エンドポイントセキュリティにおける機械学習の強みと弱み

対応のスピード、検知の精度とパフォーマンスから考える

エンドポイントのセキュリティ対策に改めて注目が集まっている。その背景には、標的型サイバー攻撃の侵入を確実にブロックするのが難しい現状や、昨今のランサムウェアの被害拡大や、そしてテレワークの普及促進がある。エンドポイントを取り巻く環境からセキュリティリスク低減のために、求められる要件を考察する。

解説:
トレンドマイクロ株式会社
プロダクトマーケティング本部
コンテンツセキュリティグループ
シニアプロダクトマーケティングマネージャー
松橋 孝志

リスクにさらされるエンドポイント

── 昨今の脅威の多くはエンドポイントでのマルウェア感染が攻撃の起点となっています。攻撃による被害がなぜ深刻化しているのか、何がエンドポイントを守る難度を高めているのでしょうか。

松橋:まずは脅威の変化です。なかでも大きな変化の一つは、ここ数年のマルウェアの新種・亜種の激増です。調査機関AV-TEST※1の調べによれば、2012年は約1億件だったマルウェアの報告件数が、2016年には約6億件へと急増しています。
さらに深刻なのは、マルウェア自体の機能的な進化によって感染力が強まり、脅威拡散のスピードが以前とは比べものにならないほど上がっていることです(図1)。

今日、大多数の企業・組織のエンドポイントには、トレンドマイクロの「ウイルスバスター™ コーポレートエディション(以下ウイルスバスター Corp.)」のようなエンドポイント対策製品が導入されているはずです。これらの製品は、パターンファイル(脅威情報)とのマッチングによって、脅威を検出する機能を備えていますが、パターンファイルにまだ情報が登録されていない新種の脅威については検出・ブロックできない可能性がゼロではありません。そのリスクが、新種の脅威の増大と拡散スピードの上昇によってさらに高まっていると言えるのです。

図1: 短期間で感染拡大する脅威
ランサムウェア「W2KM_LOCKY」の検出統計

2017年5月に日本を含む各国の組織に甚大な被害をもたらしたランサムウェア「WannaCry/Wcry」も自己増殖型のワームの機能が一体化された、非常に感染力の強いものだったが、トレンドマイクロが2016年に存在を確認し、検出対応したランサムウェア「W2KM_LOCKY」についても、顕在化から2~3日で1,200台近いエンドポイントに拡散するというケースが認められている。(出典:トレンドマイクロ調べ)

── 脅威以外に注意すべき点はあるでしょうか。

松橋:企業・組織における従業員の働き方が変化していることです。ご存知のとおり、日本の企業・組織の間では、いわゆる「働き方改革」の機運が高まり、これを実現する手段の一つとして、これまで以上にテレワークを採用する動きも活発化しています。今後、こうした動きはさらに加速していくでしょう。それ自体はすばらしい取り組みですが、反面、適切なセキュリティ対策が講じられていなければ、エンドポイントを無数の脅威に直接さらす場面を増やすことにもなりかねないのです。

エンドポイントを狙う脅威に最適なテクノロジー

──それでは、エンドポイントのセキュリティリスクの低減方法とは。

松橋:技術面での施策から言えば、パターンファイルに情報のない脅威についても、すみやかに検出できるような仕組み、機能をエンドポイントに付与することが必須です。既知のマルウェアに対して高精度の検知を行うパターンマッチングの機能にプラスして、未知のマルウェア検知に効果を発揮する挙動監視やサンドボックス、また最近ではAI技術を使った機械学習型検索などを複合的に用いることが求められているわけです。

── 機械学習型検索を使えば、全ての脅威を検出できるような気がしますが。

松橋:機械学習型検索の仕組みは、過去に確認されている脅威情報から特徴を学習し、その類似性に基づいて統計的に判断して脅威を検出するものです。そのため、「マルウェアの亜種」に対しては高い精度で検出できても、過去に例のない、まったく新しい脅威については検出できない場合もあります。そこで、挙動監視やサンドボックスなどの異なる検出技術を用いた多段のチェックを行うことで、検出能力を高めていく必要があるわけです。

── 多様な脅威に対抗するには、一つの検出技術では不十分ということですね。

多段のチェックは、検出力のほかにも、端末への負荷低減や誤検知回避の点でも、効果があります。
機械学習型検索・挙動監視・サンドボックスといった防御技術は未知の脅威に対して有効である反面、誤検出/過検出のリスクやエンドポイントのCPU負荷を高めるといったウィークポイントがあります。
このため、まずは、負荷と誤検出率が低いパターンマッチングの検索技術で既知の脅威や安全とわかっている対象を検出/処理を実施します。そのうえで、機械学習型検索や挙動監視、あるいはサンドボックス製品との連携によって未知の脅威に対する検索を実行することで、より高い検索能力を発揮しながら誤検出のリスクを低減することができるのです。

