拓海先生、最近部下が『プロセス単位で見るとマルウェア検出が良くなる』という論文を持ってきまして。正直、私にはピンと来ないのですが、要するに今のやり方は古いという話なのでしょうか。
素晴らしい着眼点ですね!大丈夫、順を追って説明しますよ。結論を先に言うと、これまでの『端末(マシン)全体を見る』手法より、『個々のプロセスを見る』手法の方が、現実的な環境では検出精度が高い可能性があるんです。
なるほど。それは投資対効果の観点で言うと、端末丸ごと隔離する必要が減るということですか。これって要するにプロセスを狙い撃ちにできるということ?
その通りです。大きくまとめると三点です。1つ、端末全体を止めずに感染プロセスだけを止められる。2つ、実際の業務で常に動いているバックグラウンドアプリがある中でも精度が保てる。3つ、モデル設計においてプロセス単位の時系列情報が有効に働く。大丈夫、一緒にやれば必ずできますよ。
ただ、うちの現場は古いソフトもたくさん動いています。現場導入は現実的に難しくないですか。誤検知が増えたら現場が混乱しますよね。
いい質問です。説明を三点で整理します。まず、研究は複数の端末が稼働する仮想ネットワークで、業務系のバックグラウンドプロセスを同時に動かしながら評価しています。次に、従来のマシンレベル(Machine-Level, ML?)での検出は、バックグラウンドアプリがあると精度が大きく落ちることを示しました。最後に、プロセスレベル(Process-Level)で時系列を扱うRNN(Recurrent Neural Network, RNN, 循環ニューラルネットワーク)ベースのモデルは誤検知率を低く保ちながら検出率を改善しました。
なるほど、要するに現場で複数のアプリが動いていても、プロセス単位で見れば誤検知を抑えられると。現場に近い設計だということですね。
そのとおりです。経営判断で押さえるべきポイントは三つだけです。1つ、運用コストとして『端末丸ごと隔離』が減る可能性。2つ、検知精度が実運用に近い条件で評価されていること。3つ、プロセス情報を取得する仕組みを導入すれば既存の端末運用と共存できることです。
技術的な話をもう少し平たく教えてください。RNNというのは、どうしてプロセスの時系列に合うのですか。
良い質問です。簡単に言うと、プロセスの振る舞いは時間の流れの中で特徴が出るため、過去の挙動を踏まえて今を判断するRNNが適しているのです。例えるなら、職人の工程を一工程ずつ見るか、工程の流れ全体を見て不良を判断するかの違いです。
分かりました。では最後に私の言葉でまとめますと、『現場で複数の通常プロセスが動く状況でも、プロセス単位の時系列解析を使えばマルウェアを高精度に見つけられ、端末を止めずに対処できる』ということですね。これなら現場導入のメリットが分かります。
