FAQ
Q. Deep Instinctはどういう会社ですか?
A. 世界で初そして唯一のディープラーニングを活用した予防型のセキュリティソフトウェアを開発・提供している会社です。2015年にイスラエルのテルアビブで創業し、現在は米国ニューヨークにグローバルヘッドクオーターを置いています。パソコンメーカーなどへのアンチウイルスエンジンのOEM提供などで実績を上げたのち、現在は自社製品である「Deep Instinct」をグローバルで販売・提供しております。
Q. どういう製品を提供されていますか?
A. Deep Instinctはディープラーニングによる予測防御を実現したファイル分類エンジン技術をコアに、大きく3つの製品を提供しています。エンドポイント製品のDeep Instinct Prevention for Endpoints(DPE)、エージェントレス型のスキャンエンジン製品であるDeep Instinct Prevention for Applications(DPA)、そしてストレージ環境向け製品のDeep Instinct Prevention for Storage(DPS)です。DPEは予防にフォーカスしたエンドポイント製品であり、主にEPPそして一部EDRの機能を提供しています。DPAはコンテナ上で動作するソフトウェアベースのファイルスキャンエンジンで、さまざまなNW製品やアプリケーションとAPI連携させることで大容量のファイルをスキャンさせることが可能です。DPSはNAS環境向けのファイルスキャン製品で現在はNetAppとDell EMCという2つのNASメーカー製品に対応しています。
Q. ディープラーニングをどのように製品に活用しているのですか?
A. ディープインスティンクト はコンピューター上での脅威を予防するため、エンドツーエンド深層学習を活用することでさまざまなデータから脅威の特徴を自動的に学習し、予測できるプログラムを開発しています。TensorflowやPyTorch、Kerasといった一般的なオープンソースのフレームワークではなく、自社開発をしたサイバーセキュリティ専用のディープラーニングフレームワークを活用し、主にファイルやスクリプトといったサイバー攻撃に使われるコンピューター上のデータに対して学習を行い、それらを予測分類できるモデルを生成しています。このモデルを製品内に搭載することで、ファイルやスクリプトなどを静的解析のスキャンによって悪性かどうか即座に自律判定できる予防型のセキュリティソフトウェアを提供しています。
Q. 機械学習とディープラーニングの違いはなんですか?
A. 機械学習と比較して、ディープラーニングの違いを一言でいうと特徴学習の部分になります。従来の機械学習では人間の専門家が学習対象のデータに対して前処理を行い、学習に適切と思われる特徴量を設計・抽出した上でシステムに学習させる必要がありました。そのため、学習対象のデータのうちほとんどが無視されることになり、精度や学習対象が制限されるなどの課題がありました。それに対して、深層学習の場合にはAI自身が人間の手を借りることなく自分で特徴を捉えて最適な学習を行なっていきます。それによって、機械学習よりも検知率が高く、誤検知が少ない、高精度のモデルが生成可能となります。また機械学習よりも高度な分類モデル(マルウェアの種別予測モデル)が作成できたり、人間を手伝いを必要とすることなく新しいデータ種別(ファイルタイプ)に対するモデルが作成できるといった様々なメリットがあります。
Q. Deep Instinctのエンドポイント製品DPEはEDRではないのですか?
A. Deep Instinctのメインの機能はディープラーニングによって作成されたモデルBrainによるファイルのスキャン(静的解析)となっており、この機能は従来のアンチウイルス/EPP製品に相当する領域になります。ただし、これらに加えてEDRでも検知できないような高度な脅威をも防御できる振る舞い検知(動的解析)機能、そしてイベント分析、被疑端末のNW隔離などを行う機能も搭載しているため、EPPに加えて簡易的なEDR機能を搭載したエンドポイント製品と言えます。あくまで製品としては感染予防にフォーカスしており、人手を介することなく、感染前に脅威を自動的に防御することをベースに設計しているため、感染を前提とした検知&対処にフォーカスをしたEDRとは製品の目的が異なります。ひと言で言えばDeep Instinctは従来のEPPやEDRでは検知すらできないような未知のマルウェアの感染をも予防する、業界最高レベルの防御力を誇る新しいエンドポイント製品です。
Q.未知や新種のマルウェアに対応できるのはなぜですか?
A. たしかに学習で使われているのは過去に確認されたマルウェアがメインですが、それ以外にも自社で作成したマルウェアや亜種化されたものなどを使って、ディープラーニングによる高度な学習が行われています。マルウェアというものは種類が違ったとしても、そもそもの存在目的が、端末内に潜伏をする・横展開をする・データを盗む/破壊する・外部へのバックドアを作るといったある種共通したものになりますので、これらのコードの特徴を学習によって捉えることができれば、予測して判定ができます。人間のマルウェア解析を行う脅威リサーチャーの専門家が、全く新しい未知のマルウェアであっても見つけることができるのと同じ理由です。実際にメディアなどで日々報道されているランサムウェアやスパイウェアのほぼすべてをBrainは予測によって初見でブロックしています。
