数億のプログラムを学習したAIが危険を判断

Cylance社のVP Product Marketingを務めるBryan Gale氏はCylancePROTECTについて、「サイバー攻撃の内容に関する知識やシグネチャがなくても、マルウェアを防御できる」と語る。前述の通り、パターンファイル（シグネチャ）やふるまい検知を必要とせずにマルウェアを検知できる独自の方式を採用しているためだ。

では、実際にどのようにして防御するのか。CylancePROTECTの検出エンジンのアルゴリズムは次のようなものだ。

CylancePROTECTの検出エンジンのアルゴリズム

Cylance社は独自開発した検出エンジンに、機械学習技術によって、安全なファイルと危険なファイルの“見分け方”を学習させているという。これまでに数億個のプログラム（正常なファイルも含む）を収集し、そこから約700万の特徴点を抽出。その特徴点から統計的なモデルを作成し、検出エンジンに搭載している。

Gale氏はこの特徴点を「ファイルのDNA」と呼ぶ。正しいファイル、悪意のあるファイルが“どのようなDNAを持っているのか”を理解していれば、たとえマルウェアが怪しい挙動を示していない段階でも、それを“クロ”と判断できるというわけだ。なお、このエンジンによってファイルの特徴を調べ、危険・安全を判断するのに要する時間は「数ミリ秒」。Gale氏によればCPUの使用率は1～3％程度と、非常に軽く動作するのも特徴だ。

その、未知のマルウェアを検知するイメージを花の写真の見分け方に例えて示したのが下の図表だ。

従来型製品とCylancePROTECTの未知のマルウェア検知のイメージ

従来型のウィルス対策製品は、バラやひまわり、あじさいといった花の写真の一部をパターンとして持ち、これと合致したものを選り分ける。そのため、同じバラ、ひまわり、あじさいの写真でも、花びらの色や背景が違えば、同種の写真だとは判断できない（図表の上側）。

一方、CylancePROTECTの場合は、バラ、ひまわり、あじさいの属性（特徴）を検出エンジンが理解したうえで、「属性を類推して判断する」イメージだ。つまり、“バラなら円形度と花びらの比率がどの程度で、色相はこう。ひまわりなら・・・”といった特徴に当てはまるものを見つけ出すことができる。