シマンテックは2017年6月15日、同社のセキュリティ製品/サービスにおける機械学習やAI技術の活用に関する説明会を開催した。未知の攻撃がネットワークやシステムに残した兆候の早期発見などに生かせる一方で、偽のデータで誤学習させる攻撃の標的にもなり得るという。
説明会には、米Symantecのアジアパシフィック地域/日本担当サイバーセキュリティ戦略マネージャーのNick Savvides氏がビデオ会議で参加。Savvides氏は「(一般的な)機械学習が物体認識技術とすれば、AIは車の自動運転」と定義した上で、同社にとってAIと呼べるのは「戦力の増強につながる」技術だとした。
同社は2000年代の半ばから、データをさまざまな機械学習モデルに投入し、未知の脅威や正常なユーザー行動、ネットワークやシステムの異常検知に役立てている。中でも攻撃を受けて侵害された兆候(IoC:Indicator of Compromise)を見つけ出す作業では、機械学習によるデータ処理の自動化によって「未知の兆候を発見したり、セキュリティ技術者が兆候を見つけ出したりするまでの時間を短縮する効果を上げている」(Savvides氏)という。
ただし機械学習による検知システムは、「セキュリティ攻撃の対象になり得る」とSavvides氏は話す。攻撃者は、ソフトウエアの脆弱性を見つける作業と同様に、セキュリティ企業が利用する機械学習モデルを推定して分析を試みる。狙い目はデータの学習部だ。偽のデータを学習対象に紛れ込ませることで、機械学習による検知システムの目を成功させたい攻撃からそらそうとする。
現時点では、同社が目指すセキュリティAIの実現には至っていないという。業界最大手の顧客数を生かした大量データを背景に、「向こう5年間にAIと呼ぶにふさわしいものに進化させていく」(Savvides氏)とした。「AIのサイバーセキュリティへの応用を計画中だ。『明日あなたが狙われる』と事前に予測したい」とし、攻撃を予測する能力の獲得が理想のAIだとする見方を示した。
