AI技術を搭載「ウイルスバスター コーポレートエディション XG」を発表
AI技術と成熟技術のブレンドで防御力とパフォーマンスを両立

様々な産業において、AI(人工知能)への期待が高まっています。そうした中、トレンドマイクロはAI技術による「機械学習型検索」を搭載し、防御力を高めた企業向けエンドポイントセキュリティソフトの新バージョン「ウイルスバスター™ コーポレートエディション XG」を発表しました。ポイントとなるのは、AI技術と成熟した技術のブレンドによって、防御力とパフォーマンスを両立したことです。新バージョンの機能と新技術が必要な背景に迫ります。

AI技術で脅威の進化スピードと増大に対抗

世界中で猛威を振るう標的型サイバー攻撃に加え、最近はデータを不正に暗号化し解除と引き換えに高額な金銭を要求するランサムウェアの被害も拡大しています。目を見張るべきは、その進化のスピードと攻撃の規模。短期間に多数の不正プログラムが次々と発生し、猛攻撃を仕掛けてきます。防御側も対応速度と数に対する対応力向上を図ることがより重要になっています。

図1 脅威は更に増大・加速

不正プログラム総数と「W2KM_LOCKY」(日本語も対応したランサムウェア)の検出件数推移。増加・スピードの様子がわかる

その実現手段として期待が高まっているのが、AI技術です。トレンドマイクロはAI技術による脅威検知技術の開発に早くから取り組み、技術力の向上を図っています。この強みを活かして開発した技術の一つが「機械学習型検索」です。様々なアルゴリズムで「安全なものか、脅威となるものか」というサンプルを学習し、パターンマッチングに頼らない脅威検知を実現します。このように未知の脅威※1に対し即時判断を実現することで、対応速度を大幅に向上し、またマシンリソースある限り数への対応も容易に向上できます。

ここでは、代表的な機械学習アルゴリズムの1つであるランダムフォレストによる検出の仕組みをみていきます。

学習の対象となるのは、ファイルとその実行後の動き(挙動)です。まずこうしたコンテンツに関して、大量の良いコンテンツと悪いコンテンツを収集し、そのファイル情報や癖(法則性や特徴など)などに基づく特徴点を抽出します。そして対象のファイルに対し、プログラムの中身まで見てその癖を調べます。一見すると外見の異なるプログラムコードの中にも、脅威の目的が共通していれば共通する命令等の特徴が随所に埋め込まれています。ここを見逃さず類似性を捉えるのです(図2、3)。

図2 機械学習型検索における判断のしくみ――ランダムフォレストを例とした判断の流れ

まず対象となるコンテンツの特徴を抽出。抽出した特徴を、学習で生成した条件判断をおこなう「決定木」にかけて判断の結果を導く。一つの「決定木」だけでは利用する特徴も少なく、確度の高い判断を常に行えない。そこでフォレスト=森の名の通り、数多くの決定木を用いた判断を行い、その結果の多数決をとることで確度の高い判断結果を導きだすのだ。

図3 ランサムウェアを用いた検出方法の比較例

(ソースコードで見た場合)
線で囲んだ部分が共通点。文字列の比較だけでみると共通点は少ない

(AI技術を利用)
プログラムの癖を抽出することで、ソースコードを比較するだけでは分からない類似性を把握できる

脅威の判定基準はEXE、DLL、SYSなどファイル種別によって異なります。対象に応じた最適なモデルを利用することで、最良の検出と低い誤検出の両立を追求しています(図4)。

図4 対象に応じて最適なモデルを使い分ける機械学習型検索

対象のファイル種別に応じて最適な予測モデルを使い分けることで、誤検出の低減を図り、高精度な検出を実現する

このように、機械学習型検索は未知のコンテンツに対しても即座に判断を下せる迅速性を持っており、短期間に爆発的な数が報告されるランサムウェアのようなケースに対応するうえで極めて有効です。

AI技術だけでは守りきれない

ただし、AI技術も万能ではありません。機械学習型検索は未知の脅威も検出可能ですが、プログラムの癖をもとに判断するため、既知の不正プログラムを基に白黒判定するパターンファイルベースの検出などに比べ、誤/過検出率が比較的高くなる傾向にあります。この点は、セキュリティ脅威検知に限らず、機械学習を利用する上での一般的な課題とも言えます。

