10月12日(水)に「丸の内フロンティア」が開催されました。

今回のテーマは『マシンラーニングが解決する次世代セキュリティ』。

ここ数年、マルウェアの脅威が深刻化する中、情報漏えい等の被害は後を絶たず、その被害は、世界中に広がっています。地球上の全ての人やモノがネットを通じて繋がる世界において、如何に自社や自社の顧客、価値ある情報を守って行けばよいのか?セキュリティの最新トレンドについて、事例を交えてお話いただきました。

今回は、Splunk Services Japanカントリーマネージャーの纐纈 昌嗣さん、サイランス ジャパン社長の金城 盛弘さん、サイランス セールスエンジニアマネージャーの井上 高範さん、そして、モデレーターに三菱総合研究所 経営コンサルティング事業本部経営戦略グループ研究員の松田 信之さんをお招きし、『マシンラーニングが解決する次世代セキュリティ』について、お話いただきました。
本日はそのイベントの様子についてレポートいたします。

【今回のトピック】
■会社紹介:サイランス社の紹介
■会社紹介:Splunk Services Japan の紹介
■セキュリティの最新トレンドと、海外と日本の考え方の違い
■マシンラーニングによるセキュリティの特徴/一般的なアンチウイルスと次世代型人工知能を活用したセキュリティの違い
■IoT時代の新たなマルウェアの脅威とセキュリティ
■質疑応答

・会社紹介
まずは、金城さんから会社紹介をしていただきました。

img_8369

私どものサイランス ジャパンは、2012年、アメリカのアーバインというところで元マカフィーのCTOとチーフサイエンティストとで創業しました。パターンマッチングによる技術ではその検知精度に限界があり、新種のマルウェアは防げないと考えた創業者は人工知能を用い、ディープラーニングによる数理モデルのロジックを構築し、革新的なテクノロジーを発明しました。

特徴は幾つかありますが、一番顕著なのが、シグネチャが不要でさらに検知率が圧倒的に高いこと(99.7%-AV Test-第三者検査機関データより)、CPUやメモリなどのリソースの利用が最小なこと、またインターネットに繋がない(または繋げない)環境においても利用することができるという点が革新的な特徴点です。

次は、Splunk Services Japanの纐纈さんに会社紹介をしていただきました。

img_8404

Splunk Services Japanの本社はサンフランシスコにあります。社員数は、世界で2100人です。売上は600,000,000US$のソフトウエアの会社です。
Splunkはマシンデータを活用することでセキュリティの解析も可能とする製品を扱っております。セキュリティの解析では、システム、ネットワークなど、数ペタバイトくらいのログデータの解析ができることが大きな特徴です。この他には、システムの運用管理に加えて、IoT、ドミノ・ピザなどのオンラインクーポンのリアルタイム解析など、マーケティングの分野でも多岐にわたりお使いいただいております。

会社紹介が終わったところで本題へ。ここからは、サイランス社、セールスエンジニアマネージャーの井上さん、モデレーターの三菱総合研究所の松田さんにも加わっていただき、『マシンラーニングが解決する次世代セキュリティ』をテーマにパネルディスカッションを行いました。以下、セッション内容のサマリーです。

・一つ目のトピックは「セキュリティの最新トレンドと、海外と日本の考え方の違い」についてです。

昨今、サイバー事件は個人の「いたずら」レベルから、国家機密事項の漏洩規模に大きく推移してきています。
アメリカの国家公務員の約2000万人の情報漏洩や富山大学の放射性物質情報への不正侵入など、記憶に新しいところです。
もちろん一般企業も同様です。例えば、CEO宛のメールにマルウェアを送り込み、サイバー犯罪者がCEOになりすまし、CFOに送金指示を出させるように仕向けるビジネスメールコンプロミス(ビジネスメール詐欺)という犯罪手法や、マルウェアを送り込み、シンプルにオンラインバンクのパスワードを盗むケースもあります。サイバー犯罪の手法は様々ですが、いずれも金銭奪取を目的にした犯罪が日常的に起きています。

海外では、このような犯罪に対応するべく、「セキュリティは経営レベルの課題」と考える企業が多く、最悪のシナリオで対策を講じています。日本の場合、もちろん企業にもよりますが、プロの視点から見るとセキュリティの対策について、10個の扉のうち1、2箇所のみセキュリティ対策をしている程度の企業も多く、セキュリティ強化は今後の課題だと見受けられます。その原因としては、セキュリティへの投資の価値を上層部がきちんと判断できていないことが挙げられます。

