編集部からのお知らせ
ZDNet Japanが新しくなりました!
New! 懸念高まる産業機器のセキュリティ

ファイルの特徴からマルウェアらしさ判定--Cylanceが語る「他社とは違うAI活用」 - (page 2)

日川佳三

2017-02-16 11:54

一部ベンダーは同じやり方を採用も「Cylanceは5年先を行く」

 Cylance Japanの乙部氏は、「競合他社が公表しているマルウェア検知率は真実ではない」と説明する。「競合他社も検知率の高さをアピールしているが、シグネチャ作成後の試験で検知率が高くなるのは当然のこと」(乙部氏)。

 競合他社のマルウェア検知率は、時系列とともに変化する。新しいマルウェアが登場したばかりでは検知できず、シグネチャが作られると検知できるようになり、一定の時間が経過しマルウェアが古くなるとシグネチャを消すので検知できなくなる。

マルウェア検知率の推移
時系列に応じたマルウェア検知率の推移。アルゴリズムで判定するCylanceは事例列によらず検知率は一定だが、パターンマッチングで判定する競合他社はシグネチャを作成するタイミングに応じて検知率が変わる

 この一方で、アルゴリズムで判定するCylanceの場合は、時系列によらずどのタイミングでも検知率は一定になる。

 AIに対するアプローチが根本的に違うと乙部氏は言う。「他社は、従来のマルウェア対策技術、つまりシグネチャを作る過程でAIを使っているだけ。Cylanceは、良いファイルと悪いファイルを大量に学習させて機械学習でマルウェア判定モデルを生成し、これを使ってファイルを判定する。この方法はCylanceだけ」(乙部氏)

 一部のベンダーはCylanceと同じアプローチで機械学習を使い始めたが、まだまだ未熟と言う。乙部氏によれば、競合他社は、OSSベースの簡易なアルゴリズムを使い、データセットは少量で、特徴点は70~150個程度しかなく、結果として検知率は60~70%、誤検知率は5~10%に達する。

 「Cylanceには5年のアドバンテージがある。ファイルから特徴点を抽出する技術などで優位性がある」(乙部氏)。

今後はOffice文書ファイルもアルゴリズム判定の対象に

 現状では、機械学習によるアルゴリズムでマルウェアを判定できるファイルの種類は、実行形式ファイルに限られる。「マクロは非対象だが、マクロはマルウェア本体をダウンロードするために使われるので、マルウェア本体を検知できればそれでいい」(乙部氏)。

 Cylanceは、アルゴリズム以外の方法で、不正なマクロに対抗する機能を備えている。例えば、メモリー領域を監視し、アプリケーションやOSの脆弱性を付いた不正な攻撃を検知してブロックできる。

 今後は、アルゴリズムで判定できるファイルの種類も拡大し、マクロを含んだPDFファイルやOffice文書ファイルも判定できるようにする予定という。「文書ファイルを判定するモデルはすでにあるが、まだ出荷する品質になっていないので出していない。今後は提供する予定だ」(乙部氏)。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    コスト削減&拡張性も、堅牢なセキュリティ&規制も同時に手に入れる方法、教えます

  2. 経営

    サブスクビジネスのカギはCX! ITIL準拠のツールをこう使え

  3. クラウドコンピューティング

    “偽クラウド”のERP使っていませんか?多くの企業のITリーダーの生の声から学ぶ

  4. クラウドコンピューティング

    RPA本格展開のカギは?「RPA導入実態調査レポート」が示す活用の道筋

  5. セキュリティ

    RPA導入時に見落とされがちな“エンタープライズレベルのセキュリティ”を紐解く

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]