未知の脅威はシグネチャ判定を待ってくれない――Cylanceのアプローチ（2/4 ページ）

教師データが必要なパターン学習では

　Cylanceの機械学習は他のアンチウイルス製品ベンダーが導入する「シンプルな機械学習」ではなく、より人工知能のふるまいに近い複雑さを持つ機械学習または深層学習（ディープラーニング）に分類できるという。

　ここで言う「シンプルな機械学習」は、過去のデータを学習し、それに基づき未来を予測する。課題は、精度の高い未来予測を実現するには、多くのデータ（教師データ）を学習させる必要があること。そして、学習した大量のデータから特定の情報を識別するために、人間があらかじめ定義を設定しなければならないことだ。

　例えば膨大なデータから「ネコ」を識別させるには、「頭の上部に耳が2つ、4本脚、しっぽ」といった特徴をあらかじめ定義しておく必要がある。もっとも、これでは同様の特徴を持った「イヌ」や「トラ」なども「ネコ」として検出されてしまう。

　一方の複雑な機械学習または深層学習で、適切な手法で適切なモデルを適用できれば、機械自らが情報の特徴を見つけて定義したり「概念」の定義を獲得することもできる。これにより、例えば、「ネコ」「トラ」「キツネ」「イヌ」を見たとき「トラはネコっぽいが別の種だろう」「キツネはネコよりもイヌに近いが別の種だろう」といった、人間の脳と似た」判断」ができるようになる。

　CylancePROTECTが行っているのは、まさに後者だという。700万点もの特徴点から数理モデルで「概念」を定義・構築し、それに基づいてプログラムが悪性か良性かを判断する。

　「多くのアンチウイルス製品は基本的に、悪意あるファイルを静的解析してマルウェアを判定するためのシグネチャを作成しているが、その工程の一部を機械学習に託している。シグネチャ作成での人間の負担を緩和するという意味では大変有効だが、シグネチャ判定であることには何ら変わりはない。シグネチャに該当しない未知のマルウェアは、相変わらず通してしまう」と、Cylance Japanの最高技術責任者　乙部幸一朗氏はばっさりと切る。

Cylance Japanの最高技術責任者　乙部 幸一朗氏

Copyright © ITmedia, Inc. All Rights Reserved.