Q. ファイルレスマルウェアにも対応できますか?
A. 対応しています。ファイルレスマルウェアというのは、主にスクリプトなどをメインに構成され、マルウェア本体のペイロードファイル(PEファイル)を見せないマルウェアを指しますが、そのようなマルウェアの場合でも最初にやってくるドロッパーにはWordやExcel、PDFなどのドキュメントファイルが使われます。弊社製品はこれらのドキュメントファイルにもBrainによるファイルスキャンが可能で検知・予防が可能です。また仮にドロッパーファイルがすり抜けた場合でも、パワーシェルやメモリ上での悪性コード実行などをモデルや振る舞い検知機能によって多段でスキャンして防御可能ですので、他社のNGAV/EDRよりも優れた防御が可能となっています。
Q. 毎日のパターンファイル更新やフルスキャンのような作業は必要ないのですか?
A. ファイルスキャンエンジンであるBrainは年1-2回だけのアップデートとなっております。フルスキャンについても端末にインストールしたとき最初の1回だけになります(初回のフルスキャンはスキップすることもできます)ので、それ以降はフルスキャンは行わず、新しくやってきたファイルだけがスキャンされます。
Q. オフライン状態になるとセキュリティレベルは変わりますか?
A. 弊社製品に搭載されている静的解析ファイルスキャンエンジン(Brain)や動的解析による振る舞い検知はすべてエンドポイント上で自律的に動作しているため、インターネット接続がないオフラインの状態でもセキュリティレベルを落とすことなく防御し続けます。従来型のアンチウイルスやEDRなどの製品は検知動作についてもクラウドに大きく依存しているため、クラウドへの接続が一時的にでもできなくなることで、アップデート取得・クラウド問い合わせ・イベント分析や監視ができなくなり、セキュリティレベルが低下することが懸念されています。
Q. パソコン内のデータやファイルも自動的に学習されるのでしょうか?
A. 弊社製品で使われているファイルスキャンエンジンのBrainは、弊社の開発ラボの中で自社で用意したトレーニングデータセットだけを使って学習・作成されています。お客様の端末上で動作するD-brainはあくまでファイルのスコアリングをするだけの計算ソフトのようなもので、端末上のファイルデータを使った自己学習やクラウドへの自動送信などは一切行ないません。
Q. 誤検知などはないのでしょうか?
A. セキュリティ製品ですので、誤検知はゼロではありません。Brainは、マルウェアと同じ構造上の特徴があるファイルを自動的に検知しますので、業務上必要なファイルであっても検知されることはあり得ます。しかしながら、ディープラーニングによって作られたモデルBrainは高精度のファイルスキャンエンジンとなっており、日本国内でも数多くのお客様で防御モード(検知したファイルを自動隔離するモード)でお使いいただいていますが、特に大きな問題もなく日々の運用を行なっていただています。仮に誤検知が発生した場合でも、管理コンソール上で許可リスト/除外設定の登録が可能ですので、お客様の方で即座に対応していただけるようになっています。
Q.エンドポイント製品(DPE)でサポートしているOSは何ですか?
A.こちらに記載しているOSをサポートしています(2024年4月現在)
| OS 種別 | バージョン |
|---|---|
Windows | Windows 8.1, 10, 11 Windows Server 2012, 2012 R2, 2016, 2019, 2022 (ARM版 Windowsは未サポート) |
Mac | macOS Sonoma (version 14) macOS Ventura (version 13) macOS Monterey (version 12) macOS Big Sur (version 11) macOS Catalina (10.15.7) |
Linux | SUSE 15.1, 15.2,15.3,15.4 SUSE 12.4, 12.5 AWS Linux 2023 AWS Linux 2 kernel 4.14.x Oracle Linux 7.9 CentOS 7.9 RHEL Server 7.6, 7.7, 7.8, 7.9. RHEL Server 8.0, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6 Ubuntu 20.04 - including GNOME desktop environment |
Android | Android 9.0 以上 |
Chrome OS | Chrome 87.0 以上 |
Q. 管理サーバは必要ですか?
A. Deep Instinctの管理サーバはクラウド上でSaaSベースで提供されておりますので、お客様自身でサーバを立てていただく必要はありません。管理者はWebベースの管理コンソールにログインしていただくと管理対象のデバイスのポリシーやイベントをすべて集中管理できるようになっていますので、海外拠点や支社やリモートなどさまざまな環境に分散した端末であってもすべてコンソールから一元的に管理できます。
Q. インターネット接続は必須ですか?
A. 製品自体はすべてクラウド上の管理コンソールを使って、導入・設定・運用していただく設計となっておりますので基本的にはクラウド接続が必須になります。ただし、Brainによるファイルスキャンをはじめとして防御動作は自律してローカルデバイス上で行われ、クラウド接続に依存することなく未知の脅威に対する防御が可能で、導入後はオフラインでも動作します。またお客様のデバイス上からは基本的に検知したイベント情報だけがクラウドに送信されますので、端末のデータが多くクラウドに送信されるEDRのような製品と比べて、プライバシーの観点からも優れたアーキテクチャになっています。
Q. 端末からの通信にはどのポート番号を使用しますか?プロキシー経由でも利用可能ですか?
A. エンドポイント端末からクラウド管理コンソールへの通信にはTCP 443(HTTPS)を使用します。SSL復号などの製品を導入されている環境の場合にはうまく通信ができないケースがありますので、あらかじめ弊社クラウドサービスのドメイン名で除外設定などを行っていただく必要があります。またクラウドコンソールへの接続はプロキシー経由でも可能です。
Q. SIEMや外部システムとログ連携できますか?
A. 可能です。クラウド管理コンソールであるD-applianceからはSyslogベースで外部システムにログを送信できます。Syslog以外にもメールやRest-APIベースでのアラート連携が可能です。