よくある質問(FAQ)

CylancePROTECTについて

CylancePROTECTとはどういう製品ですか?

CylancePROTECTはAI(人工知能)がマルウェアのファイル構造を学習し、そこから生成されたデータモデル(数理モデル)に照らし合わせて、新しいファイルがマルウェアかどうかを判定するという新しいタイプのエンドポイント防御製品になります。従来のアンチウイルスのように定義ファイルを使わず、また振る舞いベースとも異なります。データモデルでのファイルの静的分析というアプローチにより、端末上で脅威が実行される前に防御し、マルウェア感染を未然に防ぎます。

製品の特徴やメリットを教えてください

一番の特徴は高いマルウェアの検知率になります。特に従来のセキュリティ製品では対応が難しい、新種や亜種などまだ世の中で確認されていない未知マルウェアに対しても99%以上の検知率を誇っています。また、従来型のアンチウイルス製品と比較して、動作が軽く、パターンファイルの更新や定常的なフルスキャンが必要ないというメリットがあります。

CylancePROTECTはEDRではないのですか?

CylancePROTECTは従来のアンチウィルス製品と同じEPP (Endpoint Protection Platform)というカテゴリーの製品になり、マルウェアの感染などを未然に防ぐことにフォーカスをしています。これに対してEDR (Endpoint Detection and Response)というカテゴリーの製品は、感染動作をはじめたマルウェアなどの脅威を検知して対処することにフォーカスをしており、あくまでEPPの使用を前提としています。弊社ではEDR機能はCylanceOPTICSというオプションで提供しています。ここ最近ではEPPをすり抜けるマルウェアが増えたことにより、EDRへの注目が集まっていますが、まずは可能な限り感染自体を防ぐことが重要であり、その上で必要に応じてEDRを効果的に活用すべきと考えます。

どのような仕組みで動作するのですか?

Cylanceでは機械学習と呼ばれる技術を使いマルウェアを判定できるデータモデル(数理モデル)を作成しています。現在のところ、機械学習の中でも教師あり学習というアプローチをメインで使っており、これまで弊社が収集した大量のファイルデータ (約10億個)をデータセットとして利用しています。それらのファイルデータから特徴量(約600-700万)を抽出し、その特徴を元にデータを数値化し、システムに学習させることで、データモデルを作成しています。データモデルは言い換えると計算式の集合体のようなもので、これにファイルデータを入力するとスコアを計算し、そのスコアでどれだけマルウェアに構造が近いかを判定することができます。お客様の端末にインストールされるCylancePROTECTにはこのデータモデルが搭載されており、このモデルを使ってマルウェアの検知・防御を行います。

マルウェア検知はどのようなタイミングで行われますか?

CylancePROTECTは実行前検知というユニークなアプローチを採用しています。具体的にはバイナリの実行命令をフックして、実行前に静的解析(数理モデルによるスコア判定)を行うことで効果的かつ高い精度でマルウェアを検知します。例えばエンドポイントに届くファイルのみをチェックするスキャンでは、暗号ZIPファイルや分割したファイルの場合には中身を検査することができませんが、実行前検知では実行される直前のファイル実体を解析しますので、より効果的に検知ができます。また実行前検知に加えて、バックグラウンドで新しくやってきたファイルを能動的にスキャンしたり、マニュアルで特定のフォルダをスキャンするような従来型のファイルスキャンにも対応しています。

従来のアンチウイルスのような日々の定義ファイルアップデートやフルスキャンは必要ないのですか?

データモデルについては半年から1年に一度の頻度でアップデートしております。データモデルによるファイルへの判定は何度行なってもその結果が変わりませんので、これまでのアンチウイルスのように毎日のフルスキャンは必要ありません。

世の中で実際に確認されているマルウェアは検知・防御できていますか?

WannaCryに代表されるランサムウェアをはじめとして、トロイの木馬、ワームなどこれまで世の中で報道されている数多くのマルウェアも、データモデルにより予測して、実際に防御しております。最新のマルウェアへの対応など詳しくは弊社ブログをご覧ください。

誤検知が多いのではないですか?

これまで試験などで弊社が確認している誤検知率は0.0001%と非常に低くなっています。AIによるファイルの学習では悪性ファイル(マルウェア)だけでなく、良性ファイルも教師データとして使っており、検知精度を高めております。また振る舞いベースで検知するタイプの製品と異なり、ファイルの構造に注目して判定をしているため、同じファイルやアプリケーションでも環境や使い方や頻度によって検知結果が変わるということはありません。

誤検知やすり抜けが発生した場合にはどうなりますか?

