AI技術をウイルスやランサムウエアの検出に利用する動きが活発になっています。今回は具体的に、AI技術を取り込んだ対策ソフトがどのような仕組みになっているのかを見ていきましょう。

 従来の主な対策技術というと、以下のようなものがあります。

シグネチャベースの検出シグネチャ(パターンファイル)を用いて悪意のあるファイルのハッシュコードなどと検索対象を比較し、安全か危険かを判断
Webレピュテーション悪意のあるURLデータベースを用いて危険なサイトへのアクセスをブロック
ふるまい検知不審な挙動をパターンに基づいて検出しブロック

 これらの技術はいずれも、一つのルールに対して1種類の対象を見つけるもの、または複数種の対象を見つけるのが基本です。ルールに合わないものについては「未知」ということになります。

 シグネチャベースの検出で「未知」としたファイルであっても、実行時にふるまいをみて、それがルールにマッチすれば被害を防げます。このような複数の対策の組み合わせにより、被害を防いでいるのです。しかし、最近は短時間に多量の亜種が発生するマルウエア、ランサムウエアが多い昨今は、「未知」なファイルが多くなる傾向にあります。

 そこでセキュリティ対策製品では、AI関連の技術の中でも、機械学習型検索が重要になっています。機械学習型検索では、人間が作った一定のルールではなく、安全なファイル、安全でないファイルを、機械学習のアルゴリズムで学習して得た特徴を用いて判定します。複数の角度から判定し、その総和を取って判断する統計的なアプローチをとっています。

 機械学習でとらえた一つひとつの特徴は、到底それだけでは確実な判断ができるものではありません。ただ、たくさんの特徴点を検証し、類似点が数多く出てくれば、高い精度の判断につなげられるのです。

機械学習型検索
機械学習型検索
[画像のクリックで拡大表示]

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。