Emotet（エモテット）は2022年に感染が急速に拡大しているマルウェア（コンピュータウイルス）の一種です。2014年にロシアを拠点とするサイバー犯罪攻撃として検出されて以降、様々な亜種が登場し、2019年、2020年には世界規模で流行し、個人・企業・公共機関に至るまで多くの被害を出しました。2021年年末ごろから再流行の兆しが現れ、日本国内での被害報告が増えている状況です。   本記事では、Emotetの基本的な攻撃手法や被害範囲、感染経路について解説し、具体的な被害事例についてもご紹介します。Emotetに対する理解を深め、対策の一助となれば幸いです。   目次 Emotetの基本的な仕組み Emotetへの感染経路 Emotetの攻撃手法、主な被害事例 Emotetの具体的な被害事例 担当者・従業員のリテラシーを高める 運用管理・保守について考慮する サーバーの認証を強化する Emotetの脅威から逃れる方法 まとめ 1. Emotetの基本的な仕組み ここでは、Emotetがどのようにして侵入してくるか、感染した場合にどのような被害やリスクが発生するかについて紹介します。 あくまでも標準的なパターンの紹介となるため、亜種などでは異なる方法でのアプローチもありえますが、まずは基本的な情報について把握いただければと思います。     1-1.Emotetへの感染経路 Emotetの感染は、Eメールの不正な添付ファイルによって発生します。Microsoft WordやExcelに仕込まれた悪意のあるマクロによって感染、もしくはzipファイルを装い、解凍時に不正コードを実行することで感染させます。添付ファイルではなく、メール本文・SNS・web掲示板などに記載されたURLにアクセスするよう誘導し、webサイト上に仕込まれた不正コードによって感染させるケースもあります。 不正メールは海外からのスパムメール由来の場合や、銀行・オンラインストアなどからを装ったフィッシングメールといった不特定多数を標的とします。   また、Emotetに感染したPCが、PCに登録されているアドレス帳・連絡先を使い、送信者も感染者を装って、あたかも信頼のある相手からのメール・添付ファイルだと油断させ感染させるケースがあります。 さらに、2022年4月頃から発生した新しい手法として、メール添付ファイルにwindowsのリンクファイル(.lnk)を添付するというケースも発生しています。リンクファイルはwindows以外のOSでは何の影響もない単純なテキストファイルですが、windows上では無警戒にリンク先へアクセスしようとするため、この手法には厳重な注意が必要です。     ＜Emotetの感染経路＞ ・Eメールの不正な添付ファイル（Word、Excelのマクロ、lnkファイル） ・Eメールに添付されたzipファイル内 ・URLのリンクから不正なwebサイトへアクセス（Eメール、SNS、web掲示板など）     1-2.Emotetの攻撃手法、主な被害事例 Emotetに感染した場合の具体的な被害や影響について説明します。   ① 他の端末への伝染（ワーム） Emotetに最初に感染したPCは、ネットワーク上の他の端末へ同じように感染させるワーム機能を持ちます。 マルウェアとしてはEmotetに限らずよくある攻撃手法ですが、さらにこれより紹介するEmotetの攻撃手法を組み合わせ、同一ネットワーク内に多くのコンピュータを所有する企業や組織ではさらに被害を深刻なものにします。   ② なりすましメールを送信する Emotetに感染した場合の代表的な迷惑行為の一つとして、Emotetを拡散させるような不審メールを送信するものがあります。   このなりすましメール自体は「タイトルや内容がほとんどない」「日本語が不自然である」「メールアドレスが本来のものと違う」など、注意をしていれば不信と気付く点が多いです。しかし、送信者名が受信者にとっては既知の方であることが多いため、油断をして添付ファイルを開く、URLリンクにアクセスして、Emotetの伝染に加担してしまうケースも少なからずあるようです。   ③ セキュリティホールを作り他のマルウェアを入りやすくする Emotetに感染すると、セキュリティホールを生み出すことで通常なら阻止できるはずのマルウェアの侵入ができるようになります。   例えばディスク上に保存されるファイルではなくメモリ(RAM)上に常駐することで検出を難しくすることや、マルウェアや脆弱性を利用した特権昇格などがEmotet感染端末では出来てしまう可能性があります。   ④ 情報の盗聴・搾取 Emotetに感染した端末から情報を盗み取り外部へ送信する機能があります。 これ自体は具体的な被害や攻撃とはなりませんが、ここで搾取・盗聴した情報を元にランサムウェアなどのさらに強力なマルウェアを仕掛けたりパスワードを突破したりといった実被害へ波及します。   ⑤ 不正ファイルのダウンロード Emotetに感染した端末は攻撃者が用意した外部サーバに接続することで実際の攻撃を行う不正ファイルをダウンロードさせるような仕組みを用意します。   実被害は不正ファイルで発生する攻撃で発覚するものの、そもそもその不正ファイルが侵入する方法がEmotetであることがあります。また、攻撃者が時間差でEmotetを活動させることで、いつどの経路から感染したのかの調査を困難にさせるといったこともできます。   Emotetの特徴としてはこのように、「組織ネットワークの感染で被害が拡大しやすい」「Emotet自身が直接的な攻撃をするわけではないため、 発覚の遅れや調査を困難にさせる」「Emotet感染以降に非常に重大な攻撃や被害が発生する可能性が高い」といった点が、従来のマルウェアに比べて深刻であると言えます。ある程度のセキュリティ対策をしっかり行っているはずの有名企業でも大きな被害が出てしまうのも納得してしまうような非常に厄介なマルウェアと言えます。     2.Emotetの具体的な被害事例 ここでは、Emotetによる具体的な被害が出た事例について記載します。もちろんEmotetの被害はここに記載したものに限らず数多く発生しています。Emotetに感染した場合に必ずしもそこまでの被害に及ぶというわけではありませんが、Emotetがどれほど恐ろしいものか、どこまでの被害に及ぶのかを正しく知っておくことで、どのような企業・組織であってもEmotetへの適切な対策を実施するべきと考えます。     2-1.Emotetの国内の主な被害事例 Emotetの感染による迷惑行為の例として、先ほど記載した「なりすましメール」があり、単純に組織規模が大きい・従業員数が多い企業では、なりすましメールに関する問い合わせが相次いでいることが想像できます。そのため、Emotet感染によって、関係各所へのなりすましメールを警戒するプレスリリースを行っています。     ＜Emotet感染による不審メールへの呼びかけを行っている企業の例＞   ・積水ハウス株式会社 https://www.sekisuihouse.co.jp/company/topics/topics_2022/20220128_m/   ・ライオン株式会社 https://www.lion.co.jp/ja/pdf/20220203.pdf   ・ 株式会社紀伊国屋書店 https://corp.kinokuniya.co.jp/press-20220224/   ・株式会社マイナビ https://www.mynavi.jp/topics/post_33410.html なりすましメール以外の具体的な被害が出ている企業もあります。公表されている事例をいくつか紹介します。     ＜Emotet感染によって具体的被害が出た企業の例＞   ・イン・プラス株式会社（2022年2月） Emotetの感染により、メールアドレスの他、当該会社内外の関係者氏名（個人情報）、件名データが流出。これを悪用した不審メール、添付ZIPファイルを含んだなりすましメールが確認された https://www.in-plus.co.jp/wp-content/uploads/2209-1-1.pdf     ・西日本電信電話株式会社（NTT西日本）(2022年3月) Emotet感染により、取引先である愛知県の大学および大学法人のメールアドレスやメール情報が流出。これによる不審なメールが報告された。 https://www.ntt-west.co.jp/newscms/attention/11977/20220307_info.pdf     ・フクシマガリレイ株式会社（2022年3月） 従業員の端末がEmotetに感染し、メールサーバに保存されているメールアドレスが流出し攻撃者が悪用して不審なメールを複数の関係先に送付。 https://www.galilei.co.jp/info/2404/     ・双葉電子工業株式会社（2022年2月） タイの子会社の1台がEmotetに感染し、メールアドレスを搾取された。