが実行されようとした瞬間に、そのファイルの特徴を数ミリ秒で多次元空間のモデルにマッピングして、リアルタイムに危険か安全かを見きわめる。いわば、「ファイルのDNAを分析し、それがマルウエアかどうかを判断するようなもの」(Cylanceのブライアン・ゲール副社長)だという。
米国各地で行われた公開実験によると、AIを利用したCylancePROTECTの検知率が99%だったのに対し、既存技術の競合製品は検知率が52%、21%、41%と大きな差がついたという。また、日立ソリューションズが最新のマルウエア50個でテストしたところ、CylancePROTECTが約1分で50個すべてを検知・隔離したのに対し、他社製品はパターンファイルが最新であるにもかかわらず29個しか検知できず、しかも処理には約6分を要した。
CylancePROTECTは企業向けの製品で、クラウド環境で集中管理できるなど、システム運用の負荷が低減されている。また、パターンファイルが不要なため、学習済みの検出エンジンはネット接続なしで長期間の運用に耐えるという特徴もある。
ライセンスは年間使用権で、端末当たりの価格は4,500〜1万3,000円。同社では、既存のエンドポイント向けマルウエア対策製品をすべて置き換えるポテンシャルがあるとしており、2018年度までに累計100億円の売り上げを見込んでいる。また、同社は今回の製品以外にも幅広いトータルセキュリティソリューションを事業化しており、全体では2018年度までに累計で1,000億円を目指すことにしている。
******
<関連リンク>:
日立ソリューションズ(Cylance製品紹介ページ)
http://www.hitachi-solutions.co.jp/cylance/
日立ソリューションズ(トータルセキュリティソリューションのページ)
http://www.hitachi-solutions.co.jp/security/
米サイランス(トップページ)
http://www.cylance.com/
