AIの予測モデルで攻撃を「未然に」防ぐ価値を強調、家庭向けやIoT領域への展開拡大も語る

サイランスCEO、セキュリティ業界の「不安の経済」を批判

2017年12月05日 07時00分更新

文● 大塚昭彦／TECH.ASCII.jp

　2012年の設立後、急成長を遂げ、現在ではグローバルで6000社以上の顧客、1000万以上のエンドポイントデバイスを防御する米サイランス（Cylance）。11月28日、来日した同社会長兼CEOのスチュアート・マクルアー氏が記者会見に出席した。

米サイランス会長兼CEOのスチュアート・マクルアー（Stuart McClure）氏

　サイランスが提供するセキュリティ製品の特徴は、AI／機械学習技術を用いた予測により「攻撃を未然に防ぐ」ことにある。最近では他のセキュリティベンダーも“AI活用”をうたい始めているが、マクルアー氏はそれらとサイランスの方向性やAI活用レベルの違い、さらにIoT領域など今後考えられるAIセキュリティの未来像について語った。

「“いけにえの子羊”はもう必要ない」攻撃を未然に防ぐ価値を強調

　サイランスでは現在、エンタープライズ向けエンドポイントセキュリティ製品「CylancePROTECT」を始め、そこにSOC向けの事後対策（EDR）機能を追加した「CylancePROTECT with OPTICS」、そして顧客企業での導入最適化やレッドチーム演習などを支援する「Cylance Consulting」を提供している。

サイランスの製品ラインアップ

　サイランスが躍進してきた背景には、攻撃を「未然に」防ぐことができる同社製品の優位性があり、その根幹をなすのがAIによる予測技術だと、マクルアー氏は説明する。機械学習によって過去の攻撃（たとえばマルウェアファイル）から一定のパターン（特徴）を発見し、その数学的なモデル（数式）を生成／利用することで、同じ特徴を持つ未知の（将来的に発生しうる）攻撃をも予防する。これが同社セキュリティの基本コンセプトだ。

　現在、10億個を超える教師データを学習し、260万個の静的特徴点からマルウェアを判断するCylancePROTECTは、第三者機関（NSS Labs、2017年）の評価で防御率（検知率）99.7％、誤検知率0.0001％を記録している。

サイランスの手法と、サイランスが取らない手法

　マクルアー氏は、従来型のセキュリティ製品には「根本的な不備がある」ことを指摘する。それは、数学的モデルではなくシグネチャを基本としているため「常に『過去』を参照する」ことになり、新しい（未知の）攻撃を発見するには「“いけにえの子羊”を必要とする」からだ。

　ここで言う“いけにえの子羊”とは、未知の攻撃によって最初に被害を受けるエンドポイントのことだ。被害の発生によって攻撃が明るみとなり、シグネチャの更新が行われるが、結局その対策は「最初の被害者が出てから」となってしまう。これがヒューリスティクスエンジン、サンドボックスといった技術に進化しても、最初の“いけにえ”が必要であることに変わりはない。AIによる数学モデルの活用によって、ようやくこうした“いけにえ”が一切必要ない「真の意味での『予防』段階へと入った」と、マクルアー氏は説明する。

「いけにえの子羊はもういらない」

　加えてマクルアー氏は、これまでのサイバーセキュリティ業界が取ってきたビジネスモデルについても強く批判した。

　「現在のサイバーセキュリティ業界は『不安の経済』で成り立っている。より多くのサイバー攻撃が行われ、それが成功すると、顧客はセキュリティの価値がさらに高まったと感じる。よく考えるとこれはクレイジーなことだ。すでに何らかのセキュリティを実装しており、それが攻撃を防御できなかったというのに、さらなる投資をそこに行うという話だからだ。そのため、サイバーセキュリティ会社には『攻撃を未然に防ぐ』ことへのインセンティブが存在しない」

　つまり、セキュリティ業界は“いけにえの子羊”が発生する（または発生「させる」）ことでビジネス価値を高めている、という批判だ。サイランスでは「攻撃を未然に防ぐ」製品を提供し、その価値を顧客にも理解してもらうことで、こうした悪循環を断ち切っていく――マクルアー氏はそう宣言した。

サイランスが提供するビジネス価値

まだまだ成長するAIセキュリティ、今後はIoT領域にも拡大を計画

　最近では、他のセキュリティベンダーでも「AI活用」をうたうアンチマルウェア製品が増えてきた。だがマクルアー氏の私見によると、そう主張するベンダーの95％は「真の意味でAI活用」はできておらず、単なるマーケティングメッセージだという。また、AI活用できている残り5％も「まだAI活用の第1段階」であり、サイランスが優位性を持つと主張する。

　進化段階の違いを、マクルアー氏は5段階に分けて説明した。サンプルデータの数、AIで認識する特徴点の数、さらに学習や予測判定をどこで（クラウド上かローカルか）行うかといった違いによって分類したものだ。サイランス自身は数億のサンプル、数百万以上の特徴点に基づき予測するため「第3段階」だという。「究極的に進化すると、やがて『なぜそれを攻撃だと判断したのか』という理由もAI自身が説明できるようになるはずだ」とマクルアー氏は語る。

セキュリティ製品におけるAI活用を5段階で説明した

　またマクルアー氏は、「サイランスでは創業以来、すべてのユーザー、あらゆるコンピューター、あらゆるデバイスを防御することをミッションに掲げている」と述べ、エンタープライズ領域以外にも、AIセキュリティの適用を拡大していく戦略だと説明した。

　具体的にはまず、今年8月から米国で提供を開始したコンシューマー向けのエンドポイントセキュリティ製品（HOME EDITION）がある。搭載するAIエンジンは法人向け製品と同じで（ファイルレスマルウェアには非対応）、よりシンプルな使い勝手を実現しており、日本を含む他国でも2018年内には提供を開始すると述べた。

　もうひとつ、IoT領域にもAIセキュリティを適用していく方針で研究開発を進めていることも明らかにした。PCとは異なり、大半のIoTデバイスは搭載するリソースが少なく、デバイスにエージェントをインストールすることは困難だ。そこで、デバイス間やチップ間を流れる電気信号や周波数などを監視／学習し、そこで得たモデルをベースに異常動作を検知するアプローチも検討していると語った。この技術は、すでにラボレベルでは実証済みであり、今後製品化していく方針だという。

　最後にマクルアー氏は、「AIはサイバーセキュリティだけでなく、ヘルスケアからサプライチェーン効率化、O2Oマーケティングまで、幅広い領域の課題解決を実現しうる。サイランスとしても、取り組む課題をサイバーセキュリティだけに限定しているわけではない」と語った。その真意について、セキュリティ以外の分野にもビジネス展開するつもりはあるのかと尋ねたところ、「現段階では『非常に関心がある』とだけ答えておくよ」と笑うだけだった。

■関連サイト