お客様自身で管理コンソール上から、特定のファイルに対するホワイトリストやブラックリストの設定が可能になっておりますので、即座に対応することが可能です。また、お客様から報告されたものについては次回のデータモデルの学習にて対応が行われますが、データモデルの更新をまたずに製品に修正アップデートを行う仕組みもあります。

どのOSプラットフォームに対応していますか?

現在Windows、Mac、Linuxに対応しております。詳しいシステム要件についてはこちらをご覧ください。

サーバ環境でも利用できますか?

利用可能です。Windows ServerやLinuxサーバなど、ファイルサーバー上でもご利用いただけます。また仮想環境でも利用可能です。

管理サーバは必要ないと聞きましたが?

CylancePROTECTの管理コンソールはクラウドサービスとして提供されており、管理者はWebブラウザを使って管理コンソールにアクセスできるようになっています。お客様環境に個別の管理サーバーを立てていただく必要はありません。

インターネット接続がないクローズドな環境でも利用できますか?

CylancePROTECTに搭載されているデータモデルはインターネット接続がなくともローカルで判定ができますので、インターネット接続がないクローズドな環境でもご利用いただけます。但し、直接のインターネット接続がない端末に対してはクラウド上の管理コンソールによる管理ができなくなりますので、そのような端末環境向けにはCylanceHYBRIDおよびCylanceON-PREMという管理製品をご用意しております。

CylanceHYBRIDとは何ですか?

Cylance専用のプロキシ製品です。CylancePROTECTおよびCylanceOPTICSを導入したい端末が、直接インターネット接続をもっていない(または接続させたくない)環境においても、CylanceHYBRIDを設置することで、端末はそちらを経由してクラウド管理コンソールへの接続が可能になります。設定管理などの操作は通常の管理コンソールを通して行うことができます。CylanceHYBRIDは仮想アプライアンスとして提供されています(無償オプション)。

CylanceON-PREMとは何ですか?

Cylance専用のオンプレミス管理製品です。CylancePROTECTを導入したい端末が、インターネット接続をもっていない完全にクローズドな環境においても、CylanceON-PREMを設置することでそちらの専用コンソールから一元的な設定管理を行うことができます。CylanceON-PREMは仮想アプライアンスとして提供されています(有償オプション)。

製品を試してみたいのですが評価版ライセンスなどはありますか?

製品の基本機能を試用できるトライアルライセンスをご用意しています。詳細については販売パートナーの問い合わせ窓口までお問い合わせください。

現在他社のアンチウイルス製品を使っていますが、置き換え可能ですか?

可能です。弊社製品はマイクロソフトの認定アンチウイルス製品にもなっております。アンチウイルス製品の主目的はマルウェアからコンピュータを保護することであり、その観点で弊社CylancePROTECTは他の既存製品よりも高いレベルでのセキュリティを実現できます。

他社のアンチウイルス製品と同居は可能ですか?

可能です。CylancePROTECTは他社アンチウイルスとも共存可能ですので、既存の環境に追加で導入することもできます。

マクロやスクリプト型のウイルスには対応していないと聞きましたが?

CylancePROTECTのメイン機能であるデータモデルによるマルウェア防御は現状PEファイル(実行可形ファイル)を対象としておりますので、ダウンローダーと呼ばれるマクロやスクリプト自体はこの機能では検知しません。しかしながらこのようなダウンローダーから落とされるマルウェアの本体(ペイロード)を検知・ブロックすることで感染を防ぎます。また、このようなマクロやスクリプト自体を止めたり、ファイルレスマルウェアと呼ばれるような本体ファイルを伴わない高度なマルウェアを止めたりしたいという場合には、メモリ防御やスクリプト制御といった機能で対応しています。

ファイルレスマルウェアに対応できないと聞きましたが?

対応しています。ファイルレスマルウェアというのは、マルウェア本体として実質的にファイルを伴わない高度な攻撃を指し、有名なものとしてはCode RedやSQL Slammer、最近のものではまたマイクロソフトのPowerShellを悪用するPoweliksなどが挙げられます。作成や展開に高度な知識が要求されるため、出回っている種類や数は多くはないですが、ファイルをベースにしているアンチウイルスでは検知できない場合が多いです。CylancePROTECTの場合にはメモリ防御やスクリプト制御といった機能でファイルレスマルウェアを阻止しています(ちなみに他のメーカーではマルウェア本体ファイルをドロップするスクリプトやPowershellコードだけを持ったDropperも含めて「ファイルレスマルウェア」と呼んでいるケースがありますがこれは適切ではありません)。

攻撃者側もAIを使ってきた場合に優位性がなくなるのではないですか?