セキュリティへの投資はコストとして考える場合が多いのですが、本来は投資だといえます。攻撃の精度は日進月歩ですので、投資しない限り侵入される可能性は加速します。そこで、セキュリティレベルを高めるためにはトップマネジメントの判断と決断が必要です。まずは経営層がセキュリティは投資だという意識を持つこと、そして次に社内の機密情報の査定をきちんとすることが出発点になります。

・二つ目のトピックは「マシンラーニングによるセキュリティの特徴/一般的なアンチウイルスと次世代型人工知能を活用したセキュリティの違い」についてです。

一般的なアンチウイルスソフトは、脅威に対して愚直にシグネチャを作成し、そのシグネチャによって脅威を排除するので、新種のウイルスはもとより、多少姿を変えただけで「同一の脅威」と認識できず、つまり阻止することはできません。また日々新しく生まれるマルウェアの数は膨大なため、シグネチャ自体が追いつかないというのが悩ましいポイントです。

そこで、最新のセキュリティ対策として、人工知能を利用したアンチウイルスが生まれました。過去の膨大なデータを人工知能が学習し、ディープラーニングにより1ファイルにつき600万という特徴点抽出を行い、ファイル毎のスコアをベースにマルウェアを判定して処理します。これにより、既知のウイルス、亜種のウイルス、未知のウイルスに対しても予測型で脅威か否かを判定し、検知することができる革新的なセキュリティ対策です。

人間の過去の行動を見ても今の行動はわかりません。今、異常な行動が起きた場合、過去のログから洗い出して調べる必要があります。マルウェアの場合も同じく、システムやユーザーの異常な行動によって出てくる、新たなデータに対して、どのような対応をとるかということを、マシンラーニングを用いることで過去の情報を調べることができます。

この他、セキュリティインシデントが起きた際、サーバーの稼働時間が上がる、といった結果で見せることもできます。例えば、サーバーの稼働時間が上がっていると、ビジネスのトランザクションが落ち、直接的なビジネスインパクトが落ちている、というように可視化することができます。セキュリティの重要性をここでご理解いただけたかと思います。

・三つ目のトピックは「セキュリティとIoT、マルウェアの脅威」についてです。

最近、アメリカの銀行では不正送金対策にもマシンラーニングを用いたセキュリティが活用されています。今まで使わなかった口座への送金が増えたときのパターンを検知し、その場合、不正送金が起きているかもしれないということを知ることができます。この他、電力会社のスマートメーターでは機械故障への予知対策、アメリカ空軍の戦闘機では、部品の制作時期から故障の傾向分析をすることにもマシンラーニングが使われています。

先日、世界中の監視カメラのおよそ14万台が乗っ取られ、今までで最大規模のDos攻撃がありました。監視カメラのログイン情報が初期の設定とほとんど変わっていないところを利用されたケースです。この他、車のライトパネルコントローラやパソコンのカメラ、Jeepのハッキングなど、セキュリティにまつわる犯罪や脅威はわたしたちの身近なところまで来ています。犯罪や脅威には、マシンラーニングや人工知能(AI)を利用して対応するしかないかと思います。

セキュリティ対策に重要なのは、迅速に脅威から守っていくことです。まずは脅威の検知に有効なAIを用いたアンチウイルスで脅威を「予測防御」すること、そして万が一、セキュリティインシデントが起きたとき、被害を最小限に食い止めるための意思決定支援のためのSIEMツールもご検討ください。

img_8487

登壇してくださった皆さま、ご参加くださった皆さま、誠にありがとうございました。

 

—————— ここから先はセッションメモ ——————

【Q&A】
Q.セキュリティの価値は、将来的に10分の1になりますか?
A.セキュリティの高いものは、それなりに研究して開発して更に継続的に精度を高めてお客様に提供しているので安価ではありません。先ほど説明させていただきましたように、セキュリティ対策は、コストではなく投資としてお考えいただくことで、価値の基準も変わってくるかと思います。また、昔と今では市場価値も変わってきているため、将来的に10分の1になる可能性はあります。重要なのは企業様で守るべきものにプライオリティーをつけ、優先度が高い順に「今」対応を始めることです。

Q.誤検知を減らす対策は?
A.従来のマルウェア対策というのは、悪いファイルに焦点を当てて学習していました。弊社では正規のファイルも悪意のあるファイルも両方AIに学習させることにより偽陽性を減らす効果があると考えています。

Q.日本の企業が取り組むべきセキュリティ対策とは?
A.日本には未だに自社の状況を可視化できてない企業が多くいらっしゃいます。例えば、感染しているのかどうかがわからないといったケースも多数あります。まずは検知率の高い革新的なアンチウイルスを導入されることをお勧めします。そして更にSIEMを利用し異常な挙動をモニターし、そしてどこに不正なアクセスがあったかを可視化することが重要です。危機意識を持ち、現状を把握するところからはじまります。