感染PCは即座に切り離し、全台のマルウェアチェックを実施し、他端末への感染がないことを確認。 https://www.futaba.co.jp/info/202202_incident       2-2.Emotetの国外における主な被害事例 日本国内でも多くの企業が影響を受けているEmotetですが、海外ではより深刻な事例も含めて報告されています。Emotetの主要な感染経路はメールですが、日本の場合、日本語のローカライズ（文面の翻訳）が適切ではない場合や、日本独自のメール文化にそぐわない内容であるため、比較的気づきやすいケースが多いです。   しかし海外、特に英語圏ではメールのやりとりは日本よりも気軽で、通常のやり取りの文面とほとんど変わらず気づきにくいケースも多いと思われます。   また、攻撃の性質も2014年ごろの初期型とは変異をしています。 かつては金融機関を主に狙って、Emotetを介した情報搾取によって口座情報を盗み出し利益を得る手法でしたが、現在はEmotet感染に端を発した別のマルウェアに感染しやすくさせ拡散をするモデルとなっています。   これは当初のEmotet攻撃手法への対策がある程度確立されたことにより、特に金融機関のセキュリティが非常に厳密になったことからEmotet（およびEmotetを悪用する攻撃者）がアップデートを行ったことによるものです。   以下では、特に海外で被害・影響の大きかったEmotet事例の一部を記載します。   ・クラウス・マッファイ(2018年12月) ドイツの重機械メーカー、クラウス・マッファイが感染したのはEmotetの亜種でランサムウェア（身代金要求型のファイル暗号）も兼ねているマルウェアに感染したことで、工場のコンピュータの多くが停止し、機械の生産及び組み立て制御ができなくなる被害が発生した。   ・ヒュルステンフェルトブルク病院（2018年11月） ドイツのバイエルン州にあるヒュルステンフェルトブルク病院でEmotetに感染した結果、1週間電子カルテが適切に動作することができず、システムをシャットダウンせざるを得ない状況となりました。一時的に該当病院は統合レスキューコントロールセンター（いわゆる救急搬送先の病院）から登録を解除し、緊急患者は別病院への受け入れへと切り替えました。病院の重要な治療システムなどはインターネットやEmotet感染したネットワークからは切り離されていたため、人命にかかわる被害までには及ばなかったとされます。   ・ノースカロライナ州の学区（2017年） アメリカ、ノースカロライナ州の学区で大規模なEmotetの被害が発生し、学校のコンピュータが被害を受け（具体的な被害は非公表）、2週間運用が停止したと言われています。これによる損失は140万ドル（当時の日本円で約1億5千万）といわれ、アメリカでは代表的なEmotet実例被害としてアメリカ合衆国の広報ページでも紹介されています。 https://www.justice.gov/opa/pr/emotet-botnet-disrupted-international-cyber-operation     2-3.Emotetの感染拡大（2022年） Emotetは2020年ごろに感染のピークを迎え多くの被害や影響をもたらしましたが、2021年1月に欧州刑事警察機構をはじめとする欧米8ヵ国の法執行機関・司法当局の国際的な共同作戦によりEmotetの「テイクダウン（無害化）」が成功したことが報道されました。   これによりEmotetの活動は急速に鎮静化されたことが日本国内でも確認されています。 しかし、2021年末頃より再びEmotetの活動が確認され、特に日本国内の感染が顕著とされ、2022年3月には過去の流行時の約5倍に及ぶ感染・被害報告が行われています。   ちょうど2022年2月にはロシアによるウクライナ侵攻が始まりました。このロシア侵攻とEmotet再流行は、直接的な事実関係が判明しているわけではないものの、もともとEmotet自体がロシア発のマルウェアであること、この侵攻の時期と同じくして世界各国でサイバー攻撃が活発になっているという背景もあり、完全に無関係とも言えない状況と言えます。ロシアのサイバー犯罪グループもロシア侵攻を皮切りにロシア政府の全面支持を表明し、ウクライナ支援をする国家への攻撃をほのめかしています。   なぜ日本で顕著にEmotetが感染拡大しているかについては、まだ正確な調査が行われているわけではありませんが、メールを主要感染経路に持つEmotetにとって、偽装メールの精度が高くなったことが一因といえます。   