8月24日、人工知能を用いたアンチウイルスソフトを提供する米Cylance(サイランス)は日本法人の設立を発表。また、アジアで初の開催となる「Unbelievable Tour in Japan」では、最新のマルウェアで検出テストを行ない主要アンチウイルスベンダーと検出率の違いを見せつけた。
Cylanceのみが未知のマルウェアを起動前に遮断できる
Cylanceは新世代のエンドポイントセキュリティ製品を提供する米国のスタートアップ。人工知能の技術を活用することで、シグネチャレスでマルウェアの侵入を99%以上遮断するという。「すべてのエンドポイントを守るというのがわれわれのミッション」とワールドワイドセールス シニアバイスプレジデントのニコラス・ワーナー氏は語る。
Cylanceは既存のアンチウイルス製品の限界を超えるべく、マカフィーの要職を務めた2人が創業。製品投入から約2年でグローバルの顧客は1000社を超え、前年度1100%という成長を遂げる。セキュリティ業界でもっとも成長している企業だという。
ワーナー氏によると、マルウェアの凶悪化にともないエンドポイントセキュリティ市場は活況を呈している。シグネチャベースの伝統的なアンチウイルスソフトに加えて、エクスプロイト防御、ホワイトリスト型のアプリ制御、サンドボックス型隔離、最近ではEDR(Endpoint Detection and Response)というジャンルも現れている。
こうしたエンドポイントセキュリティの製品に比べたCylanceの大きな違いは人工知能の技術を用いて、マルウェアを事前に検知できる点。「他のほとんどの技術はなにかが起きてから対応するリアクティブな製品。Cylanceのみが未知のマルウェアでも事前に検知し、起動する前にストップさせられるプレディクティブな製品だ」とワーナー氏は強調する。
今回設立されたCylance Japan社長の金城盛弘氏は、攻撃手法が大きく変化してきたのに、アンチウイルスの技術は25年前と変わっていない指摘する。「要はシグネチャを使ったパターンマッチング。基本的なアンチウイルスの技術は変わっていない」と金城氏。これに対して、Cylanceは人工知能という画期的な技術を用いて、日々増え続けるマルウェアの脅威からエンドポイントを守っていくという。特に今回設立されたCylance Japanでは顧客の導入支援やサポートを提供すると共に、日本発の脅威に関する解析と対応も実現していくという。
ファイルの“DNA”をマシンラーニングすることで高い検出率を実現
続いて技術について解説したCylance Japan セールスエンジニアリングマネージャーの井上高範氏は、Cylanceの革新性について「未知の脅威は防げない」という常識を覆したことだと指摘する。
Cylanceでは、クラウド上で2億5000個ごとのよいファイルと悪いファイルを解析し、1つのファイルあたり620万を超える特徴をマシンラーニングさせる。これにより、未知・既知も含めた数多くのマルウェアを検知できる。そして、クラウド上の解析の結果は、エンドポイントのCylancePROTECTに対してバージョンアップごとに数理モデルとして配信。この数理モデルをベースに、侵入したマルウェアを100マイクロ秒単位で検出し、実行を阻止する。アプリケーションの実行阻止のみならず、不正なスクリプトやメモリの悪用の防止、バイナリごとの実行の可否なども制御できるという。
CylancePROTECTは検出精度の高さが売りだ。外部機関AV-TESTの調べでは検出率は99.7%を誇り、Cylanceによると最新版の誤検知率も1万分の1になっている。また、同社が全米75都市で開催した「Unbelievable Tour in US」では、24時間以内に発見された新種マルウェア100個と、その亜種100個をCylanceと主要アンチウイルスベンダー3社で解析し、検出率の差を調べた。累計で1万5000ものマルウェアを調べたところ、他の3社がそれぞれ21%、41%、52%という検出率だったのに対し、Cylanceのみが99%の検出率をたたき出したという。
もう1つ強調されたメリットは運用管理の負荷軽減だ。シグネチャを用いないCylanceでは、運用管理の負荷が少なく、クラウド上からの数理モデルを更新するのも約半年に1回のバージョンアップの時のみでよいという。しかも数理モデルはアルゴリズムの改良と誤検知率の削減を目的としたもので、古いバージョンを利用しても検知率の高さはあまり変わらない。そのため、産業機器やIoTのようにバージョンアップが容易ではないデバイスでも効果を発揮するという。
Unbelievable Tour in Japanで実力を見せつける
発表会後にはアジア圏で初めての「Unbelievable Tour in Japan」がCylance Japanの主催、パートナーであるエムオーテックスの共催によって行なわれた。なお、エムオーテックスはCylanceからのOEM供給を受け、LanScope Catに外部攻撃の検知機能を組み込む「プロテクトキャット Powered by Cylance」を展開している。
金城氏やニコラス氏による会社概要、エムオーテックス代表取締役社長 河之口達也氏の挨拶の後、さっそく競合となる4社のアンチウイルス製品とCylanceによるマルウェア検出のデモが行なわれた。最新のパターンファイルに更新した他のアンチウイルス製品は、マルウェアを検出できずに次々と不正なプロセスが実行されてしまう。それを横目に、Cylanceではマルウェアが同じマルウェアが検出され、プロセスが次々と遮断されていく。
CPU使用率の低さや検出のスピードも圧倒的で、「既存のアンチウイルス製品からのリプレース」を目指しているのも納得できる。さらに会場では識者から持ち込まれたマルウェアをリアルタイムに検出するというデモまで披露し、他のアンチウイルス製品が大量のプロセスでリソース不足に陥る中、CylancePROTECTは早々にマルウェアを遮断した。競合同士の検出率の比較を聴衆の目の前で行なうという刺激的な企画ながら、セキュリティ分野での人工知能の可能性を大いに感じさせてくれた。