未知の脅威はシグネチャ判定を待ってくれない――Cylanceのアプローチ（1/4 ページ）

AI技術はある種のブームのように注目されているが、その実装の違いを意識したことはあるか。過去の実績を学ぶモデルと自律的に学習するモデルではどんな違いがあるのか。

[谷崎朋子，キーマンズネット]

　自ら分析モデルを最適化するAIを強みとするCylance。学習データ量とその予測トレンドの中で脅威に対策する他のアンチウイルス製品の実装との違いを「実証」したという。

激増するマルウェアへの対策で採用が進む機械学習

　アンチウイルス製品業界でいま、「AI」論争が巻き起こっている。2017年2月14日、Cylanceとエムオーテックスは共同記者発表を開催した。米Cylanceの技術部門バイスプレジデントの来日に合わせて、Cylanceを中心に巻き起こる「AI」論争について、見解を述べるためだ。

　Cylanceの「CylancePROTECT」は、機械学習を用いたエンドポイント向けマルウェア対策製品。億単位のマルウェア検体や正規プログラムを静的解析し、700万点を超える特徴点を抽出、そこから数理モデルを生成してマルウェアや正規ファイルを判定する。数理モデルを生成するまでの一連のプロセスを人工知能（AI）の基礎技術の1つである機械学習で行っているのが、同社の大きな差別化ポイントだ。

　同製品を取り扱う国内の代理店は増えており、中でも国内で初めて同社とOEM契約を締結をしたエムオーテックスは、米国に拠点を置く100％子会社Interfocus TechnologiesでもOEM契約を結ぶなど積極的だ。同社はネットワークセキュリティ統合管理ツール「LanScope Cat」の外部脅威対策機能としてCylancePROTECTを採用、2016年7月25日にリリースしている。

　エムオーテックスでは、CylancePROTECTについて、シグネチャ情報の更新不要なため、運用管理者の負担を軽減でき、クローズドな環境でも有効に機能する点を高く評価しているという。

　機械学習をマルウェア検知に組み込むアンチウイルス製品ベンダーはここ数年で急増した。マルウェアの新種や亜種が秒単位で誕生し、特定の企業のみを対象にあつらえられたユニークなマルウェアも登場するなど、従来の方法では検知が難しくなったこと。加えて、「こうした「ビッグデータ」を定量的に分析するには人間の手だけでは厳しく、その一方で知識や技術力を有するセキュリティの専門家が不足している。これら課題を解決するのが機械学習だ」とCylanceの技術部門バイスプレジデント、ロン・タルウォーカー氏は述べる。

　だが、方向性を同じくしているはずのCylanceに対し、アンチウイルス業界の風当たりは強い。理由の1つは、同社が他のアンチウイルス製品ベンダーの機械学習における取り組みとの「違い」を大きく打ち出しているからだ。

Cylance 技術部門バイスプレジデント ロン・タルウォーカー氏。1年前まではインテルセキュリティ（旧マカフィー）で製品マネジメントおよび開発を統括していた