たとえばウイルスバスター Corp.の最新バージョンの「XG」は、こうした考え方に基づいて開発された製品です。この製品を活用することで、エンドポイント対策によるビジネス現場への負の影響を最小化しながら、未知の脅威に対する検出精度高め※2、セキュリティリスクを引き下げていくことが可能になります(図2)。

図2: AI技術と成熟した技術のブレンドが有効

トレンドマイクロでは、AI技術と実績ある技術、それぞれの強みを活かし、弱みを補い合うクロスジェネレーションテクノロジーにより、新しいランサムウェアをはじめとする未知の脅威への対応速度を大幅に向上。

図中にある「Connected Threat Defense」とは、セキュリティ対策の管理ツールを介して、ウイルスバスターCorp.や、サンドボックスの機能を持つネットワーク監視ツール「Deep Discovery Inspector」などを連携させ、組織内に侵入した脅威の検知から対処に至るプロセスを自動化するソリューションを指す。

どこで働いていても、均一のセキュリティレベルを守る

──テレワークが進めば、社外に持ち出す機会、端末も増えます。これについてはどうでしょうか。

松橋:社外で利用するPCのセキュリティを、いかにして社内と同レベルに保つかという点が上げられます。内で利用している端末をそのまま持ち出す場合、社内ネットワークに接続されていない時間もあるため、セキュリティ状況の把握やポリシー徹底が問題になります。

利用しているエンドポイントのセキュリティがこうした社内ネットワーク外にある端末のセキュリティ対策に対して有効な機能を提供しているか、確認してみるとよいでしょう。

たとえば、ウイルスバスター Corp.には従来から、PCが社内のネットワーク上にあるかどうかを自動で認識し、PCが社内にあるときは、社内にあるウイルスバスター Corp.管理サーバに接続し、社外にあるときはトレンドマイクロのアップデートサーバやクラウド型セキュリティ基盤「Trend Micro Smart Protection Network™」に自動で直接接続して、社外への持ち出しPCでもパターンファイルなどを常に最新の状態に保つことができる仕組みが実装されています。

最新バージョンのXGでは「エッジリレーサーバー」と呼ばれる中継サーバの機能が追加されており、セキュリティ対策の管理者が、長らく社内に戻ってきていない外部にあるPCのパターンファイルのアップデート状況やマルウェア検出ログもリアルタイムに、かつ一元的に把握できるような仕組みが整えられています。
これにより、社内外を問わずエンドポイントセキュリティ対策を自社のポリシーに沿って一元的に運用管理していくことが可能となっています。

──お客さまにとっては、エンドポイント対策製品の実力値は掴みづらいと思いますが。

松橋:確かに、実際に動作の比較検証あるいは一定期間の運用をしてみなければ、エンドポイント対策製品の本当の良否は判定しにくいでしょう。その中で有効な一つの指標となりうるのが、第三者機関による中立的な評価です。それを加味した上で、自社のIT環境やセキュリティ運用のあり方にフィットした製品を選択することが大切ではないでしょうか。

使いこなせていますか?セキュリティ対策製品

セキュリティ対策を巡っては、導入したセキュリティ対策製品の機能を十分に活用しきれていないという実態もある。
特に、長年利用している製品の場合は、その後のバージョンアップで追加される機能も多く、担当者においては、日々の運用作業に終始し、新しい機能をキャッチアップし、活用するのが難しい場合もあるのではないだろうか。
ウイルスバスター Corp.では、挙動監視やWebレピュテーション、あるいは最新バージョンで搭載された機械学習型検索など、ユーザのPCやネットワークの負荷が増加する可能性がある機能は、ユーザ自身が自社の環境において動作検証した後に設定できるよう、標準設定は「オフ」になっている。しかし、バージョンアップの際に旧バージョンの設定はそのまま引き継いで、新機能を有効にしないユーザも多くセキュリティ強化につながる効果的な新機能が活用されていないケースも少なくないという。
そこでトレンドマイクロでは、Webサイトでの製品情報発信に加え、ウイルスバスターCorp.の機能の活用ノウハウを指南するセミナーを、利用者向けに定期的に開催している。ぜひ、貴組織でのセキュリティ強化の参考にされたい。

※1 AV-TESTは、セキュリティ製品の評価を行う第三者テスト機関。ドイツに本拠を構え、主要なセキュリティ製品のテスト結果やスパム/マルウェアの統計情報などをWebサイトで公表している。
参考URLはこちらから
※2 全ての未知脅威に対応するものではありません。