本記事は、 Microsoft Malware Protection Center のブログ “Antivirus evolved” (2017 年 5 月 8 日 米国時間公開) を翻訳したものです。
「ウイルス対策なんて時代遅れなテクノロジだ」と言う人もいます。そもそも “ウイルス対策” とはどういう意味でしょうか? マイクロソフトにとってウイルス対策とは、お客様の “デバイスを悪意のあるプログラムによる感染から守る製品” を表す最も一般的な用語です。“ウイルス対策” と言うことは、(私自身のような) 南部出身者が炭酸飲料を “コーラ” と呼ぶことと似ています。もしくは英国出身である私のパートナーが、掃除機をかける時に家を “フーバーする” と表現することと同じです。
“ウイルス対策” という用語が持つ本来の意味合いはなくなりました。それがもはやウイルスだけを指すものではなく、それ以外のことも含んでいることは誰もが知っています。ウイルス対策を開発するときの本来的なメソッドである、分析したマルウェアを基に人間がシグネチャを記述するというお客様保護の伝統的な手法は、事実上、使用されていません。
名前が示すもの
Windows Defender ウイルス対策 (英語情報) は、その名前が伝統的に暗示しているものを超えたソリューションです。10 億以上のお客様を保護し、毎日 900 億以上の潜在的に悪意のある事象との遭遇を評価し判定する場合、従来のウイルス対策ではまったく対応できません。本日、それらの機能の多くを説明する新しいホワイト ペーパーを公開しました。このブログ記事ではその概要を紹介します。
マイクロソフトは、お客様を保護する上で特有の立場にいます。Windows Defender チームには、キル チェーン全体に関する深い知識、つまりマルウェア、感染経路、およびアクターとその動機さえも把握している業界のベテランが多く在籍しています。そのほかにも、マイクロソフトには基盤的なコアを成すデータ サイエンティストと機械学習のエキスパートがいます。彼らは社内のあらゆるところに存在します。Microsoft Research はもちろんですが、例えば Office や Bing や ファミリー セーフティなどのチームを確認すると、最低でも数人、もしくは大勢のデータ サイエンティストが近くにいることが分かります。データ サイエンスはマイクロソフトの DNA の中核をなし、それは当然 Windows Defender チームに及び、そこではお客様を保護するために機械学習を進化させています。
機械学習、行動分析、およびその他の進化
Windows Defender ウイルス対策は、ローカル クライアント上およびクラウド保護システム内に機械学習モデルを保持しています。クライアント上では、高パフォーマンスで主に線形のモデルを使用してマルウェアを検出します。
マルウェアの 97% はクライアントによってローカルで検出されていますが、疑わしいシグナルやファイルに関する追加のデータはクラウド保護システムに送信されます。ヒューリスティックによる検出、行動分析、およびクライアント ベースの機械学習モデルの組み合わせにより、潜在的な脅威を特定し、強力な計算能力を活用するためにそれらをクラウド保護システムへ送信します。最も集約的な機械学習モデルは、クラウド保護システムの中に存在します。これらのモデルでは、クライアント上では効率的に実行することができない機械学習モデルに対して、莫大な計算能力を割り当てることができます。Deep Neural Network のようなさらに集約的なモデルに加えて、高速な線形モデルもあります。しかし、これらのモデルを数百個同時に実行し、判定を数ミリ秒単位で報告するためには、1 台のコンピューターには課すことができないような相当な計算力が必要です。
機械学習はバズワードとしてウイルス対策コミュニティでは大きな反響を呼ぶトピックとなりました。ここで私の見解を明確にしたいと思います。機械学習は、お客様を保護するために必要な多くのツールのうちの 1 つにすぎません。優れた職人は複数のツールを活用し、作品を完成させるためにどのツールをいつ選ぶべきかを理解しています。今回のケースでは、完成させる作品は「お客様保護」です。
マイクロソフトでは、専門家の知見を増強するために、従来のウイルス対策の効率および明確さと、行動分析、ヒューリスティック、および機械学習を使用する自動化されたインテリジェンス ベースの機能の両方を活用できる贅沢が許されています。
ほとんどの場合、お客様が遭遇するマルウェアのうち 30 ~ 40% はエコシステム内で 1 回以上確認されているマルウェアと関連があります。このような種類の脅威は、効率的なクライアント ベースのシグネチャの重要な対象です。その他の遭遇、そして実際には明確な攻撃やシグナルのうち 96% は、初めて確認された脅威です。これらは、行動分析、機械学習モデルまたはその他のメソドロジを使用する、進化型のインテリジェントな機能の対象として最優先されます。
前述のとおり、お客様が遭遇する脅威のほとんどはクライアントで検出されています。しかし、最も強力で集約的なルールのいくつかはクラウド保護システム内で実行されています。つまり追加の 3% の脅威は、集約的な処理力によりクライアントのパフォーマンスに影響を与えない方法で検出されているのです。私たちは、クラウド保護システムに力仕事を任せています。クラウド保護システムは、Microsoft Intelligent Security Graph (ISG) (英語情報) にも接続されています。Microsoft Intelligent Security Graph は、エンドポイント、コンシューマー サービス、商業サービスおよびオンプレミス テクノロジからの入力によって構成される数十億ものソースから発せられる何兆ものシグナルを受け取っています。これらすべての要素により、マイクロソフトは、保護策を他にはない固有のものとし、(多くの場合新しい脅威を暗示する) 異常を特定するという、特有の立場に位置付けられるのです。
この保護ツールを擁する膨大なフレームワークが、効率的に人間の専門知見を増強すること可能にしています。マイクロソフトは、手動で調査した 1 つの悪意のあるシグナルごとに、追加で 4,500 個の脅威と 12,000 名のお客様 (平均値) 向けに保護策を提供しています。つまり、手動で調査した 0.2% の脅威で、検出された脅威の 99.98% に対応しており、とても妥当な比率と言えます。
図 1: Windows Defender ウイルス対策 は次世代のテクノロジを使用して悪意のあるシグナルを処理します
保護スタックの内容
言うまでもなく、Windows Defender ウイルス対策はマルウェアやその他の種類の脅威に対抗する主要コンポーネントの 1 つにすぎません。Windows 10 には、Windows Defender ウイルス対策を補完する多くのセキュリティ機能が含まれています。つい最近、Windows Defender のブランド ファミリーに Windows Defender Advanced Threat Protection (Windows Defender ATP) が加わりました。Windows Defender ATP は、第 1 の防御を突破する可能性のある高度な攻撃を検出し、対応する手助けをします。これらの機能の組み合わせにより、セキュアで完全な機能を持ったソリューションが提供され、今日のモダンな脅威ランドスケープとお客様から要求されるセキュリティ プロファイルの実現を可能にします。
図 2: Windows Security Protection スタックは、従来型およびモダンなテクノロジを融合させてサイバー セキュリティの脅威をブロックします
詳細については、新しく公開されたホワイトペーパー “マルウェア対策の進化” を参照してください。
Holly Stewart MMPC