　アップデートを発表したのは、2016年に国内販売を開始した予測防御型EPP（エンドポイント保護プラットフォーム）「CylancePROTECT」に活用するAIエンジンだ。CylancePROTECTは独自の数理モデルに従ってマルウェアが潜むリスクを予測、判定する製品で、インターネットに未接続でも使用でき、マルウェア検出に用いるシグネチャデータベースの更新も不要といった特徴を備えている。

　数理モデルは「INFINITY」と呼ばれるAIシステムに対して、マルウェアなどの悪性ファイルと無害なファイルが見分けられるように教師あり学習を行った上で、出力させたものだ。マルウェアを高精度で識別する数理モデルをクライアントの端末に導入することで、危険性の高いファイルを予測、検出できる。

CylancePROTECTの仕組みを概観［クリックして拡大］出所：BlackBerry Japan

　未知のマルウェアでも脅威度を予測することが可能で、例えば、2017年に猛威を奮った「WannaCry」は、流行の19カ月前にリリースされたCylancePROTECTの数理モデルでも検知できることが確認できたという。BlackBerry JapanはCylancePROTECTのマルウェア防御率を「99％」（同社）だとしている。

　この他にもUSBメモリなどのデバイス制御やアプリケーション制御などを標準機能として搭載している。数理モデルはインターネットから切り離された環境やレガシーOS上でも動くため、多くの製造業のOTインフラが置かれている環境下でも導入しやすいといえる。BlackBerry Japan 執行役員社長の吉本努氏は「ローカル環境でも検知力が非常に高く、顧客の中には数理モデルを数年間アップデートせずにそのまま運用しているケースもそれなりにある」と説明した。

未知のマルウェアも高精度で検出［クリックして拡大］出所：BlackBerry Japan

　今回のAIエンジンのアップデートでは、数理モデル開発にビッグデータを活用することで数理モデル開発の期間を短縮しつつ、プロセスをより柔軟なものにする仕組みを導入した。マルウェアによるゼロデイ攻撃を検出する能力も向上させている。過検知や誤検知などの発生頻度を抑えるとともに、AIへの敵対的な攻撃である「アドバーサリアル・アタック」への対策も講じた。

　この結果、誤検知率を意味するFPR（偽陽性率）が最大で3分の1、マルウェアを見逃す割合を意味するFNR（偽陰性率）が最大で13分の1になった。以前のバージョンと比較して、脅威予測機能は最大40％向上したという。