こうした状況の中、日本企業は今後どう対処していけばよいのだろうか。「まずは、未知のランサムウエアにおいても最初の段階からしっかり食い止めることが重要なポイントです。そこで『防御と分析』のためにBlackBerryが提供しているのが、『Protect』と『Optics』という2つのソリューションです」と井上氏は語る。
ProtectはEPP(Endpoint Protection Platform)に位置付けられる製品で、ランサムウエアを予測・検知して自動隔離する役割を担う。最大の特徴はBlackBerryが2018年に買収したサイランスのAI技術を使った予測を行うことで、ランサムウエアの99%以上の高い検知率を実現している点だ。特に、今まで発見されていない未知のタイプや、亜種においても「予想防御」が可能である。事実、米国コロニアル・パイプライン社を襲ったランサムウエアは67カ月(5年7カ月)前の数理モデルで防御できていることが明らかになった。
「AIのエンジンをクラウド上のグリッドコンピューティング環境で動かしており、7億の悪いファイル、3億の良いファイルの合計10億ファイルをディープラーニングによって学習し、これにより作成されたAIモデルをエンドポイントにインストールします。なお、AIモデルは1~2年ごとに更新されます」と井上氏はその仕組みを説明する。
エンドポイントに侵入した未知のファイルをこのAIモデルに照らし合わせて分析することで、安全なファイルか、それとも危険なファイルかを予測するというわけだ。「実際にProtectは、DarkSideランサムウエアを67カ月前の古いAIモデルで予測し、防御してきました」と井上氏は話す。
もちろん、これでもすべての脅威を阻止できるわけではない。そこでProtectをすり抜けてきた脅威に対処するのがOpticsだ。
OpticsはいわゆるEDR(Endpoint Detection and Response)に位置付けられるソリューション。「エンドポイント上の重要なイベントをモニタリングすることで悪意のある振る舞いを『検知』してブロックするほか、脅威の根本原因を『調査』し、デバイスロック機能を使用して端末を直ちに隔離することで『封じ込め』を行います。また、200を超える検知ルールを利用して、Protectですり抜けた脅威を検知することもできます」(井上氏)。
このようにOpticsは、脅威に対して幅広い処理を担うことになるが、Protectによる高い検知力により対処しなければならない脅威が事前に1%以下に抑えこまれているため、システムのパフォーマンスに影響を及ぼさない効率的な運用が可能だという。従来型のアンチウイルスソリューションでは、既知のマルウエアは検知できるが、未知や亜種のマルウエアは検知できない。そのため、EDRを併用した場合の運用負荷が高くなる。BlackBerryでは、マルウエアが感染する前に「脅威を封じ込める」ため、被害が出るリスクは非常に低い点が大きな特徴だ。