セキュリティトピック

機械学習:
高度な脅威検出の新たな領域

デジサートでは、高度な機械学習を使用し、エンドポイントとクラウドを通じて、
ファイル属性、ふるまい、関係性を分析しています。

機械学習

機械学習は、今年最も注目されている技術のトレンドの 1 つで、革新を促進し、企業向けとコンシューマ向け両方の技術分野で話題となっています。サイバーセキュリティ業界では、多くの企業が、何らかの機械学習を導入すると正式に述べていますが、多くの場合、それが何を意味するのか、どのように機能するのか、重要である理由さえも明確ではありません。

このセクションでは、シマンテックの機械学習への投資、その投資によってどのようにしてSymantec Endpoint Protection 14で重要な革新が生まれたかについて詳しく説明します。

 

先週発表された新しいソフトウェアでは、最新の機械学習技術を使用して、競合他社よりも多くの攻撃を阻止し、攻撃者がさらに侵入しにくくなっています。これを実現するために、私たちは多層的な手法、大量のデータ、高度なアルゴリズムと手法、自動化システムを組み合わせて、攻撃者の先を行きます。

 

Web サイトセキュリティ

Symantec Endpoint Protection 14

シマンテックの高度な機械学習センター

機械学習の取り組みは、2014 年に設立されたシマンテックの高度な機械学習センターが主導しました。チームには、現在、20 人以上の専門家が在籍しており、セキュリティと情報管理の課題に対応するために機械学習のアーキテクチャ、アルゴリズム、アプリケーションの研究開発に取り組んでいます。これには、深層学習、確率的プログラミング、強化学習、ノンパラメトリックベイズの最先端の研究が含まれます。 

Symantec Endpoint Protection 14 に関して、グループは Symantec のセキュリティ専門家と協力し、攻撃の 3 つの主な次元を調べるために連携する、一連の機械学習技術を開発しました。 

この 3 つの次元の利点は、相互に補足し合うことです。他の 2 つの次元がもう 1 つの次元の判定の「チェック」として機能するため、各次元が積極的に脅威を阻止できます。

 

攻撃の 3 つの主な次元

3 つの次元は、共同で、ファイルの種類(静的)、そのふるまい(動的)、クラウドを利用してその他のファイル、コンピュータ、および URL との関係性(出所)を分析することで、多層的な脅威評価を提供します。

  • 静的属性: 最初に、ファイル名、関数呼び出し、エントロピーなど、数千個あるファイルの静的な属性を調査します。
  • 動的属性: 次に、プログラムの動的なふるまいを理解するために詳しく調査します。私たちは、数千個のふるまいの組み合わせに注意しています。たとえば、プログラムはネットワークに接続しているか、別のプロセスを起動しているか、レジストリキーにアクセスしているかなどです。
  • 関係性とレピュテーション: 全体像を完成させるため、その他のファイル、コンピュータ、URL とのファイルの関係性を調査し、ファイルの「レピュテーション」を生成します。 「英知を結集」にヒントを得たこのレピュテーション分析は、クラウドで大規模にビッグデータに対して実行され、世界中でたった 1 台または数台のコンピュータで確認されたプログラムが悪質である可能性があるかどうかを理解できます。

ビッグデータ + 予測モデル = スマートな保護

ビッグデータは、機械学習に対するシマンテックのアプローチの中心です。エンドポイント、ネットワーク、およびクラウドのセキュリティの広範囲にわたる導入実績を持つシマンテックには、1 億 7,500 万台以上のエンドポイントから集めた脅威と攻撃のデータがあり、5,700 万台の攻撃センサがリアルタイムで、毎日分刻みで監視されています。言い換えると、数十億のファイルと約 4 兆の関係性を保有しています。この非常に多く、豊富なデータセットを使用して、「良い」、「悪い」、「中間」のファイルに関して分類子システムをトレーニングすることができます。

データは 機械学習の燃料であるため、これは重要です。データはたくさん必要です。所有するデータが増えるほど、正確で効果的な検出技術を構築するときに「さらに先に」進むことができます。また、豊富なデータも必要です。データ入力が多様で、豊富であるほど、隠れている重要な関係性を見つける可能性が高くなります。最終的に、機械学習システムは、トレーニングするときに使用したデータセットの品質、多様性、範囲によってその品質が決まります。シマンテックのシステムは、世界最大規模の民間の脅威インテリジェンスネットワークから恩恵を受けています。