例えば以前であれば明らかに不自然な日本語、日本語のメール文化にそぐわない内容、アドレスが明らかに違う、など気づきやすいポイントがあったものの、これら日本語へのローカライズ精度が上がり、一見しただけでは区別がつかないような内容、いかにもありそうなメール文面などを巧妙化することで、これまで「英語圏ほど」警戒心がなかった日本に、効果が広まってしまったと言えるでしょう。     3.Emotetの脅威から逃れる方法 Emotetは過去のマルウェアとは一線を画す、非常に脅威の高いマルウェアでありインターネットに接続するすべての企業は警戒しなければならない存在です。   しかし、先にも述べた通り、Emotet自体が具体的な攻撃や破壊活動を行うのではなく、巧妙に姿を隠し、情報を搾取し、より攻撃力の高いマルウェアに活動を促すという非常に厄介な性質を持ちます。セキュリティシステムでの対策はもちろん必要ですが、最後の人間の判断が誤れば、いかに高度な対策を打っていても感染は100%防ぐことは困難です。   EmotetはEメールでの悪質な添付ファイル、および不正ツールを配布するようなwebサイトのリンク経由で感染します。そのため、Eメールの取り扱い、そして危険なサイトに近づかないようにすることがEmotet対策の第一歩であり、最大の防御策です。インターネットを使用する業務に携わっている方は、以下のような注意を徹底して実施してください。   ・不審なメールは開かずに破棄する、迷惑メールフィルタなどを活用する ・心当たりのない添付ファイルは、既知の人物からであってもむやみに開かない ・Microsoft Officeのマクロ機能は無効にする。マクロ機能が必要な場合、メールでマクロ付きOfficeファイル(.docm、.xlsm)をメール添付で受け取らない ・Office2007以前形式のOfficeファイル(.doc、.xls)をメール添付で受け取らない ・メールなどに記載された不明なURLにむやみにアクセスしない     まとめ Emotetの具体的な影響や被害事例、直近(2022年5月執筆時点)の状況などをまとめました。   Emotetは本項執筆時点で今なお感染が拡大しています。Emotetの感染は自組織にはさらに未知の被害に及ぶ可能性が、外部関係者には迷惑メールを送おくりつけるといったことで、多方面への影響が懸念されます。   感染しないためにも不審なEメール、添付ファイル、URLに注意するよう、企業内・組織内の周知徹底が急務と言えます。 ウイルス対策セキュリティソフト「EXOセキュリティ」

近年、マルウェアの侵入によるサイバー攻撃は高度かつ巧妙化しており、セキュリティに関する不安は高まっています。また、リモートワークの普及により、社外やパソコン以外の端末からでも安全に社内情報を扱う必要が出てきています。セキュリティ対策に使用できる接続方法にVPNがありますが、VPNについて深く理解できていない企業担当者もいるでしょう。 当記事では、VPNの仕組みや種類をはじめ、VPNの導入によるメリット・デメリット、導入時に考えておくべき情報セキュリティ対策のポイントについて紹介します。企業のネットワークセキュリティに不安を感じている方は、当記事を参考にVPNに関する理解を深め、自社に適切なセキュリティ対策を検討してください。 目次 VPNとは？ VPNの仕組み VPNの種類 VPNと専用線の違い VPNのメリットとデメリット VPNを導入時のセキュリティ対策のポイント 担当者・従業員のリテラシーを高める 運用管理・保守について考慮する サーバーの認証を強化する まとめ   1.VPNとは？ VPNとは、「Virtual Private Network」の頭文字をとった略称で、日本語では「仮想専用通信網」と訳されます。通常、ネットワークは共用のものを使用することが多いですが、VPNでは、仮想的に専用ネットワーク回線を作り出し、クローズドネットワーク（閉域網）として使用できるため、セキュリティリスクを減らすことができます。 ここでは、VPNの仕組みや種類、専用線との違いについて紹介します。   1-1.VPNの仕組み VPNを利用する際は、専用ルーターから公衆回線を使って通信を行います。専用ルーターは、一般的に企業の拠点となる本社等に設置され、トンネリング・暗号化・認証などの設定を行うことで、外部に通信内容が漏れない専用回線を構築しています。 