ファイアウォールの機械学習エンジンが脅威をブロック
近年では脅威が未知化するスピードが高まっている。一般的に脅威はパターンファイルやシグネチャと呼ばれるものと照合することで検知し防御する。現実世界なら顔写真や似顔絵で指名手配犯を捕まえるようなものだ。指名手配犯が逮捕を逃れるために変装を繰り返すように、近年のマルウェアは検出を逃れるために次々と形を変え、増殖していく。ポリモーフィック、亜種化とも言われる。
パロアルトネットワークスの観測によると、1つのマルウェアから5分で1万近くのインスタンスに増加することもあるという。攻撃者は1つのマルウェアを未知化し、配布するところで自動化を進めている。この増殖の速さではシグネチャベースでの対応では検知が難しくなる。
パロアルトネットワークスでは素早く未知化する脅威に対抗するべく、機械学習を搭載した次世代ファイアウォールを開発した。パロアルトネットワークス株式会社 技術本部 SEマネージャー 寺前滋人氏は機械学習エンジンが搭載されたファイアウォールは「世界初」と胸を張る。実現するのは新しい機器ではなく、最新版OSとなるPAN-OS 10.0。言い換えると、ファイアウォールの最新版OSに機械学習を搭載したことになる。
同社のファイアウォールは、クラウドのサーバーと連携することで防御力を高め、検知を早めてきた。これまでだと、DNS保護は即時、URL保護は1分、ファイル保護は5分ほどで更新されてきた。
PAN-OS 10.0になるとファイアウォールのセキュリティコアに機械学習エンジンが搭載されるため、シグネチャを使うことなく、クラウドとの通信がないので更新遅延がなくなる。インライン機械学習で止められる脅威は「最大で95%」と寺前氏は言う。
全体の流れを追ってみよう。最新版OSでは未知の攻撃であっても、まずはファイアウォールの機械学習エンジンが不審なものをブロックする。フィッシングやJavaScript、実行形式ファイルやPowerShellを使うマルウェアなどが該当する。ここでカバーできないもの、例えばWord、Excel、PDFなどのファイルは従来通り同社のクラウドに送信して分析し、脅威があればオンプレのファイアウォールに新しいシグネチャが配信される。また機械学習エンジンを搭載することになるため、機械学習モデルも更新する。こちらは日次で行う。
シグネチャの更新も最新版OSで高速化する。これまでは5分間隔だったところ、ほぼリアルタイムとなる数秒単位で更新できるようになる。PAN-OS 10.0の設定画面にある「WildFire Update Schedule」に「Real-time」という選択肢が増えたので、これを選択すればいい。更新がストリーミング配信されるようになり、遅延は数秒程度になる。
ファイアウォールに搭載した機械学習エンジンと、シグネチャ更新の頻度が高まることで、脅威の検出の高速化が期待できる。
