今日の脅威から自社を守ることは、ますます困難になりつつあります。標的型攻撃は、機密データの漏えいや財政的な損失、評判に対するダメージなどをもたらします。一方、高度な攻撃も進化を続け、勢いを増すばかりです。シマンテックの調査によると、2014 年に標的型攻撃の被害を受けた大手企業の割合は、6 社のうち 5 社と、前年に比べて 40% も増加しました。また、推定 100 万のマルウェアが毎日新しく作り出されています。
今日の攻撃者は、潤沢な資金を持っていたり、国家の支援を受けていたりすることも珍しくありません。高いステルス性と持続性を備えており、自身を隠蔽する新しい手口を見出しては、防御を破って重要なデータを侵害しています。攻撃者の狙いは、クレジットカードや Netflix アカウントを盗み出すといった金銭的な動機に限らなくなってきました。電力グリッドを停止に追い込む、ランサムウェアによって医療システムをネットワークから遮断する、偽装した標的型攻撃によって政治動向への影響力を行使する、金融市場システムを脅かすなど、金融や政治、ハックティビズム、国家が関係する攻撃や防御も想定しなければなりません。
増え続けるこうした脅威に対抗するためには、1 つか 2 つの機能に対処するだけではなくエンドツーエンドの保護を実現する、次世代のインテリジェントな脅威防止ソリューションが必要です。
シマンテックは、多次元のマシンラーニングやディープラーニングといった分野に注力することによって、次世代のインテリジェントな脅威防止ソリューションを開発してきました。シマンテックが業界をリードしている実績について詳しくは最後に触れますが、まず次世代のインテリジェントな脅威防止とはそもそもどんなものなのかを、考えてみましょう。
次世代の脅威防止とは何か
次世代の脅威防止が、実際には何であって何でないのか、大きい誤解があるようです。世に広まっているそんな誤解を、まず明らかにしなければなりません。
次世代の脅威防止とは何かを、お客様や業界に理解していただくために、シマンテックは最近、次世代のインテリジェントな脅威防止ソリューションで何を求めるべきかということを定義しました。
一例として、Symantec Next Generation Threat Protection には次のような機能があります。
- 多次元のマシンラーニング、高度な悪用の検出、態勢強化によって、高度な脅威やゼロデイ攻撃を遮断
- シマンテックのグローバルな脅威分析機能と、脅威の専門研究者から届くリアルタイム情報によって、プロアクティブに攻撃を予防
- 高度な攻撃に対するディープフォレンジックと高速な修復を、単一のエージェントを用いる最新 EDR テクノロジによって実現
- 高いパフォーマンスと低い誤認率
この 4 つの機能こそ、次世代の脅威防止が真に成立する基本的な要素です。この 4 つを定義する必要があります。
多次元のマシンラーニングで高度な脅威を防止
多次元のマシンラーニングは、どんな形で企業の保護に役立つのでしょうか。
マシンラーニング(ML)とは、大量データの自動解析を通じて概念を学習できる、アルゴリズムの一種です。セキュリティ企業の多くは、悪質なファイルや URL のような新しい攻撃の痕跡を検出するために、ML という、いわば「選別器」を利用しています。たとえば、悪質なファイルの選別器を作る場合、正規のソフトウェアファイルと悪質なソフトウェアファイルを大量に収集し、解析してその挙動(このプログラムはシステムディレクトリのファイルを削除しようとしたとか、このファイルはセキュリティ設定を変えようとしたなど)を抽出します。次に、これをトレーニングデータとして ML システムに読み込ませると、ML システムは各カテゴリのソフトウェアに対応する挙動の特性を学習することによって、正しいファイルと不正なファイルとを弁別できるようになります。
このシステムで問題なのは、判定の基準になる挙動が完全に攻撃者の管理下にあるということです。たとえば、攻撃者がマルウェアの一連の挙動を変更しただけで、既存の ML 選別器はたちまちそれを検出できなくなってしまいます。あるいは、攻撃者がマルウェアのバイナリファイルのサイズを変えたり、命令の順序をいくつか変更したりすれば、その後のマルウェアはもう選別器に引っかからなくなります。最終的に、攻撃者の側で制御可能な機能(挙動やソフトウェアの命令)だけに頼っていたのでは、ML システムは攻撃に対してまったく無力ということです。
では、シマンテックのマシンラーニングのアプローチは、どこが違うのでしょうか。
シマンテックが開発したのは、セキュリティに対するまったく新しいアプローチで、従来型の機能(上述)と、「集合知」と呼ばれるクラウド機能とを組み合わせた多次元のマシンラーニングを利用するものです。クラウド機能では、シマンテックの億単位に達するアクティブユーザーにおける採用パターンを解析し、任意の 1 つのソフトウェアファイルや、インターネット上の URL の安全性を計算しています。
シマンテックの ML システムは、シマンテックのお客様がソフトウェアファイルやインターネット上の Web サイトを利用する日々の操作を、リアルタイムで何十億件も解析します。それに基づいて、どのソフトウェア、どの Web サイトを採用しているか、あるいは回避しているかということを、人口統計別(パワーユーザー、初心者、企業、頻繁に攻撃を受けるユーザー、ユーザーの居住地域など)に学習します。このように、ソフトウェアや Web サイト自体の状態やその挙動ではなく、誰がソフトウェアや Web サイトを採用または回避しているかというコンテキストを調べるアプローチなので、攻撃者からはコントロールがほぼ不可能なアーチファクトの安全性を、まったく独立して評価できるわけです。採用ベースのシマンテック ML システムは、あるファイルが多数のユーザーに採用されたか、それともまったく採用されなかったかを識別します。あるいは、パワーユーザーによって回避されたとか、頻繁に感染するユーザーによる採用率が高かったということも判定されます。こうした情報に基づいて、新しいファイルまたは URL の安全性に関する膨大なコンテキストが蓄積されていきます。