トンネリングとは、専用回線を構築するために必要な設定のことです。拠点となる専用ルーターとネットワークを使用する端末間に仮想のトンネルを開通することから名付けられ、公衆回線から仮想的に隔離することでVPN接続を成立させています。 また、暗号化通信の設定を行うことで、VPN接続下でやり取りされるデータをパッケージングし外部から隠すことも可能です。VPNの中でデータをカプセルに入れてやり取りするイメージに近いでしょう。 さらに、VPN接続を開始するためには認証システムも必要です。せっかく仮想トンネルを開通させても、トンネルに不正に侵入されたら元も子もありません。VPNの不正利用を防ぐために、IDやパスワードを設定をしておきましょう。 VPN接続では公共のネットワークからは隔離された場所で、利用を許された人のみが暗号化されたデータをやり取りするため、かなり安全性の高いネットワーク環境を構築できると言えます。   1-2.VPNの種類 セキュリティリスクを減らすことのできるVPN接続方式には、いくつか種類があるため、ここでは、代表的な4種類のVPNについて概要を紹介します。 インターネットVPN 既存のインターネット回線上に仮想の専用線を構築する方法。 既存の回線を利用するため、安価に回線構築ができる。一方、接続速度や通信回線品質といったスペックは元となる回線に依存し、他のVPN接続に比べると安全性に課題がある。 エントリーVPN 光ブロードバンド回線を利用して仮想の専用線を構築する方法。 インターネットを経由しない閉鎖網を使いVPNに接続されるため、ユーザーを限定でき安全性が高い。閉鎖網の中では一番安価である一方、通信回線品質は不安定。 IP-VPN 通信事業者がもつ独自のネットワーク上に仮想の専用線を構築する方法。 閉域網上に構築されており、ユーザーの限定や回線の優先利用などの機能を付与できるため、通信回線品質が安定するが、運用コストが高い。 広域イーサネット IP-VPN同様、特定のネットワーク回線上に仮想専用線を構築する方法。 4種類のVPNの中で最も自由度が高く、設定次第で企業にマッチした高品質なネットワークが構築可能だが、運用には高いスキルとコストが必要。 上記で示した4種類のVPNでは、それぞれ運用コストや通信回線品質の面でメリット・デメリットが存在します。やり取りしたいデータの内容や必要なセキュリティの程度などを総合的に判断してどのVPN接続を導入するか判断するとよいでしょう。   1-3.VPNと専用線の違い VPNと同様の閉域網として専用線を利用する場合もあります。VPNと専用線、どちらも専用ルーターがある場所とVPNや専用線を利用する端末をつなぐことが可能ですが、拠点間通信ができるかどうかが異なります。専用線で専用サーバーがある本社とそれぞれの拠点を接続した場合、本社と拠点が1対1でつながるため、専用線を導入しても拠点同士での通信はできません。 専用線はVPN以上に安全性が高いというメリットはあるものの、拠点との距離によっては導入コストが高くなるというデメリットもあるため、見極めが大切です。   2.VPNのメリットとデメリット VPNを導入することで、企業にはさまざまなメリット・デメリットがあることも把握しておきましょう。ここでは、VPNの代表的なメリットとデメリットを3点ずつ紹介します。 ■メリット 安全な環境を実現できる 遠隔利用ができる 比較的低コストで導入できる VPNを導入する最大のメリットは、トンネリングや暗号化によってセキュリティリスクを減らせる点ですが、どんな場所からでも遠隔利用できる点も大きなメリットです。 昨今、リモートワークの普及により、さまざまな場所から社内情報にアクセスする機会が増えました。VPNでは、ネットワークを利用する場所や端末の種類を問わず安全に回線を利用することが可能なため、社員があらゆる場所から社内情報にアクセスしたい場合には有効なシステムとなるでしょう。 ■デメリット 通信品質が落ちる恐れがある VPNによるアクセスを遮断するWebサイトがある セキュリティリスクはゼロではない VPNは、安全性の高い回線として利用されているものの、VPNの導入のみですべてのセキュリティ対策ができているわけではありません。 VPNは、既存のインターネット回線や、通信会社の持つ光回線やネットワークから構築された「仮想的」な専用回線です。そのため、完全な自社回線とは言えず、マルウェアの侵入によるサイバー攻撃を受ける可能性もあります。安全に使用するためには、VPN以外にもエンドポイントに対するセキュリティ対策などが必要でしょう。   