販売パートナーさまへ

導入をご希望の
お客さまはこちら

Symantec Sales Center
シマンテックセールスセンター
SB C&Sがシマンテック製品のご購入を支援します

2019.09.04

SEP

第3回:セキュリティ対策も「人工知能」の時代に〜機械学習がもたらすメリットを探る[SEP 14おすすめ機能シリーズ]

sep03-pict2.jpg

※本記事は「Symantec Endpoint Protection 14」に搭載された新機能 ~テクノロジーの裏側に迫る~(全6回)の第3回です。

これまでの記事で、私たちが日々利用する端末を保護する仕組みは、定義ファイルをベースとした「アンチウイルス」に始まり、振る舞い検知やレピュレーションといったさまざまな技術を組み合わせて多層防御を実現する「エンドポイントセキュリティ」へ進化してきたことを説明しました。

その最新の成果が、2016年にリリースされた「Symantec Endpoint Protection 14(SEP 14)」です。SEP 14の目玉は、何といっても「高度な機械学習」(Advanced Machine Learning)を搭載したことです。

20170720_01.jpg

従来型対策の限界を超えた「機械学習」

昨今、毎日のように、機械学習や人工知能(AI)といった単語を耳にするようになりました。AIがクイズ番組を勝ち抜いたり、囲碁や将棋で人間を負かしたニュースなどに注目が集まりがちですが、実はコールセンターでの対応や部品の故障予測など、実務的な領域における活用も広がっています。セキュリティの領域も例外ではなく、これまでの対策では検知が難しかった新種のマルウェアを見つけ出す際にも大いに力を発揮します。

第1回のコラムで、マルウェアの数が劇的に増加していることを説明しました。同じマルウェアをベースにしながらコードに変化を加えることで、定義ファイルを用いた検出をかいくぐる方法です。同じ人物でも髪型や服装を変えることで、指名手配書との照合を免れようという狙いです。

SEP 14が搭載した機械学習機能は、旧来のパターンマッチングでは検出が困難だったこうした亜種を見つけ出すことを得意としています。それも、ファイルの実行後だけでなく実行前でも検知できます。

「世の中にはファイルのハッシュ値を変えるツールが出回っており、そうしたものを用いれば簡単に亜種のマルウェアを作成できます。しかしSEP 14の高度な機械学習では、たとえファイル本体を実行しなくても、マルウェアの作者が隠そうとしても隠しきれない特徴を基に、少し改変を加えただけのマルウェアや亜種を検出できます」とシマンテックのプリンシパルセールスエンジニア、世羅英彦氏(セールスエンジニアリング本部 パートナーSE部)は説明します。

良質なデータによる学習と検証、長年にわたる研究の蓄積が強み

シグネチャに基づく検出には限界があることを踏まえ、シマンテックだけでなく、多くのセキュリティベンダーが工夫を凝らし、機械学習によるマルウェア検知機能をサポートするようになりました。では、SEP14の高度な機械学習と他社の機械学習技術とでは、何が違うのでしょうか?

それは、機械学習エンジンの生成・学習に用いるデータの質です。シマンテックは、世界最大級の脅威情報データベース「Symantec Global Intelligence Network」(GIN)を構築しており、これらのデータを活用しています。

「SEPならびにノートンインターネットセキュリティのインストールベースである1億7500万ものエンドポイントからリアルタイムに脅威情報を収集しています。さらにシマンテックが独自に構築したハニーポットなどから収集したデータをGINに集約しています。またインターネットに流通しているメールの3分の1と、約10億のWebリクエストもスキャンしており、そこからもマルウェアの情報を集めています」(世羅氏)

さらに、昨年買収したブルーコートシステムズの脅威情報データベースも統合した結果、GINにはのべ3.7兆件に上る脅威情報が格納されています。しかもその量は日々増加しているのです。シマンテックではこうした膨大な脅威情報の中から得られた良質なデータを「教師データ」として用い、「安全なファイル」と「マルウェア」の属性を抽出し、SEP 14の高度な機械学習をトレーニングしています。

