AI学習で新種が出ても、これまでより「速く」対応できるBlackBerry Protect
では、どのような対策を講じればよいのだろうか。解決策の一つとして、エムオーテックが提供するサイバー攻撃対策「BlackBerry Protect」が挙げられる。BlackBerry Protectならば、出遅れることなくマルウェアやウイルスといった悪意あるファイルを見分けて防御につなげられる。登場してまもない悪意あるファイルを、どうやって見分けるのかについては、AIによる機械学習の効果と中本氏は説明した。
BlackBerry Protectは、マルウェアなどの悪意があるファイルだけでなく、正常なファイルもあわせて10億以上収集し、悪意と正常を見分ける学習を実施ずみだ。この結果、ファイルを700万もの特徴点で比較することができ、従来のシグネチャ型が利用するパターンがなくても、悪意あるファイルの判断、選別が行える。
通常、新しい悪意あるファイルも、過去の悪意ファイルの特徴を引き継いでいるので、BlackBerry Protectによる判断の精度は99%[1]と報告されており「悪意あるファイルが誕生した直後でも、防御を行えます」と中本氏は強調した。
BlackBerry Protectは、AIにより作成されたモデルを活用するため、新しいウイルスのパターンファイルを入手するための日々のアップデートやフルスキャンは不要、さらに負荷は少なくCPU負荷は1%以下、オフラインでも動作可能といった特徴もある。Emotetがよく行うメモリ攻撃の検知機能などの対策も充実している。
[1] 2018 NSS Labs Advanced Endpoint Protection Test 結果より
それでもすり抜けられたなら、BlackBerry OpticsのEDR機能で被害を最小にできる
AIによる防御があっても、すり抜けてくるマルウェアなどは存在する。その場合は、BlackBerry OpticsというEDR(Endpoint Detection and Response)機能で、感染した後の調査や対処を行うことで、被害を最小に食い止めることができる。たとえばEmotetに感染しても、Emotetがパソコン内部に発する攻撃コマンドや、攻撃のプロセスを確認できるので、先回りして防御できる。
BlackBerry Opticsは、初動対策として管理画面にリモートアクセスし、対象のエンドポイントを自社のネットワークから切り離せるので、感染拡大を早期に止めることができる。現場には「LANのケーブルを抜く」といった対応策があるが、最近のパソコンにはWi-Fi機能があるので、ケーブルを抜いてもWi-Fiでネットワークにつながったまま気がつかず被害が広がるというケースもある。そのため、システム側から切り離せる機能は重要だ。
