脅威検出の先進テクノロジー

「機械学習」がセキュリティにもたらすもの─その効果とは?

ビジネスへの応用が急ピッチで進む「機械学習」─。セキュリティの領域でも、脅威検出を高めるテクノロジーとして注目を集めている。ならば具体的に、機械学習はセキュリティの製品/ソリューションの何をどう変えることができるのだろうか。その基本的な疑問を解き明かす。

脅威の爆発に対応するために

標的型攻撃、ランサムウェア、オンラインバンク詐欺─。これらの脅威は、セキュリティの防御網をかわす目的で絶え間のない変化を繰り返している。

例えば、急激に法人への被害を拡大させているランサムウェアは、2016年1月からの半年間で70種以上の新しいプログラムが世界で確認されている※1。それらは日本へも流入し、結果として、多くの個人/法人が打撃を被っている。

また、標的型サイバー攻撃にみられるように、不正プログラムの約90%はたった一台の端末でしか見つからない※2 という事実は、昨今の不正プログラムは変化が速いだけでは なく、ロングテール化が起きていることを示している。このようにわずかな期間に、多種多量となる不正プログラムやそこから派生するプログラムに対し、今まで以上に迅速にかつスケーラビリティをもって対応できるテクノロジーが求められる。

その一つが、不正プログラムの特性に基づきながら、新たに登場したプログラムが「不正か否か」を推定・判定する「機械学習」を利用したテクノロジーだ。機械学習のテクノロジーは、脅威の変化、急増に即応するための仕組みと言える。

学びを通じて脅威判定の知見を獲得

機械学習は、学習したデータから、その法則性や特徴を自動的に割り出し、そのルールに基づいて、新たにインプットされたデータの分類を行ったり、その意味を理解して何らかの判断を下したり、答えを推量したりするための技法である。

その仕組みの一例としては、大量かつ適切な「正/不正URL」のサンプルを学ばせることで、不正URLの法則性を割り出し、検査対象URLが不正か否かを自動で分類することが可能になるというものだ。同様に、スパムメールと正規のメールの内容を学ばせれば、スパムメール特有のパターンを理解し、検査対象がスパムか否かを自動で判別できるよう になる。さらに、不正プログラムと正規プログラムのサンプルを学ばせれば、それらの特性を把握し、検査対象の新たなプログラムが「不正か否か」を判断することが可能になるのである。

こうした技法は、学習内容から脅威との類似を迅速に検出できる点で、昨今のランサムウェアのように瞬間的、爆発的に増える脅威判定の仕組み作りに適したものと言える。

10年にわたる応用実績をテコに
次期テクノロジーを各製品に順次実装

トレンドマイクロでは、こうした機械学習の可能性に早くから着目し、日々収集される膨大な脅威情報やセキュリティに関するノウハウを生かしながら、機械学習の実用化に取り組んできた。具体的には、「サポートベクターマシン(SVM)※3」や「決定木学習(Decision Tree)※4」といった様々な学習技法を脅威検出のサービスに応用してきたのである。

トレンドマイクロの「メールレピュテーションサービス(Email Reputation Service :ERS)」では、既に2006年からスパムメール検出の仕組みに、機械学習で得られたスパ ムルールを実装している。現在、このルールはスパムメール(スパムコンテンツ)解析の約80%を担っており、対応言語も英語、スペイン語、日本語、ポルトガル語、イタリア語、 フランス語、ドイツ語、ロシア語、中国語と多岐にわたっている。

また、2012年からは、「Web レピュテーションサービス(Web Reputation Service :WRS)」における大量のURL分析とカテゴリ判定にも機械学習の技術を応用している。

さらに2015年からは、Webからダウンロードされるファイルの解析にも機械学習の技術が実用化されている。こうした実績に基づくかたちで、今後トレンドマイクロの製品群に も機械学習によるテクノロジーの実装を拡大する取り組みを推進している。 フランス語、ドイツ語、ロシア語、中国語と多岐にわたっている。

このテクノロジーを支えるのが、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network™(SPN)」だ。SPNで収集された膨大な不正プログラム情報と正規プログラムのサンプルから、それらの特徴を学習、不正プログラムを効率的に洗い出す仕組みを提供する(図1)。

