機械学習で「99％のマルウェアを防ぐ」、DellのATP技術とは

　2月にリリースされたデータ保護スイート製品「Dell Data Protection｜Endpoint Security Suite Enterprise」について、デル株式会社が4月7日、報道関係者向けに説明会を開催。機械学習により「99％のマルウェアを防ぐ」ことを標榜するATP（Advanced Threat Protection）機能を中心に解説した。

　Dell Data Protection｜Endpoint Security Suite Enterpriseは、マルウェア検知、データ暗号化、認証など、エンドポイントセキュリティの統合ソリューションだ。

　米Dellのダリル・デュワン氏（Data Security Solutions セールスエグゼクティブディレクター）は、「企業は今、さまざまな脅威にさらされている。Dell Data Protection｜Endpoint Security Suite Enterpriseは、必要な機能を1つにまとめ、今までの製品では対応できないような細かいところまで対応している」として、「我々は、最新のテクノロジーを販売から導入、サポートまで一貫して提供するユニークなポジションにある」と語った。

マルウェアを多数の特徴の組み合わせから機械学習により判別

　ATP技術は、買収したCylanceの技術がもとになっている。この技術について、デルの國持重隆氏（クライアントソリューションズ統括本部 Dell Data Protectionマーケティング）と米Dellのマーク清水氏（Dell Security Solutions セールスエンジニア）が解説した。

　國持氏は従来のマルウェア対策ソフトについて、「定義ファイルによる実行前検知（パターンマッチ）では未知のマルウェアに対応できない。それに付随して、サンドボックスなどによる実行後検知（ふるまい検知）の機能も備えているが、PCに負荷がかかる」と主張した。

　ATPは基本的に実行前検知だ。これにより、100ファイルのマルウェアをコピーしてもCPUの負荷がそれほど高くならないというデモを清水氏は見せた。また、パッキング（圧縮・難読化）されてハッシュ値が変わったマルウェアを同じくコピーし、同じように検知されるところもデモされた。

　國持氏は、「定義ファイルではゼロデイや未知の脅威に対応できない」とし、「ATPは定義ファイルに頼らず、機械学習技術で未知のマルウェアにも対応する」と説明した。

　國持氏の説明によると、ATPはソフトについて多数の特徴をチェックし、その要素の組み合わせによってマルウェアを検知するという。個別にはマルウェアとは決められない、「OSの情報を収集する」「インターネットと通信する」「パッキングされている」「自分を隠そうとしている」「レジストリを変更する」といった特徴の組み合わせをチェックし、各要素を重み付けして計算した結果からしきい値により判断する。

　「約600万の要素の組み合わせから、エンドポイントのエージェントがマルウェアかどうか判定する。そのための計算式のようなものは、Dellのサーバーにより大量のサンプルから機械学習で算出され、エンドポイントに配置される。」（國持氏）

日本でのローカルサポートも提供

　販売方法についてデュアン氏は、「セキュリティスペシャリストがグローバルでセールスやサポートにあたる。販売は直接販売またはチャネル販売で、パートナーは厳選して日本では数社から販売する」と語った。

　対象となる企業は中小〜中堅の企業。デル製PCへのインストールや、ソフトウェアのみで販売する。スイートを中心に、データ保護など単体での販売や、単体からスイートへのアップグレードにも対応する。価格のだいたいの目安としては、スイートの1台・1年・サポート込みで187米ドルだという。

　また、日本でもローカルサポートを提供。日本語のカスタマーサポートや、日本語のドキュメント、日本でのユーザーとのコミュニケーションなどに対応する。

　最後にデュアン氏は「デルはあまりセキュリティのイメージがないかもしれないが、“If you think security, think Dell（セキュリティといえばデル）”としたい」と抱負を語った。