英国ケンブリッジに開発拠点を置くセキュリティ企業のDarktraceは9月、機械学習技術をベースとしたセキュリティ製品「Enterprise Immune System」の新バージョンを発表した。これに合わせて来日したGlobal Head of Threat AnalysisのMichael Beck氏に、その背景と狙いを聞いた。
セキュリティに限った話ではないが、スキルや知見を備えたエンジニアの不足は深刻な問題だ。Beck氏によると、これは日本市場だけの問題ではなく、グローバルでも共通の課題となっているという。「セキュリティ担当者はただでさえ時を選ばずやってくる脅威に対応しなければならない上、日々押し寄せてくる多くのタスクや要望に囲まれ、時間に追われている」
Darktrace Global Head of Threat AnalysisのMichael Beck氏
こうした状況の打開策として期待されているのは、これまで人間の経験に頼ってきたセキュリティ運用やインシデント対応を自動化すること。限られたリソースでの運用を支援し、担当者による対応のばらつきやミスを防ぐ。
Darktraceが提供するEnterprise Immune Systemもこの領域のソリューションになる。企業ごと、ユーザーごとに、普段どんなタイミングでどのようなアプリケーションやSaaSを利用し、どこに電子メールを送り、どのような通信を行っているかというパターン――同社が表現するところの“デジタルDNA”“デジタルフットプリント”を人がわざわざ定義しなくても機械学習で把握し、そこから逸脱した挙動を“異常”として検知する。それを可能にしているのが、ケンブリッジ大学の数学者らが開発した教師なし学習アルゴリズムのほか、ディープラーニングなど複数の機械学習/AI(人工知能)技術だ。
Beck氏によると、Enterprise Immune Systemのポイントの1つは「可視化」だ。「シグネチャーに基づく検知は、マルウェアに少し変更を加えるだけで避けられてしまう。だが、ネットワーク上のあらゆる挙動を可視化し、免疫システムのように、デジタルDNAに基づいて、良いものと悪いものを学習していくEnterprise Immune Systemから隠れることはできない」(同氏)
昨今、信頼関係に付け入ったサプライチェーン経由、サードパーティー経由の攻撃も珍しくないが、これもまた、通常のビジネスフローのパターンを学習することで、取引先を装ったメールの中から普段とは異なる特徴やあり得ない振る舞いを検出し、警告する。
検知を効率的に行うだけでなく、「Antigena」によって自律的なレスポンスを可能にすることも特徴だ。
サイバー攻撃は、夜間や週末など、セキュリティ担当者やIT担当者が不在なときも関係なく襲ってくる。だが、そうした隙を突かれて検知から対応までに時間がかかるようなことがあれば、ワームのような脅威が拡散して企業に大きなダメージを与えかねない。Antigenaは、Enterprise Immune Systemで検知した脅威の情報を基にネットワーク遮断などの対処を自律的に行い、被害を最小限に押さえ込むという。