既にAIを活用した製品に対するデータポイゾニングなどの攻撃や、Adversarial Machine Learningのように攻撃者側もAIを活用するのではないかという話があります。我々のデータサイエンティストの部隊ではこのような攻撃に対しても耐えうるような製品の開発と強化を進めております。ひとつ言えることは、攻撃者側がAIを活用してきたときに対抗できるのはAIだけであり、人手に頼った既存のセキュリティ製品では今以上に対応が困難になると言えるでしょう。

他の大手メーカーにすぐに追いつかれるのではないですか?

機械学習はマルウェア対策の主要技術として既に注目を集めており、多くの企業が研究や開発を行っています。たしかに弊社よりも歴史が長く規模も大きいセキュリティメーカーはありますが、人工知能や機械学習の分野においては、開発の歴史、データサイエンティストなどの優秀な人材、数多くの特許出願中のコア技術、その他多くの部分で、弊社は他メーカーに対する大きな優位性を持っていると考えます。

製品の導入実績について教えてください

2018年1月現在、グローバルで6000社以上、1450万台以上(OEMを含む)のエンドポイントでの導入実績があります。日本国内での導入事例についてはこちらをご覧ください。

CylanceOPTICSについて

CylanceOPTICSとはどのような機能ですか?

CylanceOPTICSはCylancePROTECTに追加された新しいEDR機能になります。具体的には脅威の侵入経路を調査する機能や、隠れた脅威をハンティングする機能、感染が疑われる端末を即座に封じ込めする機能など、SOC運用の中で活用できる有用なツールを提供しています。

CylanceOPTICS単体での購入・利用はできますか?

できません。CylanceOPTICSはCylancePROTECTの追加機能になりますので、単体での購入や利用はできません。

CylanceOPTICSの特徴やメリットを教えてください

CylanceOPTICSはエンドポイント上のイベント情報を収集して、その情報を元に侵入経路原因分析、アクティブな脅威の探索、振る舞いからの動的な脅威検知、感染被疑端末の封じ込め等の機能を提供するEDR機能となります。クラウドを利用しながらもデータを分散保存する構成をとっており、ネットワークや端末への負荷が軽いのが特徴です。またCylancePROTECTと共通の管理コンソールから設定管理が可能となっており、検知率の高いCylancePROTECTと組み合わせることで、より一層レベルの高いセキュリティ運用を可能にします。

CylanceOPTICSはどのOSプラットフォームに対応していますか?

現在Windows、Macに対応しております。詳しいシステム要件についてはこちらをご覧ください。

コンサルティングサービスについて

Cylanceコンサルティングではどのようなサービスが提供されていますか?

侵害調査をはじめとして、侵入テストや脆弱性診断などを行うレッドチーム、Cylance製品の導入や運用支援を行うThreatZERO™などのサービスを提供しています。

Cylanceコンサルティングは他社のサービスと比べてどこが優れていますか?

Cylanceのコンサルティングチームは業界トップクラスの経験豊富なエキスパート集団によって構成されています。またCylancePROTECTを中心に、AIをベースとした技術やツールを多く活用しており、他社のセキュリティサービスよりも効果的かつ迅速な対処を実現しています。サービスはグローバルで提供しており、米連邦政府人事管理局(OPM)のケースでもその効果が実証されています。

侵害調査とはどんなサービスですか?

侵害調査サービスとは、侵害を受けた疑いがあるお客様の環境において診断を行ったり、実際に脅威が発見された場合にはその封じ込め、そして復旧から安全運用状態への移行までを支援するサービスです。侵害された疑いがあるケース以外にも、今のセキュリティ対策の効果測定やヘルスチェックを行いたい企業にもおすすめです。

ThreatZEROとはどんなサービスですか?

ThreatZEROとはCylance製品の導入および運用を支援するサービスです。製品導入から運用に至るまでに必要となる技術支援、脅威解析、トレーニングなどをまとめて提供しており、お客様環境において脅威ゼロの状態を目指すことを最終目標としています。

Cylance製品を購入していないと、コンサルティングサービスは利用できませんか?

いいえ、Cylanceコンサルティングサービスは製品をご購入いただいていないお客様でもご利用いただけます(ThreatZERO™を含む一部のサービスはCylance製品の導入を目的/前提としたサービスとなっています)。

その他

OEMでの技術提供などは行われていますか?

Cylanceはグローバルで様々な企業にOEMという形で技術提供および協業を行なっております。詳しくは米国本社WebサイトのOEMパートナー(英語)をご覧ください。

家庭向けの製品はありますか?

米国では既にCylance Smart AntiVirus™(英語)を発表しており、既存の法人顧客の社員向け限定での先行リリースをしています。将来的には一般家庭向けに幅広く販売する予定ですが、日本国内での具体的な販売開始時期についてはまだ未定です。