3.VPNを導入時のセキュリティ対策のポイント VPNは、ネットワークの構築にセキュリティ技術が組み込まれているものの、サイバー攻撃などの脅威にさらされるリスクはゼロではありません。 VPNの導入や運用では、専門の業者に任せる場面も多いですが、自社でもセキュリティ対策を十分に行うことで、社内情報をより安全に扱えるようになります。下記に示すVPNを導入時のセキュリティ対策のポイントを参考にVPNの導入・運用を進めましょう。 代表的なセキュリティソフト7種類の比較と選ぶ際のポイント   3-1.担当者・従業員のリテラシーを高める どれだけVPNのセキュリティが強固であっても、システム担当者や、端末を利用する従業員のセキュリティ意識が低ければ、VPNのセキュリティ機能を十分に発揮させることはできません。VPNの利用をすべて監視することは不可能であることからも、従業員のセキュリティ意識向上が安全性の高さに直結することが分かります。 そのため、「公共の無料Wi-FiでVPNを利用しない」「使用する端末にセキュリティ対策ソフトをインストールする」などVPN通信に関するルールを徹底させたり、セキュリティに関する教育を受けさせたりして、従業員のネットリテラシーを高めることが重要です。   3-2.運用管理・保守について考慮する 社内情報を安全に扱うためには、VPNの導入だけでなく、導入後の運用管理も重要です。サイバー攻撃は、テクノロジーの発展により高度かつ巧妙化しています。進化し続けるサイバー攻撃に耐えうるためにも、管理サーバーやソフトウェアなどは常にアップデートしておくことが重要です。 他にも、PCやスマートフォンなどVPN通信を利用できる端末を万が一失くした時などに備えて、端末を社外に持ち出す際のルールを社内に周知させておくことも必要です。   3-3.サーバーの認証を強化する VPNは、サーバーの認証によってネットワーク利用者を限定することで安全性を高めています。そのため、VPN内に不正ログインされてからでは、対策を打つことが困難です。 サーバーの認証には、パスワードやPINコードなどの知識情報以外にも、ワンタイムパスワードなどの所持情報、指紋や顔などの生体情報を利用できます。複数の情報を組み合わせて多要素認証にすることで不正ログインのリスクを減らせるでしょう。   まとめ VPNは、仮想専用線を作り出し、回線利用者を限定することで安全に社内情報をやり取りできるシステムです。実際の専用線を導入する場合と異なり、拠点間接続によるデータのやり取りが可能なため、遠隔でも安全に社内情報のやり取りができるというメリットがあります。しかし、VPNの導入だけでは完全なセキュリティ対策になるとは言えないため、VPN導入時に自社でセキュリティ対策を固めるだけでなく、VPN以外のセキュリティ対策も必要でしょう。 EXOセキュリティでは、人工知能とクラウド分析技術を適用したセキュリティシステムを低価格で導入できます。VPNサービス以外のセキュリティ対策を導入したい方はぜひお問い合わせください。 ウイルス対策セキュリティソフト「EXOセキュリティ」

近年、ウイルスをはじめとしたマルウェアの侵入によるサイバー攻撃が脅威となっており、社内のネットワークセキュリティに不安を感じている方もいるでしょう。社内の大事なデータや個人情報を防御するためには、広範囲にカバーできる強固なセキュリティソフトウェアの導入が必須です。 そこで今回は、EDRの概要や仕組みをはじめ、EDRを導入する際のポイントを紹介します。社内のセキュリティ対策に不安を感じているセキュリティ担当者は、当記事を参考にEDRに関する理解を深め、導入可否を検討してください。 目次 EDRとは？ EPP・NGAVとの違い EDRが注目される背景 EDRの仕組み EDRを導入する際のポイント EDR以外の機能にも注目する 適切な管理サーバーを選ぶ ネットワーク負荷を考慮する OSや対応台数など製品の仕様を確認する 導入コストを見積もる まとめ   1.EDRとは？ EDRとは、「Endpoint Detection and Response」の頭文字をとった、近年注目を集めているセキュリティソリューションです。EDRは、特にエンドポイント端末のセキュリティを担っています。 エンドポイントとは、PCやスマートフォンなどの我々が普段使用しているデバイスを指します。EDRの主な役割は、ネットワーク接続時のエンドポイントに対し、操作や動作の監視を行ったり、サイバー攻撃を検知した際に被害を最小限に抑えたりすることです。 