セキュリティのクラウドソーシング

インターネットがもたらすおいしい恩恵について考えるのは、おもしろいが、時間の無駄かもしれない。おいしかった記憶をまとめ上げるころには、さらにまた同じくらいのおいしい情報が目の前に現れるだろう。しかし、インターネットの「ベストヒット」でありながら、その重要性と価値から絶対に見落とすべきでないインターネットの特別な概念がある。その深く検討するに値する概念とは、クラウドソーシングだ。

細かいことはいくらでもあるが、ここでは触れない。上記のウィキペディアのリンク（ちなみに、ウィキペディアもクラウドソーシングのプロジェクトだ）または検索エンジンで探してほしい。では、簡単にその考え方をみてみよう。

Web では、世界中の人々の力をまたたく間に結集して、困難な課題などを解決することができる。その成果は、無数かつ大容量の通信経路やコンピューターに支えられた集合知だ。技術的には、コンピューターの計算能力を分担して割り当てるようなものだ。たとえば、1990 年代の終わりごろの SETI@Home という非営利プロジェクトを私はよく覚えている。夜間の使われていないコンピューターをたくさんつなげて、地球外知的文明が発する無線信号を探すプロジェクトだが、今も続いていて、120 万人が参加し、合計の処理速度は1.6 ペタフロップスに達する。

驚くかもしれないが、クラウドソーシングネットワークは生活のあらゆる分野で利用されるようになっていくだろう。セキュリティも例外ではない。最近の事例として、Duqu の構造を解明するために、また、暗号化された Gauss のペイロードの謎を解明するために行われた世界的なブレインストーミングがある（ちなみに、前者については darkreading.com にて好評いただいた）。ただし、これらは稼働中のクラウドソーシングの最も良い例というわけではないが…

最も良い例は、我々（Kaspersky Lab）が毎日12 万 5000 件ものマルウェアをうまく処理していること（昨年の 7 万件から増加）かもしれない。もちろんロボットやその他の自動化テクノロジーとデータフロー分析も貢献しているが、この処理件数を実現している最も重要な要素は、ユーザーから提供される統計情報だ。そう、皆さんからの情報なのだ！このセキュリティシステムは、「背中を掻いてくれますか、私はあなたの背中を掻いてあげますから」という助け合いのようなものだ。ユーザーは我々を助け、同時にユーザー同士でも助け合う。世界中のサイバー犯罪、特に未知の脅威を未然に防ぐための、これは壮大なジャムセッションなのだ。そして、参加表明した人は皆、匿名で自らの意思で助け合っているが、コンピューターのパフォーマンスには何も影響しない！

この協力関係がどのようなものかを説明しよう。

このクラウドソーシングテクノロジーのインフラは、我々のクラウドベースの KSN(Kaspersky Security Network) サービスだ。カスペルスキー インターネット セキュリティのインストール時に KSN へ参加する機能を有効にすることができるし、いつでも［設定］から有効化/無効化を変更できる。では、KSN のクラウドソーシングがどのように機能しているか見てみよう。

あるソフトウェア開発者がインターネット上にプログラムをアップロードしたとしよう。そのプログラムに興味を持ったユーザーはダウンロードを開始してインストールする。プログラムの実行中に従来のアンチウイルススキャナーは異常を検知しないが、カスペルスキー インターネット セキュリティのシステムウォッチャーは疑わしい動作を検知する。すると、カスペルスキー インターネット セキュリティはこの動作についての簡易レポート（個人に関する情報はまったく含まない）を KSN に送る。そして、そのレポートは我々の分析システムとナレッジベースに加えて何百万の KSN 利用者から集まった情報に照合され、そのプログラムが、コンピューターへの攻撃を意図する未知の新しいマルウェアを含んでいる可能性があるかどうかの判定をユーザーに送り返す。決定的な判定に至らなかった場合、ユーザーはそのプログラムの評判（レピュテーション）を確認して、プログラムの安全性を判断することができる。クラウドの照合過程全体にかかる時間はほんの数秒だ（さらに短い場合もあるが、通信速度や KSN のトラフィック状況による）。

Web サイトも同じ方法で安全性を確認できる。たとえば、アンチフィッシングのヒューリスティックモジュールが、フィッシングサイトである可能性を検知すると、その URL が KSN に送られて分析される。そして、他のクラウド参加者のレポートに基づく判定が、ユーザーの検索結果に表示される（カスペルスキー インターネット セキュリティでウェブアンチウイルスの危険サイト診断機能が有効になっている場合）。

もっとも、このようなクラウドソーシングでは、すぐに、ある問題が生じてくることは確かだ。自動的に分析できない巧妙な疑わしいオブジェクト（それは毎日何千も出てくるが）についてはアナリストの解析が必要になる。そう、古き良き手作業だ。だが、何千もの疑わしいファイルは、危険が潜んでいるという意味では同等だから、アナリストはどのファイルから手をつければいいのだろうか？単純に到着した順に対応していくこともできるし、実際にアンチウイルス企業の多くはその方法をとっている…そして、ニュースで大流行を知るのだ:) もうお分かりかもしれないが、我々はそんなに効率の悪いことはしない。そこで、次々と入ってくる疑わしいオブジェクトに優先付けをするテクノロジーが必要になったところで、クラウドソーシングが賢明な方法として浮上してくる。

KSN の利用者から来るフィードバックをどうやって分類するのだろうか？もちろん、情報提供者の評価に拠るのだ！テクノロジーに精通したエキスパート的ユーザーの判定のほうを、その道の初心者であるユーザーの判定よりも高く評価するのは、合理的なことだろう。だが、どうやって、だれがエキスパートで、だれが初心者かを見分けるのか？

我々はここ数年間で、ユーザーをカテゴリ分けするテクノロジーを開発した（そのテクノロジーで米国の 3 つの特許（8209758、8214904、8214905）を取得した）。そのねらいは、インストール時にユーザーが入力するさまざまな指標（静的評価）と、アンチウイルス製品の利用履歴（動的評価）の 2 つからユーザーの専門性を判断することだ。

たとえば、ユーザーから寄せられた KSN フィードバックについて、報告された脅威の量と質、誤検知の割合、リアクションの速度やその他について分析する。当然、情報提供者の格付けが高いほどその評価のウェイトは増し、それにつれてその情報提供者からのデータへの対応の優先度が高くなる。

KSN のメンバー全体のうち、ほんの 5 パーセントがエキスパートとみなされることが分かった。それでも、人数にすると数百万人もの、未知の脅威を見抜くのに必要なノウハウを備えたエキスパートがいることになる。将来的には、できればカスペルスキー インターネット セキュリティの次のバージョンで、特に有能な KSN のメンバーに製品のインターフェイスに飾れるバッチを贈呈したり、Facebook で紹介したりすることも検討している！

これでもうお分かりだろう、ユーザーの知恵を結集してクラウドソーシングを利用すれば、サイバー世界における不法行為に対する戦いにどれほど有効かということが！重要なのは、それぞれの参加者が独自にフィードバックすることで、KSN のクラウドソーシングの恩恵をみんなが受けられるということだ。素晴らしい。