シマンテックは、この人口統計別採用ベースの ML アプローチを単独でも使っているほか、ソフトウェアファイル(や URL)の挙動と構造を判定する従来型の ML アプローチと組み合わせても利用しています。その結果として生まれたのが、ソフトウェアファイル(や URL)の挙動と、シマンテックユーザーによるリアルタイムの利用状況との両方を判定する ML システムです。攻撃に対する耐性がはるかに強く、かつ高い感度を備えた(誤認率も低い)システムになっています。
エンドポイントベースの ML だけに依存し、クラウド機能を利用しない企業にはもうひとつ問題があります。エンドポイントの側が、ソフトウェアスタック全体が攻撃を受けやすい状態になり、悪用を許しかねないということです。シマンテックは、そうした必要があるエンドポイント側でも、また攻撃者の手が届かないクラウドでも ML を利用しているうえ、スケールとスピードに応じて最適化しているので、企業のどんな状況でも広く効果が発揮されます。
また、シマンテックは世界最大のセンサーネットワークを備えているため、このような革新的な ML のアプローチを広く拡散できるという特異な立場にあります。こうしたコンテキストベースの評価に求められるグローバルな可視性を、このレベルで実現できるベンダーはほかにありません。
データ品質の向上、保護の強化
データとアルゴリズムは、保護を最適化するうえで鍵となりますが、データ品質を確保することは、克服すべき最初のハードルでもあります。正しいデータがなければ、判断の基準となる可視性が得られず、正しいアルゴリズムがなければ、妥当なデータに集中することができません。そして最後に、正しい専門家がいなければ、データやアルゴリズムの意味を理解することさえ不可能です。ご安心ください。シマンテックは、このような属性と機能をすべて用意しています。
シグネチャ定義で言うと、これはいったいどういうことになるでしょうか。
クラウドインテリジェンスのようなプロアクティブなマシンラーニング技術が進歩したため、シグネチャ定義の大きさは大幅に縮小しています。わかりやすくたとえるなら、Web ブラウズ中に画像数枚をダウンロードするくらいのサイズです。
マシンラーニングとディープラーニングを超えて
シマンテックは、ディープラーニングを利用してマシンラーニングをさらに前進させています。
簡単に言うと、ディープラーニングとは最先端のマシンラーニング技術の一種です。人間の脳を参考にした人工のニューラルネットワークを用い、人間が学習するのと同じように学習します。ディープラーニングのネットワークは、生データの入力から高度な概念を段階的に抽出する機能があります。そうした階層的な一般化機能があるために堅牢な統計特性を備えており、ラベルのほとんどないデータからでも学習する、部分的な入力を再構築する、異常を検出するなどの機能を持ち合わせています。
シマンテックには、Center for Advanced Machine Learning(CAML)というチームがあります。セキュリティをめぐるマシンラーニングの専門家チームとして、ディープラーニングを含む高度な ML 技術の研究開発に携わっています。
Symantec Cynic ― クラウドベースのサンドボックス処理にマシンラーニングを応用している事例
Symantec Cynic は、Symantec Advanced Threat Protection の一部であり、高度な脅威を検出できるクラウドベースの動的なマルウェア解析サービスです。一般的なサンドボックス解析製品は、各種の仮想マシンや顧客固有のイメージを用意し、そこでマルウェアを発動させて検出することに主眼を置いています。一方、Symantec Cynic はマシンラーニングベースの高度な解析を、シマンテックのグローバルインテリジェンスと組み合わせているため、特にステルス性と持続性の高い脅威も検出します。
今日、高度な攻撃のうち 28% は「仮想マシン対応」しています。つまり、一般的なサンドボックス処理システムで実行されている場合、疑わしい挙動を見せないということです。これに対処するために、Symantec Cynic は疑わしいファイルを物理ハードウェア上で実行し、従来型のサンドボックス処理技術では検出をすり抜けてしまう攻撃も発見します。
Cynic は、こうした技術をすべて駆使して結果を取り出し、その判定と解析結果、詳しい脅威情報をユーザーに伝えます。
革新的な発想が革新的な結果を生む
シマンテックは継続的にイノベーションに取り組んでいますが、そのビジョンは脅威の検出、情報の保護、サイバーセキュリティサービス、総合的なセキュリティ解析という 4 本の柱を基礎にしています。シマンテックが包括的なビッグデータ分析プラットフォームを開発しているのも、膨大なセキュリティ遠隔測定データを収集し、その解析からローカルとグローバルの脅威を見出したうえで、そこから得られる知見から安全な回答を導き出すためです。そして、そのビジョンには、高度なマシンラーニングとディープラーニング技術というイノベーションが不可欠な要素です。
最近 AV-TEST.org は、企業エンドポイントセキュリティの部門で Symantec Endpoint Protection が「Best Protection 2015」賞を獲得したと発表しました。また、シマンテックは 2016 年の Gartner Magic Quadrant レポート「Data Loss Prevention, Managed Security Service Providers, and Endpoint Protection Platforms(データ漏えい防止、マネージドセキュリティサービスプロバイダー、およびエンドポイント保護プラットフォーム)」でも、主要 3 部門でリーダーに選出されています。
こうした実績は、シマンテックがセキュリティ分野を牽引しており、その継続的なイノベーションが業界に貢献していることを評価されたことの証です。こうした評価をいただいたことはもちろん名誉に思いますが、それに慢心することなく、シマンテックは今後もお客様のために最大限の努力を続け、真の意味で次世代の脅威検出をお届けしていく所存です。
【参考訳】