AI防御の老舗が提起するセキュリティ対策のアプローチ–BlackBerryの吉本社長
今回は「AI防御の老舗が提起するセキュリティ対策のアプローチ–BlackBerryの吉本社長」についてご紹介します。
関連ワード (CIO/経営、トップインタビュー等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
かつてビジネス向けスマートフォンで知られたBlackBerry(当時の社名はResearch In Motion)は、「iPhone」やAndroidが台頭で縮小したスマートフォンのビジネスに代わり、現在ではサイバーセキュリティと車載システム向け組み込みソフトウェアを主力とする企業に変革している。
2021年から日本法人のBlackBerry Japanで執行役員社長を務める吉本努氏は、同社のサイバーセキュリティビジネスを所管する。そのビジネスについて、「かつてのスマートフォンのイメージもあり、現在のBlackBerryがサイバーセキュリティ企業であることをなかなか知っていただけなかった」と話す。
BlackBerryは、サイバーセキュリティ企業への変革を目指す中で、2019年にCylanceを買収した。そのセキュリティソリューションの展開において、一度はCylanceのブランドが消えてしまったものの、2022年にブランドを復活させ、現在は「BlackBerry Cylance」としてサイバーセキュリティのビジネスを強化している状況だ。
旧Cylanceは、マルウェア特有の構造や挙動といったデータを機械学習することで、定義ファイルに依存することなく高精度にマルウェアを検知、防御するAI技術で知られ、「次世代ウイルス対策」(NGAV)と呼ばれるセキュリティ製品カテゴリーの有力ベンダーの1社だった。吉本氏によれば、第三者評価機関のTolly Groupが2023年3月に公表したNGAV製品の性能評価で、オンラインおよびオフライン環境でのマルウェア検出率が98.9%(VirusTotalでの直近のマルウェアサンプル1000件を用いたWindows 10環境での性能試験)を記録。Cylance時代から定評あるマルウェア検出率の高さや、エンドポイントのリソース負荷の小ささといった特徴は、今なお健在だという。
NGAVは、サイバー攻撃の高度化や巧妙化が進み、定義ファイル型のウイルス対策では防御が難しくなったことにより登場した。ただ、セキュリティ市場においては、NGAVが注目を集めるよりも先にEDR(エンドポイント型脅威検知および対応)が台頭した。近年では多くのセキュリティベンダーがEDRや、ネットワーク型のNDR、EDRやNDRを統合した拡張型のXDR、EDRやNDR、XDRの運用を専門企業が代行するマネージドサービス(MDR)を提供している。
吉本氏は、「エンドポイントの防御(EPP)だけでは高度化する脅威の侵入を防ぎ切れず、侵入を前提にして脅威に対応する重要性が叫ばれたことで、EDRへの関心が高まったとも言える。しかしEDRは、脅威をきめ細かく監視することから、アラートが大量に発生してセキュリティ担当者が確認に追われるなど運用がとても難しいという課題を抱えている」と指摘する。
このためBlackBerryは、Cylance時代から実績のあるAI型EPPの「Cylance PROTECT」をベースとして、EDRの「Cylance OPTICS」、ゼロトラストネットワークアクセス(ZTNA)サービスの「Cylance GATEWAY」、マネージド型XDRの「Cylance GUARD」などをラインアップする。吉本氏によれば、単一のコンソールから顧客が必要に応じてこれらのセキュリティ機能を組み合わせられるシンプルさを特徴付け、セキュリティ運用の負荷が少ないソリューションとして訴求している。
「AIを活用した実績のあるEPPで脅威をできるだけ防御する。当然ながらEPPの防御をすり抜ける脅威も存在するので、2022年にEPPにEDRの機能を拡張する方向で製品開発を行ってきた。膨大なアラートへの対応には、Cylance GUARDで顧客の負荷を軽減する。EDRでも対応が難しい正規プロセスを悪用するC2(コマンド&コントロール)サーバーとマルウェアの通信の検知や遮断などにはCylance GATEWAYで対処する。これらをシングルプラットフォームで運用できる」(吉本氏)
セキュリティ運用の負荷を下げるためにCylanceの頃から、まずAIでアラート全体の90%を自動処理し、残る10%についてユーザーごとにフィルタリングを設定して対応を省力化し、セキュリティアナリストが分析すべきアラートを1%未満に、最終的に顧客側で判断しなければならないアラートを0.1%の水準にまで絞り込むアプローチを採用してきたとのことだ。
「過剰なアラートを削減するには、一般的に検知ルール自体を減らす方法が採られるが、それでは脅威の見逃す弊害を伴う。BlackBerry Cylanceでは、検知ルールを削減せずフィルタリングルールを追加することで、アラートが膨大でも適正に処理し、検知精度を維持しながら過剰な検知を減らしている。実際に顧客が対応するアラートの割合は全体の0.05%、2000件中1件といったイメージになる」(吉本氏)
現在のセキュリティソリューションのトレンドは、EDRやXDR、あるいはZTNAを含む「ゼロトラスト」モデルのセキュアアクセスサービスエッジ(SASE)やセキュリティサービスエッジ(SSE)などだ。それぞれのカテゴリーで既に高い認知度や豊富な導入実績を誇るベンダーがいる。BlackBerry Cylanceも参入しているが、吉本氏は「われわれは最後発とも言えるポジションで、個別に見れば競合の方が優れている機能もある」と認める。
それでも、「定評あるAIのEPPがあり、そこで脅威をブロックする。EPPで難しい部分にEDRやXDR、ZTNAなどを組み合わせられる。市場トレンドとはやや異なるアプローチかもしれないが、負荷の少ない適切なセキュリティ運用にとって必要なアプローチになると考える」(吉本氏)という。
BlackBerryは、Cylanceで獲得したAI技術を組み込みソフトウェアの「QNX」にも応用し、例えば、デバイスの状態を学習して正常な稼働の維持につなげるソリューションを実現しているという。セキュリティソリューションでもAIを応用したデータ漏えい防止(DLP)機能を追加し、Cylance時代からのインストールベースを生かした脅威インテリジェンスサービスも新たに国内展開を本格的に始めた。吉本氏は、「最近では従業員500人以下の顧客からもEPPとXDRによる導入相談をいただくケースが多い。2023年は、BlackBerry Cylanceならではのソリューションを特に中規模~中小規模の顧客に訴求していく」と話す。
「スマートフォンのBlackBerry」とのイメージは既に過ぎ去り、実績あるAIのセキュリティベンダーとしての新しい姿を市場の認知につなげられるかが今後の挑戦になるようだ。