データが燃料だとすると、アルゴリズムは 機械学習のエンジンにあたります。アルゴリズムはデータを受け取り、たとえば、ファイルが悪質かどうかを判断する予測を提供するために使用されるモデルを生成します。アルゴリズムとモデルは今のトレンドであり、新しいものが次から次に現れているため、企業は右往左往しています。秘訣は、手元にあるタスクとデータに正しいアルゴリズムを対応させること、これが機械学習担当者にとって秘密のソースです。

鍵となる手法

私たちが使用している鍵となる手法の 1 つは「アンサンブル」です。これは、「多数のモデルを使用して、そのモデルを適切な方法で組み合わせる」という優れた手法です。可能な限り最良のモデルを得るための鍵であり、 賞金 100 万ドルの Netflix Prizeで使用されたことで有名です。私たちは、たとえ、トレーニング時に正しい予測がどれであるかを知らない場合でも、システムがさまざまなモデルからの予測を組み合わせる最適な方法を学習できる独自のアセンブル手法を使用して、「魔法」を追加します。

もう 1 つの鍵となる手法は、「適応」です。私たちのセキュリティモデルは、攻撃者、ソフトウェアとネットワークの状況の変化、ユーザーのふるまいの変化を追跡できるように絶えず調整する必要があります。従来の機械学習には大きなハードルがあります。Symantec Endpoint Protection では、ブースティングと呼ばれる「メタアルゴリズム」を使用しています。このアルゴリズムは、モデルを繰り返し改良する、つまり、毎回、モデルが以前した間違いに焦点を合わせ、正しかった知識を「忘れる」ことなくその間違いを訂正します。

また、自動化も 機械学習を拡張するうえで不可欠です。私たちは、遠隔測定データの収集、クリーニング、処理から、さまざまなモデルの最適化と調査まで、機械学習プロセス全体の自動化を構築しました。自動化(そして、もちろん、十分なコンピュータの能力)がなければ、「すべての数値を高速処理」して、最適なモデルを生成することはできません。 

最終的にどうなったでしょうか。

簡単に言うと、シマンテックは、エンドポイントセキュリティに利用できる最も高度な機械学習を手に入れました。主要な独立テスト機関(AV-Test)は、最近、Symantec Endpoint Protection 14 をテストしました。その結果、検出とパフォーマンスの領域において最小限の誤検知ですべての競合他社に勝りました。人為的な「スキャン」テストでも、この新しいソフトウェアは、ほぼゼロの誤検知率でほぼ 100% の脅威を検出しました(重要なのは、Symantec Endpoint Protection 14 の誤検知のパフォーマンスは、お客様のポリシー要件に合わせて調整できるということです)。

私たちは、機械学習と人工知能によって実現した脅威検出の新たな領域に胸を躍らせています。正しく使用し、大量の豊富で多様なデータをエンドポイントとクラウドで分析することで、この技術は、攻撃者から身を守る方法を一新する技術となります。

詳細については、 Symantec Endpoint Protection 14 の機械学習の機能と利点に関するオンデマンドウェビナーをご覧ください。新しい製品の詳細については、 こちらをご覧ください。

Web サイト向けセキュリティを今すぐテスト

Symantec CryptoReport

SSL/TLS サーバ証明書のインストール状況をチェックしましょう。

SSL TOOLS で今すぐテスト

脆弱性アセスメント

脆弱性とは潜在的なセキュリティ上の欠陥であり、ここを足掛かりに Web サイトの機能やデータが破壊、ダウンロード、操作される可能性があります。一般的な Web サイトには(単純なブログですら)、潜在的な脆弱性が数多く潜んでいます。

続きを読む

ファイアウォールを使用することの重要さ

重要なファイアウォールによる脆弱性対策

ウイルス対策ソフトウェアは不要なプログラムからファイルシステムを保護しますが、ファイアウォールは何よりもまず、攻撃者や外部の脅威のシステムへの侵入を阻止します。

続きを読む

Instagram アカウントのハッキング

Instagram アカウントのハッキング、アダルト系出会いスパムの拡散に方向転換

詐欺師が Instagram のアカウントをハッキングし、そのプロフィールをいかがわしい画像に変更し、ユーザーをアダルト系出会いスパムやポルノスパムにおびき寄せています。 

続きを読む

使用例

シマンテック・ウェブサイトセキュリティソリューション使用の実例

コミュニティに参加

Symantec Connect でセキュリティに関する議論に参加

COMMUNITY

脅威インテリジェンスについて Twitter @Threatintel をフォロー

SYMANTEC ON TWITTER

YouTube チャンネルでシマンテックウェブサイトセキュリティのビデオを見る

SYMANTEC ON YOUTUBE