「機械学習においては、良質なサンプルが重要になります。ただ量が多ければいいというものではありません。量が多ければ、その分、誤検出の元になるデータも混じることになります。そこでシマンテックでは、ある程度絞って良質なデータを用い、機械学習をトレーニングさせています」(世羅氏)

良質なデータを用いることで、未知の脅威を見つけ出す精度が高まるだけでなく、正規のファイルをマルウェアとして報告してしまう「誤検出」の割合も減らせます。

新しい機械学習エンジンをリリースする前に、まず検知のみのモードで運用を行い、誤検出率が0.1%以下になったことを確認してから初めて、ライブアップデートを通じてSEPに配布するようにしています。端末が常時インターネットに接続している必要はありません。

しかもその更新頻度は「随時」。「月に1回以上の頻度で更新されています。機械学習では鮮度も大事です。新しい検出エンジンを作っても、配布して1カ月も経てば検出精度は60%程度に落ちてしまうというケースもあります。数カ月も更新がなければ、せっかくの機械学習技術が意味を持ちません」(世羅氏)

このようにこまめに更新を行うため、更新されるエンジンのサイズも1MB未満と、非常にコンパクトになっています。世羅氏は「あまりに複雑なアルゴリズムを作っても、今度はエンジンが肥大化してしまいます。パフォーマンスにも配慮し、最適かつシンプルなエンジンを生成しています」と説明します。

実は、シマンテックが機械学習技術を搭載したのは、これが初めてではありません。研究を開始したのは2001年にさかのぼります。2008年にはコンシューマー向け製品「ノートンインターネットセキュリティ」に機械学習エンジンを搭載し、実際に活用してきました。その経験を踏まえ、満を持して企業向けのSEPにも搭載した形です。

世羅氏は、「F1にたとえると、よい燃料に当たる『データの質』に加え、事前の検証によって誤検出を抑え、的確なコース取りができています。さらに、長年にわたって機械学習技術を研究してきたCentral Advanced Machine Learning Team(CAML Team)という高いスキルを備えたドライバーがいます。この3つがシマンテックの優位性です」と述べています。

20170720_02.jpg

高度な機械学習の搭載で、多層防御をいっそう強化

さらに、シマンテックの販売代理店であるSB C&Sの矢部和馬氏は、「残念ながら、一世代前の対策ソフトでは、一世代前の攻撃しか止められません」と指摘します。

「一方でマルウェアを作成するハードルは下がっており、少し知識がある人ならばツールを使って簡単にマルウェアを作成できます。最新のゼロデイ攻撃や、エンコードやパッカーを変えてくる亜種に備えるには、機械学習を用いた最新の防御が必要です」と矢部氏は述べています。

IMG_9700-300x200.jpgとはいえ、AIが万能というわけではありません。攻撃が機械学習による検知をすり抜けてしまう可能性は、残念ながらゼロではありませんが、そこで効いてくるのがSEP 14の多層防御です。

「仮に防御を突破されて遠隔操作ツール(RAT)を埋め込まれてしまったとしても、外部の不審なサーバへの通信をIPSやレピュテーション機能で捕まえたり、挙動分析によって止めることが可能です。機械学習も含め、さまざまなエンジンを活用した多層防御による総合セキュリティで端末を守っていけることが特徴です」(矢部氏)

お問い合わせ

シマンテック製品の購入、販売・ライセンス更新に関する
お問い合わせをお受け付けしております。

シマンテック製品の販売をご検討のお客さま
・販売パートナーさまはこちら

販売パートナー様
お問い合わせ窓口

自社への導入をご検討のお客さまはこちら

お見積り・
ご購入はこちら

製品に関するお問い合わせはこちら

購入前の技術的なお問い合わせ

TEL:03-4540-6410

受付時間 10:00~12:00 13:00~17:00
(土、日、祝日、年末年始を除く)

購入後の技術的なお問い合わせ

各製品資料ダウンロード

製品カタログや、お客様へのご提案に
活用いただける資料をダウンロードいただけます。