図1 トレンドマイクロの機械学習技術のフレームワークイメージ

この仕組ではまず、自ら「正/不正」の判定が下せない不審なファイル/プロセスについてSPN側に問い合わせをかける。それを受けたSPN側が、機械学習技術を使った検索 により、正/不正を判定、不正プログラムの予測検出を行うのである。

検出力向上のカギになるのもこのSPNだ。学びを前提とする機械学習の場合、大量かつ正しい判断に基づくサンプルを継続的に入手することが検出力向上に欠かせない。1 日100テラバイトにも上るデータ処理を行うSPNが、機械学習型検索の検出力を支えている。また、ファイルの解析や、その挙動解析がSPN側で処理されるため、端末側に大きな負荷がかからないといった利点もある。

機械学習だけでは守りきれない

もっとも、機械学習型検索の仕組みは「魔法の杖」では決してなく、これですべての脅威が洗い出されるわけではない。

Web やファイル、メモリなど、今や脅威の侵入経路や形態は非常に多様で、これらすべて対応していくためには機械学習のほかにも様々なテクノロジーが必要になる。さらにパターンベースに比べるとどうしても過検出が多いという点は、セキュリティベンダ各社に共通する点だ。また、戦うべきはプログラムではなく、攻撃者つまり人だ。標的のセキュリティの穴を探し、様々な攻撃を仕掛けてくる。このため、一つの壁を突破されたとしても、対応できるアプローチが必要なのだ。

このように、機械学習は増大する脅威に対し、パフォーマンスという点でとても有効なテクロジーだが、それ一つでは万能ではない。Webやファイルレピュテ―ション、挙動解析※5など、さまざまなテクノロジーによって実現される多層防御の一要素として利用することで、様々な脅威への検出力を引き上げていくことができるのだ(図2)。

図2 機械学習と成熟した技術のブレンド

トレンドマイクロでは、SPNを軸に、パターンベース、挙動監視や各種レピュテ―ションなどに機械学習を加え、脅威にあわせて最適なテクノロジーを利用することで、検出力を高めている。たとえばウイルスバスター™ コーポレートエディションでは、攻撃レイヤにあわせ、複数のテクノロジーを最適配置することで、防御力とパフォーマンスを両立している。不正サイトを利用した既知の脅威であれば、攻撃の前段、侵入前にWebレピュテ―ションでブロックしてしまえば、比較的負荷の高い挙動監視をあえて実行する必要はなくなるのだ。今後は、機械学習を含む新しいアプローチでさらに防御力を高めていく予定だという。

脅威の進化、増加にあわせて、セキュリティテクノロジーも絶えず革新を続けている。古くはパターンベース、今回の機械学習、その他にも挙動監視、ヒューリスティックといった様々なテクノロジーが開発されてきた。いずれにも強み・弱みがあり、ガートナーが指摘しているように、一つのアプローチ(防衛機能)ですべてのタイプの不正プログラムに対応することはできないことは明らかだ※6。攻撃に最適なテクノロジーを組み合わせ、適材適所で用いることで、脅威の変化への対応力を増し、サイバーリスクを着実に引き下げていくことが可能になるのだ。

※1 2016年8月トレンドマイクロ「2016年上半期 セキュリティラウンドアップ」
※2 2015年トレンドマイクロがクラド型脅威情報基盤Smart Protection Networkの脅威情報をもとに分析
※3 サポートベクターマシン(SVM):SVMは、パターン識別用の教師あり学習技法。学習(トレーニング)サンプルのラベルは2値分類型(データを2つに分類するタイプ)で、トレーニングアルゴリズムによってモデルを構築、新たに与えられたデータがどちらに分類されるかを予測する。
※4 決定木学習(Decision Tree):決定木を予測モデルとして使用したシンプルな学習技法。データの学習から、そのた機械学習技法「属性」と「値」による判断分岐の構造(決定木)を作り上げる。
※5 プログラムのシステム上の挙動で不正/不審を判断する。未知の脅威であっても不審な挙動を検出した段階で動作を止めることが可能。一方で通常プログラムであっても不審な挙動をとることがあるため、環境に適したホワイトリスト化が必要となる。
※6 Gartner 2016 Magic Quadrant for Endpoint Protection Platforms, February 1, 2016, Peter Firstbrook, Eric Ouellet “However, history has clearly shown that no single approach will be successful for thwarting all types of malware attacks. Organizations and solution providers have to use an adaptive and strategic approach to malware protection.”

記事公開日 : 2016.11.17
 この記事は、公開日時点での情報です