ITセキュリティ女子のブログ

ITセキュリティ女子のブログ>機械学習とマルウェア検知の進化

  • エンドポイントセキュリティ
2019.09.09

機械学習とマルウェア検知の進化

機械学習とマルウェア検知の進化

みなさんこんにちは。長谷川まりです。

AIブームですね。正確には、「第3次AIブーム」なのだそうです。今回は、過程を踏んで進化する機械学習と親和性の高い、マルウェア検知の技術の進化についてご紹介します。

AI(人工知能)と機械学習の進化

ある日、社内の技術者が私に問いかけました。「まりさん!犬と猫の違いを言葉でご説明できますか?」私は「顔が丸い」「目がまん丸」「耳が△で、頭の上にある」「髭がある」「4本足で尻尾がある」・・・色々説明を試してみました。しかし、どうしても犬も猫も同じ説明になってしまいます。そうなんです、人は犬と猫の違いを感覚的に区別することはできます。しかし、論理的に説明することがでません。実は、ほんの少し前までAIも犬と猫を区別できませんでした。その理由は人が説明できなかったからです。第3次AIブームより前の旧来のAIは、人に知識を教えてもらっていました。人が教えられない事実はAIは理解できなかったのです。

では、旧来のAIは、犬猫をどのように判別させていたのでしょうか。実は、個体情報で判別させていました。ITにお詳しい皆さんでしたら、IF関数に例えると分かりやすいと思います。「もし○○だったら△△」というような覚え方をします。猫ならば特定の個体の写真をAIにデータとして渡して「猫」というタグをつければ、「この写真と同じ物体が来たら、それは猫」という処理が可能になります。しかし、これだと知識に限界がありますよね。とても人工知能とは呼べません。同じ猫でも少しだけ角度が違えば、もう猫とは認識できなくなります。その限界から第2次AIブームは終息するのです。

人間はすごいです。言葉にすることできない事象を、感覚で区別できるのです。AIにはできませんでした。しかし、大きな革命が起きます。第3次AIブームです。それは「IF」文を止めたディープラーニングという手法が登場して始まりました。ディープラーニングは、「IF」文を使用しない代わりに大量のデータを収集、その中からいくつかのパターンの特徴を抽出します。複数存在するパターンの中に「猫」と紐づけできるパターンを発見し、それを人が猫とタグ付けすることで、AIは猫を認識できるようになります。逆転の発想です。従来は、人がAIに知識を教えていましたが、人が教えることを止めてAI自身に学習させることで、AIはかつて獲得できなかった知識を得るようになります。これが機械学習です。

マルウェア検知の進化

マルウェア対策製品も旧来のAIと同じジレンマを抱えていました。本来「マルウェア」を止めたいのがマルウェア対策製品です。しかし、マルウェアは新型や亜種が次々出現するものです。見たこともない新型や亜種を事前に把握することはできません。そのため、個々のマルウェアの特徴を分析して、個別に対応するしかありませんでした。これがパターンマッチング方式によるマルウェア検出です。個々の特徴とは、例えば、特定のコード、ハッシュ値を指します。パターンマッチングとは、「マルウェア」という分類をできない時代の手法です。この方法では、既にお話したように次々出現する亜種には対応できません。亜種が少ない昔の時代では何とか対応できましたが、亜種作成のツールが簡単に買えるような今の時代では対応が難しくなりました。

AIの進化は、マルウェア対策にも革命を起こしました。マルウェアの特徴をAIが認識できるようになり、パターンファイルから脱却することができるようになったのです。このことで従来型アンチウイルスの運用上の問題がクリアでき、次世代型アンチウイルスとも呼ばれるようになりました。嬉しいメリットがたくさんあるこの分野の製品は今、多くの企業で採用が進んでいます。

<次世代型アンチウイルスのメリット>

  • 未知のウイルスへの対策が可能(亜種を利用したゼロデイ攻撃への対策)
  • パターンファイル更新の遅延がない(そもそもパターンファイルが存在しない)
  • パターンファイル管理の負荷削減(そもそもパターンファイルが存在しない)
  • PCの負荷軽減(パターンファイルは完全一致の検索のためPCの負荷になりやすい)

AIにも力量差が・・・検知率で見極めよう!

ここまで、マルウェア検知が機械学習の進化とともに性能が良くなったお話しをしました。ただ、注意が必要なのは、今「AI搭載」を謳う製品が、全てディープラーニングを採用しているわけではない点です。先にご紹介した人間がコンピュータに学習内容を教える手法もAI機能です。AIは用語の定義が曖昧で、唯一で間違いがないAIの定義はこの世に存在しません。(人間みたいな機械を作ったらそれはAIなんです。)

さらにディープラーニングにも、独自の学習方法を加えたり、学習のためのデータの質を調整したり、学習の量を調整したりと、スキルに差異があります。これはマルウェア対策製品であれば、結果的に検知率の差としてはっきりと表れます。実際に、マルウェア対策製品を評価する第三者機関「AV-TEST」でも、同じAI対応製品で結果に差異があったことが報告(※)されています。


進化に伴い、製品による差異が増えてきたということでしょうか。そのため「AI搭載」マルウェア対策製品では検知率を比較しながら、どのようなAIの手法で、どのようなAIの利用の仕方で、どのような成果を実現しているかを聞いておくと安心です。

まとめ

AIの進化によりマルウェア検知も素晴らしく進化しました。ただし、「AI搭載」というだけではなく、採用されている機械学習の手法によって性能に差があることを知っておくと安心です。マルウェア検知においてはわかりやすく検知率に差が出るので、その手法までを詳しく確認しておくと良いかもしれません。


長谷川 まり

株式会社アシストに入社以来十数年、セキュリティ対策製品担当として活動中。

売れない小説家だった祖父の影響で、文章を書くことが好き。
「役に立つ人間になる」をモットーに、日々真面目で丁寧な仕事を心がけている。

関連している記事

  • エンドポイントセキュリティ
2019.08.13

EPPとEDR~いまさら聞けない、それぞれの目的の違いとは?~

東京オリンピック・パラリンピック開催を控え、益々のサイバー攻撃増加が警戒されています。今回はマルウェア対策として注目されている「EPP」と「EDR」が、同じカテゴリに位置しながらどのように異なるのか、目的や機能を整理します。

  • エンドポイントセキュリティ
2019.08.02

開発元に聞いた情報漏洩対策製品の今、これから

情報漏洩対策ソリューション「秘文」の開発元、日立ソリューションズ社に、今まさに変化し続けるIT環境を背景に、どんな課題に取り組まれてきたのかを聞いてきました。常に日本企業のニーズに寄り添おうという開発姿勢には作り手としての愛を感じます!

  • ログ分析/ログ管理
  • エンドポイントセキュリティ
2019.06.13

テレワークは9割近くが未導入?!63名に聞いたテレワークの現状と課題

働き方改革をITで実現するテレワーク。実際にどの位の企業が取り入れられているのでしょか?アシストで開催したセミナーでお客様から頂戴したアンケートでは9割が未導入という結果でした。

プロフィール


長谷川まり
セキュリティ製品を担当。お客様からの信頼も厚い、お姉さん的存在。


長谷川ひとは
クライアント仮想化製品を担当。勉強熱心で、分からないことはすぐ聞いてしまう。

ページの先頭へ戻る