「ファイルがマルウェアの特徴を備えているかどうかを人工知能(AI)で判定するマルウェア対策ソフトはCylanceだけ。競合他社もAIを使っていると主張しているが、実際にはシグネチャを作るのにAIを使ってるだけだ。これまでと同様に、シグネチャを更新しなければ新しいマルウェアを検知できない」。
Cylance Japanで最高技術責任者を務める乙部幸一朗氏
Cylance Japanは2月14日、OEM(相手先ブランドによる生産)供給先のエムオーテックス(MOTEX)の会議室で会見し、同社のマルウェア対策ソフト「CylancePROTECT」の優位性を力説した。MOTEXは、クライアント管理ソフト「LanScope Cat」のオプションとして「プロテクトキャット」の名称でCylancePROTECTを販売している。
Cylance Japanで最高技術責任者を務める乙部幸一朗氏によれば、競合製品のほとんどは、AIに対するアプローチがCylanceとは異なる。こうした中で一部のベンダーはCylanceと同じアプローチを取り始めたが、「Cylanceには5年のアドバンテージがある」(乙部氏)とした。
マルウェアの特徴を機械学習で抽出、アルゴリズムに落とし込む
CylancePROTECTの特徴は、パターンマッチングや振る舞い検知といった既存の手法ではなく、対象のファイルがマルウェアの特徴を備えるかどうかをアルゴリズム(計算式)で判定するという手法を採用したこと。パソコン上で動作するCylancePROTECTが、搭載されているアルゴリズムを使ってスタンドアローンでマルウェアを検知する。
マルウェアを判定するアルゴリズムは、機械学習によって自動生成する。マルウェアを含んだ大量のファイルのビットパターンを機械的に学習してマルウェアの特徴を抽出し、アルゴリズムに落とし込んでいる。10億個を超えるファイルから600万~700万の要素を特徴点として抽出している。
アルゴリズムなので、基本的には、今あるアルゴリズムを使って、今後登場する新しいマルウェアを検知できる。半年に1回の製品アップデート時にアルゴリズムのメンテナンスも行われるが、シグネチャと異なり、古いままのアルゴリズムで新しいマルウェアを検知できる。
米Cylanceの技術部門バイスプレジデントを務めるRon Talwalkar氏
米Cylanceの技術部門バイスプレジデントを務めるRon Talwalkar氏は、Cylanceのアルゴリズムで新しいマルウェアを検知できた事例をいくつか紹介した。例えば、2015年に見つかったトロイの木馬「GlassRat」は、数年前のアルゴリズムで検知できたという。
ファイルをアルゴリズムで計算するだけでマルウェアを検知できるので、大量のパターンファイルを使ってパターンマッチングを判定する既存のマルウェア対策と比べて「パソコンにかける負荷も少ない」(同社)とアピールする。