全1481文字
PR

 2020年もAI(人工知能)が重要なキーワードとして様々な分野でもてはやされるだろう。ITセキュリティーも例外ではない。「AI搭載」をうたうセキュリティー製品が多数市場に出ており、今後も増えそうだ。

 AIにより可能になるとされている機能の1つが、未知ウイルスの検出だ。昔ながらの手法である「パターンマッチング」では、既知ウイルスは検出できても、新たに出現したウイルスは検出できない。パターンマッチングは過去に出現したウイルスの特徴と検査対象ファイルを照合して、ウイルスかどうかを判断するためだ。

 だが、AIによる検出機能が進化してもパターンマッチングにはかなわないと筆者はみている。未知ウイルスの検出には「フォールスポジティブ」の問題がつきまとうからだ。

既知ウイルスの特徴と照合

 パターンマッチングは最も基本的な検出方法だ。ベンダーは既知ウイルスのプログラムの中から特徴的なパターンを抜き出してパターンファイルを作成する。そのパターンファイルと検査対象ファイルを照合して、検査対象ファイルに既知ウイルスが含まれていないかどうか調べる。

 パターンマッチングではパターンファイルに含まれるウイルスしか検出できない。このため2000年ごろまで、ベンダー各社はウイルス対策ソフトのパッケージに「○万種類のウイルスに対応!」とうたい、その数を競った。

 だが2002~2003年ごろになるとうたい文句が変わってきた。パターンファイルを必要としない検出方法が出現したからだ。実行した場合の振る舞いやプログラムの構造によって、ウイルスかどうかを判断する方法である。この検出方法は振る舞い検出やヒューリスティック検知などと呼ばれる。

 ただし、パターンマッチングにも振る舞い検出にもウイルスを適切に検出できないケースがある。既知ウイルスの情報を使うパターンマッチングの場合、新種ウイルスは検出できない。つまり、ウイルス陽性(ポジティブ)のファイルを陰性(ネガティブ)だと間違える「フォールスネガティブ」が発生する。だが、ウイルスではないファイル(ネガティブ)をウイルス(ポジティブ)だと間違える「フォールスポジティブ」が発生する可能性は低い。

 一方振る舞い検出は、プログラムの振る舞いで判断するので正規のファイルをウイルスと判定する恐れがある。フォールスポジティブが発生する可能性があるのだ。

 フォールスポジティブとフォールスネガティブのどちらがより問題かというと前者だろう。振る舞い検出は実装にかかわらず、フォールスポジティブとフォールスネガティブが原理的にトレードオフの関係にある。未知ウイルスの検出率を高めるために検出ルールを厳しくすれば、誤検出しやすくなる。

 時を戻そう。猫もしゃくしも「AIセキュリティー」を唱え始めた昨今、その効用として未知ウイルスの検出を挙げるケースは少なくない。だが前述のように、未知ウイルスの検出技術は以前から存在する。もちろん、実現する技術は異なるのだろうが、素人から見ると違いは全く分からない。また、従来の技術より飛躍的に向上しているとしてもフォールスポジティブは避けられない。このためチューニングによって検出ルールは緩くされるだろう。

 言っておくが、AIセキュリティーを否定するのが目的ではない。言いたいのは「AIを使っています」といったうたい文句を闇雲にありがたがらないでほしいということと、未知ウイルスの検出は難しいということだ。「ウイルス対策ソフトは万全ではない」――。この20年間、筆者が数え切れないほど書いたフレーズの1つである。

勝村 幸博(かつむら・ゆきひろ)
勝村 幸博(かつむら・ゆきひろ) 1997年日経BP入社。主にセキュリティーやインターネット技術に関する記事を執筆。ITpro(現日経クロステック)、日経パソコン、日経コンピュータなどを経て、現在は日経NETWORK編集長。