このページの本文へ

デルでのサイバー攻撃対応でAI+セキュリティの実力を痛感

多層防御はもう不要!Cylanceに魅せられたセキュリティのプロが語る

2017年01月17日 07時00分更新

文● 大谷イビサ/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

1月16日、AIを用いた脅威防御を提供しているCylanceはプレス向け説明会を開催した。登壇した米Cynlanceのジョン・E・マックラーグ氏は自身の豊富なセキュリティ業界での経験を踏まえつつ、不確実な時代における事後対応の危険性をアピールした。

「興味深い時代を生きられますように」は呪いの言葉

 Cylance副社長兼特使であるジョン・E・マックラーグ氏は、FBIの管理官として国土安全保障省内の国家インフラ防衛センターの前身となる組織を構築した人物。CIAでは防諜組織の新設し、DOE(米エネルギー省)では防諜局のサイバー防諜プログラムを作成し、FBIでは外国勢力による違法な企業買収の阻止を担当した。直近ではデルのCSO(Chief Security Officer)を務めており、サイバー攻撃のリスク管理においてプロフェッショナルといえる。

Cylance副社長兼特使であるジョン・E・マックラーグ氏

 説明会においてマックラーグ氏は、ロバート・ケネディが演説でも使った「興味深い時代を生きられますように(May you live in interesting times)」という言葉を引き合いに出し、現在が不確実性の高い時代であることを指摘。小さい頃、祝福の言葉だと思ったこの言葉も、実は「昔の中国の呪い」だったと説明した。こうした「カオスで、難題に満ちている」世界では、「事後対応」がさまざまな弊害を引き起こし、多くの報いを受けるという。

 マックラーグ氏は、通信会社のベルコアに侵入したダーク・ダンテや国家規模での防諜を手がけてたハロルド「ジム」ニコルソンなど数々のハッカーとの戦いを振り返り、予測型対策の重要性を肌で感じてきた。しかし、当時は多層防御しかアプローチがなく、複雑で費用がかかり、対応もあくまで事後的だった。「もしも」ではなく、「いつ」が重要となる脅威の時代、こうした多層防御には決定的な限界があったという。

事後対策の報い

60社におよぶマルウェア検知の検証で1社だけ99.7%をたたき出す

 しかし、スノーデン事件を契機に、AIを用いた予防防御のアプローチが登場し、その有効性も明らかになってきた。2015年、デルのCSOとしてサイバー攻撃への対策に奔走していたマックラーグ氏のチームは、60におよぶ製品でマルウェア検知を実施し、1社のみが99.7%という高い検知率を実現した。この1社がCylanceだったという。

 チームから検知結果を聞き、「今までの経験からすると、そんなことはありえない。よくても40%だ」と感じたマックラーグ氏。そのため、当時中国から受けていた攻撃に対して、Cylanceを試したが、検知率は圧倒的だった。「普段、いかつい表情のセキュリティエンジニアたちが笑顔で戻ってきた。Cylanceがあれば、俺たちもクリスマス休暇をとれたんじゃないかと語っていた」(マックラーグ氏)。Cylanceの真の実力を目の当たりにしたマックラーグ氏とデルの首脳部はCylanceの買収まで考えたが、結果的にいち早くCylanceのデル製品へ組み込むことを選択。そして、マックラーグ氏自体もCylanceへ移籍する。それくらいCylanceの登場は衝撃だったわけだ。

 「シグネチャ作成のためにお客様のエンドポイントを生け贄にするのはもうやめたい。多層防御ももう要らないと感じた」と語るマックラーグ氏。昨年はセキュリティにAIを組み込む動きが加速したが、多くは既存の多層防御のコンポーネントの1つにAIのアルゴリズムが追加されただけで、検知率もそれほど上がっていないと指摘する。インターネット上にあるファイルの構造を機械学習でモデル化し、サイバー攻撃をリアルタイムに防御するのは、今もってCylanceだけ。しかも、4年という先行者利益があるため、大手ベンダーがキャッチアップするのにはかなり時間がかかると見込んでいる。

 「今まで『興味深い時代を生きられますように』は呪いの言葉だったが、これからは新しいパラダイムシフトへの祝福の言葉にしたい」とマックラーグ氏は語る。

■関連サイト

カテゴリートップへ

ピックアップ