様々なセキュリティ技術はそれぞれに強み・弱みがあります(図5)。例えば、検出した不正プログラムをもとに作成するパターンマッチングは高パフォーマンスで誤/過検出率が低く、既知の脅威の検出には非常に有効です。振る舞い検知はシステム内部のプログラムの挙動を見て判断するため、マルウェア侵入後であっても検出が可能ですが、CPUに大きな負荷がかかります。

図5 検出技術の特徴

それぞれに強み・弱みがある

大切なことはそれぞれの強みを活かし、弱みを補いあうよう複数技術を組み合わせることでリスクをコントロールすることです。それを実現する手法として、トレンドマイクロが開発したのが、AI技術と長年培った成熟した技術のブレンドによる新たなセキュリティアプローチ「XGen(エックスジェン)」です。

単一技術による防御機能だけでなく、それぞれに強みを持つ防御機能を組み合わせ、最適配置することにより、誤/過検出の少ない高精度かつ高パフォーマンスな検知を実現します。

成熟技術と最新AI技術の組み合わせで、検知率は向上

XGenアプローチを実現する製品の第一弾として、トレンドマイクロは企業向け総合セキュリティソフトの新バージョン「ウイルスバスター™ コーポレートエディション XG」を2017年1月下旬より提供します。AI技術を実装することで、セキュリティ機能はより強化されます。

具体的には、まずパターンマッチングやWebレピュテーション、ファイルレピュテーション、脆弱性攻撃対策などを実行し、既知の脅威をブロックします。一方で、クラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network™」にある大規模なホワイトリストを利用し安全なプログラムは許可します。次に機械学習型検索を実行し、未知の脅威を含む怪しいファイルを“ふるい”にかけます。さらに不正プログラム侵入を想定し、振る舞い検知に加え、ここで再び機械学習型検索を利用します。今度はプロセスの振る舞いを従来のルールとは違った角度で検証することで、脅威による被害を防ぎます(図6)。

図6「ウイルスバスター コーポレートエディション XG」が実現する多段のセキュリティ

まず成熟した技術で既知の脅威を検出。リスクの絞り込みを行った上で、AI技術による機械学習型検索や振る舞い検知を実行し、未知の脅威を検出する※2

機械学習型検索は「ウイルスバスター コーポレートエディション」を利用しているお客様であればXGにバージョンアップするだけで、追加費用なく無償で利用できます。
XGenアプローチにより、「ウイルスバスター コーポレートエディション XG」は高い脅威検出率を実現します。ある機械学習型検索にフォーカスした他社製品の場合、実行ファイル型不正プログラムには高い検出率を示したが、スクリプト型やマクロ型の場合、検出率は10%を下回ります。それに対し「ウイルスバスター コーポレートエディション XG」はいずれの場合もほぼ100%に近い検出率を実現しているのです(図7)。

図7「ウイルスバスター コーポレートエディション XG」の検知能力

機械学習型検索にフォーカスした製品は検知できる不正プログラムに偏りがある。成熟した技術と機械学習型検索を組み合わせることで、幅広い脅威に対応する

それに加え、「ウイルスバスター コーポレートエディション XG」は、トレンドマイクロが提供するカスタムサンドボックス「Deep Discovery™ Analyzer」との連携機能で標的型サイバー攻撃対策がより強化できるのも特徴です。不審なファイルはネットワーク型脅威対策製品へ送信し、サンドボックスによる検査を実施。不正なファイルと判断した場合はカスタムシグネチャが自動的に生成され、PC内の不正なファイルを駆除します。

出張中や持ち出し中など社外にあるPCのセキュリティ状況を把握・管理する機能も備えています。これにより、社外のPCも社内PCと同じように統合的に管理できます。パターンファイルの更新状況や感染状況の確認、カスタムシグネチャの適用が可能なため、社内外でセキュリティポリシーを均一化できます。

図8「ウイルスバスター コーポレートエディション XG」の主な機能

新しい検出技術搭載のほか、防御力と利便性が向上する

進化を続ける脅威は、単一のセキュリティ技術だけでは防ぎきれません。今後もトレンドマイクロは成熟した技術とAI技術のブレンドによるXGenアプローチを基軸として、次世代を見据えたセキュリティ対策の高度化を推進していきます。

記載内容は2016年12月現在ものです。内容は予告なく変更になる場合がございます。

※「ウイルスバスター コーポレートエディション XG」は、「ウイルスバスター コーポレートエディション11」の後継製品として2017年1月下旬に提供開始予定です。
※1、2 全ての未知の脅威に対応するものではありません。

記事公開日 : 2017.1.18
 この記事は、公開日時点での情報です