次世代に生き残るのは「セキュリティ×ディープラーニング」　コスト削減にもつながる多様性

サイバーセキュリティは、ディープラーニングによる自動予防の時代へ

　Deep Instinctでは、このようなサイバーセキュリティ対策の課題を解消するべく「ディープラーニング技術」を活用している。人間の脳の働きであるニューラルネットワークをコンピューターで再現することで、学習や予測、分類、回帰を行う技術だ。

　シグネチャベースの対処法は、既知の脅威には対処できるものの、未知の脅威は防げない。乙部氏によると、いまや未知の脅威は1日数十万件も生じているという。そうなると、人の手だけでは処理ができない。

　「従来のシグネチャベースの技術は、見たことがあるパターンを検知していくアプローチのため、未知の脅威には対応できません。さらに、毎日のアップデートが必要であったり、CPUやメモリ消費も激しかったりと、パソコンにとっても管理者にとっても煩雑な処理が多いものになります。一方で、ディープラーニング技術を活用した“予測する”というアプローチでは、未知の脅威を予測して動き出す前に止めてくれます。さらに、頻繁なアップデートが不要で、動作も軽いというメリットがあります。その上、予測モデルはデバイス上で動作しているので、場所や時間を選ばずにいつでもデバイスを保護できるという優位性も兼ね備えているのです。また、防御を自動化できるようになれば、全体のコストやリソースの消費を抑えることができ、組織にとっては多くのメリットがあります」（乙部氏）

　現在多くのセキュリティ製品で使われている機械学習という技術は、膨大なデータから特徴を抽出、学習をして処理させることができるが、特徴抽出と呼ばれる処理は人が行う必要がある。この特徴に偏りがあったり、バイアスが加わってしまったりと精度高く判定できないことが、機械学習が越えられなかった1番の壁だ。ディープラーニングは、特徴抽出を人間が行うのではなく、AIのシステム自体が行うアプローチでこの壁を超えたのである。

　ニューラルネットワークによるディープラーニングが脚光を浴びたのは、2012年、画像の認識率を競うILSVRC（ImageNet Large Scale Visual Recognition Challenge）と呼ばれるイベントで、ジェフリー・ヒントン氏が率いるトロント大学のチームが、初出場でありながら優勝したことがきっかけだといわれている。従来の機械学習を用いた手法を使うチームに対して、圧倒的な差をつけて優勝したことで当時の研究者たちは大きな衝撃を受けたという。これをきっかけに、その後、画像認識以外の分野でもディープラーニングが広く使われることとなった。

　Deep Instinctがディープラーニング技術をサイバーセキュリティに使う理由は3つある。1つ目は「精度」、誤検知や過検知をより少なくできる。2つ目は「レベル」、従来の機械学習では白黒判定しかできないが、脅威にはスパイウェアもあればランサムウェアもある。ディープラーニングであれば、これらの種別まで予測できるようにレベルを高めることが可能だ。3つ目は「拡張性」、人が特徴抽出を行う機械学習と異なり、ディープラーニングでは特徴抽出をAIが行えるため、様々なものを学習して予測モデルを作成できるという。たとえば、実行ファイル以外にも、Word/Excelファイル、PDFやPowerShellのスクリプトに対してモデルを作成したり、OSプラットフォームもWindows、macOS、Android、Linuxなど様々なものにも対応できたりするメリットがあるという。

　乙部氏は、「サイバーセキュリティの歴史を振り返ってみても、検知／対処ベースの技術が世の中で広く使われて、生き残ったことはありません。どれだけ自動的に予防できるのか。それが結果的に全体のコスト削減、そしてセキュリティの最適化につながっていくと思います。そして、このような技術が長い目でみたときに世の中で広く使われ、生き残っていくと考えています」と述べる。

　また、最後に同氏は「Deep Instinctはディープラーニングを活用したモデル技術で、未知の攻撃初期ファイルからマルウェア本体までを静的解析で防御するだけでなく、優れた振る舞い検知や脅威ハンティング機能などにより、1つの製品でエンドポイントを多層的に防御できることが特徴です。さらに、今後はネットワークやクラウド、ストレージにも対応した製品のリリース予定です。ディープラーニングベースの予防プラットフォームをこれからも提供していきます」と今後の戦略を述べて、講演を締めくくった。