「マシンラーニング」という言葉は、すっかり流行語になりましたが、広く言われているほど万能薬ではありません。つまり、セキュリティ上の問題をなんでも解決できるわけではないということです。マシンラーニングが、脅威を特定する有効な武器にならないと言うつもりはありませんが、実のところ、その効果が発揮されるのは攻撃チェーンの特定のポイントだけです(下図)。そして、何事もそれだけで 100% 有効とはいかないものです。
攻撃チェーンの各段階を表す言葉も、攻撃チェーン自体を表す言葉も、いろいろ使われています。筆者自身は、攻撃チェーンを脅威のライフサイクルと考えていますが、今までに見たなかでも特に感心したのは、医学用語を使った表現です。ウイルスや脅威にさらされ(侵入)、それを食い止められない場合には感染します(infection)。ひとたび感染すると、ウイルスや脅威はさらに拡散しようとし(蔓延)、場合によってはコマンドセンターや制御センターとの通信、あるいは情報の抽出を試みます。攻撃を受けたあとには、ウイルスや脅威を無力化できるのが理想的な結果です(予防接種)。攻撃チェーンで捕捉が遅れるほど、被害は大きくなるので、できるだけ早く捕捉できれば有利ですが、最も重要なのは、とにかく捕捉することです。何カ月にもわたって脅威が環境の中に存続し、情報を収集したりビジネスを妨害したりすることも、皆無ではありません。
他の保護技術と違い、マシンラーニングならではの特徴と言えるのが、教え込まなければならないという点です。脅威を正確に識別するには、探す対象を理解できるように鍛え、しかも常に更新する必要があります。新しい脅威は、絶えず出現しているからです。そのため、高水準のトレーニングが特に重要になります。そうしないと、実際には存在しない脅威を検出してしまう、つまり誤認が多発することになりかねません。
ここで言う高水準のトレーニングとは、新しいグローバルな脅威データによって常に更新される有用なデータを大量に使うことを意味します。有用なデータと言っても、既知のマルウェアだけでマシンラーニングをトレーニングするという意味ではありません。そんな対策は、ハッカーに簡単にすり抜けられてしまいます。トレーニングでは、新しい脅威と侵害指標(IOC)を常に更新しながら、正常なファイルと異常なファイルの両方を使う必要があります。真に優秀なマシンラーニングは、きわめて高度なアルゴリズムと、強力にトレーニングされた分類機能を使って、最新の脅威を検出するよう学習できますが、それも長期的にはデータセットの品質にとどまります。これまで知られていない新しい脅威を的確に検出する、それこそマシンラーニングが最も価値を発揮することですが、そのためには、できるだけ高い品質のグローバルな脅威データが必要です。
マシンラーニングやディープラーニングについては、評価ベース、行動ベース、属性ベースという種類もはっきりさせておかねばなりません。脅威の識別では、そのすべてに役割があるので、すべてをエンドポイント保護ソリューションの一部として組み込む必要があります。
それでも、前述したように、単独で 100% 有効なものなどありません。バックアップとして、また攻撃チェーンの下流で使えるように、別の武器も必要になります。要するに、使えるかぎりどんな手段を使ってでも脅威は排除したいということです。こうした理由で、セキュリティ上のあらゆるニーズに対する答えを、マシンラーニングだけに求めるわけにはいきません。エンドポイント保護ソリューションは、侵入の段階で、あるいは脅威がなんらかの形で外部との通信を試みるときに、効果的に脅威を識別して排除できる必要があります。
結論として、脅威に対しては以下のように最善の保護対策を実施するよう心がけてください。
お使いのソリューションが、初期状態でもグローバルソースから可能なかぎり最高で多様なデータセットを使って、マシンラーニングをトレーニングできること。
お使いのソリューションが、やはりグローバルソリューションを使って常に更新されており、最小限の誤認率で、知られていない最新の脅威の大半を捕捉できること。
マシンラーニングだけでは十分でないことを受け入れ、以下の図を参考にして、攻撃チェーンのすべてを保護する武器を用意すること。侵入防止サービス、定評のあるシグネチャベースの技術、ブラウザ保護、デバイスやアプリケーションの制御、メモリ悪用の防止、カスタムパッケージのマルウェアへの対策機能などが必要です。
マシンラーニングは、強力な武器ですが、唯一の正解ではありません。
エンドポイント保護について詳しくは、go.symantec.com/sepを参照してください。
【参考訳】