「機械学習」を使ったAIセキュリティ製品が注目する “3つの挙動”：幅広いマルウェアの挙動を検知

AI（人工知能）技術のうち、特に機械学習をセキュリティ製品に実装する取り組みが進んでいる。本稿では、機械学習ベースのセキュリティ製品の仕組みと、製品選定時の注意点を説明する。

[Nick Cavalancia，TechTarget]

　「機械学習」をはじめとする「AI」（人工知能）技術は、セキュリティベンダーが製品の差異化のためによく使用しているキーワードだ。セキュリティ製品におけるAI技術、特に機械学習は、企業のセキュリティチームがマルウェアなどの脅威を特定する方法として、実際に利用している。

　新しいマルウェア、古いマルウェアの亜種などの攻撃手法の数が大幅に増加したことが、セキュリティにおける機械学習の必要性が高まった理由の一つだ。機械学習を実装したセキュリティ製品は、あらゆる種類の脅威を短時間で検出、識別、処理、修復する機能を備えている。「脅威が見つかったらIT部門に連絡して対処を依頼する」という従来の考え方とは全く異なる。

　セキュリティ製品に機械学習を利用する価値は、あらゆる形態の脅威を可能な限り前もって発見できる能力にある。非常に多様な脅威に対して、機械学習はどのように機能するのだろうか。その答えは、一言でいえば「挙動への着目」だ。

併せて読みたいお薦め記事

AIを活用したセキュリティ製品の特性

• 「AIセキュリティ製品」を万能だと思ってはいけない、これだけの理由
• 「AI」（人工知能）はなぜセキュリティツールに必要なのか？
• 「AIセキュリティツール」はいつ、どのように使えば有効？　活用例を紹介

攻撃者もAIを悪用する

• 「AIサイバー攻撃」とは何か？　Twitterの悪用を例に解説
• AIを悪用したサイバー攻撃が登場、対抗策の「機械学習アルゴリズム」に脚光

不審な挙動を検出するのに機械学習が有効

　これまでのマルウェア対策の主流は「パターンマッチング」だった。まずエンドポイントで、新しいプログラムを検出する。次にシグネチャベースのパターンマッチングにより、そのプログラムがマルウェアかどうかを判断し、マルウェアであれば削除する。この手法を出発点として、マルウェア対策が製品分野として成立した。

　今日のサイバー犯罪者は、検出を回避するために、セキュリティ製品の先回りをして「挙動を変化させる方法」を模索している。これに対して、機械学習を用いたセキュリティ製品で多くの挙動を監視するのは有効だ。

　機械学習ベースのセキュリティ製品は、以下の挙動を検知するのに役立つ。

1．エンドポイントの挙動

　マルウェアを使った攻撃では、攻撃者はマルウェアをエンドポイントで実行させなければならない。ファイルへの書き込み（メモリへの直接的な書き込みを除く）、プロセスの起動、リソースへのアクセスが必要なためだ。これらのどの挙動も、「Microsoft Word」やWebブラウザといった正規アプリケーションの典型的な挙動とは異なる特徴を見せるため、発見の手掛かりになる。

　ファイルにアクセスしないタイプの攻撃によって、正常なプロセスが危険にさらされた場合、機械学習ベースのセキュリティ製品は、メモ帳が子プロセスを起動するなどの異常な動作を検出する。

2．ネットワークの挙動

　ネットワークのトラフィックは予測困難だ。エンドポイントの通信では、一般にWebサイトや他のエンドポイントと同じポートを介して通信し、同じ暗号化技術を使用してデータを送受信する。機械学習ベースのセキュリティ製品は、攻撃用サーバであるコマンド＆コントロール（C＆C）サーバや通常とは異なるポートの使用、異常な量のデータの転送、暗号化の使用増加などを攻撃の挙動として検出する。

3．エンドユーザーの挙動