機械学習とマルウェア検知の進化

みなさんこんにちは。長谷川まりです。

AIブームですね。正確には、「第3次AIブーム」なのだそうです。今回は、過程を踏んで進化する機械学習と親和性の高い、マルウェア検知の技術の進化についてご紹介します。

では、旧来のAIは、犬猫をどのように判別させていたのでしょうか。実は、個体情報で判別させていました。ITにお詳しい皆さんでしたら、IF関数に例えると分かりやすいと思います。「もし○○だったら△△」というような覚え方をします。猫ならば特定の個体の写真をAIにデータとして渡して「猫」というタグをつければ、「この写真と同じ物体が来たら、それは猫」という処理が可能になります。しかし、これだと知識に限界がありますよね。とても人工知能とは呼べません。同じ猫でも少しだけ角度が違えば、もう猫とは認識できなくなります。その限界から第2次AIブームは終息するのです。

人間はすごいです。言葉にすることできない事象を、感覚で区別できるのです。AIにはできませんでした。しかし、大きな革命が起きます。第3次AIブームです。それは「IF」文を止めたディープラーニングという手法が登場して始まりました。ディープラーニングは、「IF」文を使用しない代わりに大量のデータを収集、その中からいくつかのパターンの特徴を抽出します。複数存在するパターンの中に「猫」と紐づけできるパターンを発見し、それを人が猫とタグ付けすることで、AIは猫を認識できるようになります。逆転の発想です。従来は、人がAIに知識を教えていましたが、人が教えることを止めてAI自身に学習させることで、AIはかつて獲得できなかった知識を得るようになります。これが機械学習です。

マルウェア対策製品も旧来のAIと同じジレンマを抱えていました。本来「マルウェア」を止めたいのがマルウェア対策製品です。しかし、マルウェアは新型や亜種が次々出現するものです。見たこともない新型や亜種を事前に把握することはできません。そのため、個々のマルウェアの特徴を分析して、個別に対応するしかありませんでした。これがパターンマッチング方式によるマルウェア検出です。個々の特徴とは、例えば、特定のコード、ハッシュ値を指します。パターンマッチングとは、「マルウェア」という分類をできない時代の手法です。この方法では、既にお話したように次々出現する亜種には対応できません。亜種が少ない昔の時代では何とか対応できましたが、亜種作成のツールが簡単に買えるような今の時代では対応が難しくなりました。

AIの進化は、マルウェア対策にも革命を起こしました。マルウェアの特徴をAIが認識できるようになり、パターンファイルから脱却することができるようになったのです。このことで従来型アンチウイルスの運用上の問題がクリアでき、次世代型アンチウイルスとも呼ばれるようになりました。嬉しいメリットがたくさんあるこの分野の製品は今、多くの企業で採用が進んでいます。

ここまで、マルウェア検知が機械学習の進化とともに性能が良くなったお話しをしました。ただ、注意が必要なのは、今「AI搭載」を謳う製品が、全てディープラーニングを採用しているわけではない点です。先にご紹介した人間がコンピュータに学習内容を教える手法もAI機能です。AIは用語の定義が曖昧で、唯一で間違いがないAIの定義はこの世に存在しません。（人間みたいな機械を作ったらそれはAIなんです。）

さらにディープラーニングにも、独自の学習方法を加えたり、学習のためのデータの質を調整したり、学習の量を調整したりと、スキルに差異があります。これはマルウェア対策製品であれば、結果的に検知率の差としてはっきりと表れます。実際に、マルウェア対策製品を評価する第三者機関「AV-TEST」でも、同じAI対応製品で結果に差異があったことが報告（※）されています。

進化に伴い、製品による差異が増えてきたということでしょうか。そのため「AI搭載」マルウェア対策製品では検知率を比較しながら、どのようなAIの手法で、どのようなAIの利用の仕方で、どのような成果を実現しているかを聞いておくと安心です。

AIの進化によりマルウェア検知も素晴らしく進化しました。ただし、「AI搭載」というだけではなく、採用されている機械学習の手法によって性能に差があることを知っておくと安心です。マルウェア検知においてはわかりやすく検知率に差が出るので、その手法までを詳しく確認しておくと良いかもしれません。