エンドポイントセキュリティとは？重要な理由から代表的な種類まで   1-1.EPP・NGAVとの違い EDRに似たような仕組みとして、EPPやNGAVが挙げられます。どちらもEDR同様、セキュリティソリューションの1つですが、使用目的や役割が異なります。 EPPは、「Endpoint Protection Platform」の頭文字をとったセキュリティソリューションの総称です。エンドポイントにEPPをインストールすることで、ウイルスがエンドポイント自体に侵入しないようブロックする目的で使用されます。つまり、EPPの主な役割は、EDRが作動する前段階でウイルスの侵入からエンドポイントを守ることです。 またNGAVは、EPPに含まれるセキュリティソリューションの一種で、次世代型アンチウイルス（Next Generation Anti-Virus）と呼ばれます。NGAVは既知のウイルスだけでなく、未知のウイルスも認識でき、エンドポイントを進化したマルウェアや、悪意のあるソフトウェアから守れます。 このように、NGAVをはじめとしたEPPで侵入を防ぎ、侵入された時はEDRで対処することで、エンドポイントのウイルス感染被害を最小限にとどめることが可能です。 次世代型アンチウイルス（NGAV）とは？従来型やEDRとの違いも   1-2.EDRが注目される背景 EPPやNGAVのように、ウイルスなどを感知し侵入を防ぐセキュリティソフトウェアはゲートウェイセキュリティ製品と呼ばれる一方、EDRはエンドポイントセキュリティ製品と呼ばれ2020年以降さらに注目が集まっています。 エンドポイント製品であるEDRが注目され始めた背景には、サイバー攻撃の巧妙化やネットワーク利用の多様化が挙げられます。 サイバー攻撃に使用されるウイルスをはじめとしたマルウェアは、テクノロジーの進化に伴いより複雑かつ多様に変化しており、EPPのみでは防ぐことが難しくなってきました。また、テレワークの普及によってネットワークの使用環境が多様化したことで、一括して情報セキュリティ対策することが難しくなりました。そこで、マルウェアが万が一侵入しても、事後対策で被害を最小限にできるEDRソリューションの需要が高まっています。   2.EDRの仕組み EDRは、下記4つのフェーズを繰り返すことでマルウェア攻撃からの被害を防ぎます。 1 監視・検知 通常時：エンドポイントの動作やファイル操作などを常に監視する 異常時：ウイルスなどのマルウェアによる異常な操作を自動検知し、マルウェア感染に関する対策が開始される 2 隔離 EDRがマルウェア侵入などの異常を感知したら、感染の可能性があるエンドポイントをネットワークから切り離し、感染拡大を防ぐ 3 調査・分析 エンドポイント内で起こった動作ログの記録から、マルウェアの侵入経路や感染の引き金となった根本原因、影響範囲を特定しマルウェアの概要を分析する 4 復旧 調査・分析の結果を踏まえ、危険なファイルの削除や端末のシャットダウンなど必要最低限の復旧作業を実行し、マルウェアの駆除を行う 上記で示した4つのフェーズでは、マルウェアに感染したエンドポイント以外のセキュリティにも一役かっています。例えば、EDRによってマルウェアに感染した端末を外部からシャットアウトすることで、マルウェアの二次感染を防ぐことが可能です。 EDRの導入によって、表向きの動作に異常をきたさないような隠れたマルウェアの侵入や感染拡大を防げたり、復旧時にかかるコストを削減できたりします。   3.EDRを導入する際のポイント EDRでセキュリティを高めることで、エンドポイントの使用には多くのメリットをもたらします。しかし、適切なEDRの選択や導入にはいくつか注意点もあり、導入前に把握しておくことが重要です。ここからは、EDRを導入する際のポイントを4点紹介します。   3-1.EDR以外の機能にも注目する 近年、EDR需要の高まりに併せて、EDRを含んださまざまな機能を提供するセキュリティ対策製品が展開されています。EDR単体のソフトウェアもあれば、EPPなどのゲートウェイ製品がセットになったものもあるため、EDR以外の機能もチェックしましょう。 EPPなどのゲートウェイ製品とEDRなどのエンドポイント製品を掛け合わせることで、エンドポイント対策の効果が高まります。EDRだけでなく、NGAVや、USBデバイスの制御などの機能が組み込まれた、できる限り多くの領域に対応できるマルチなソフトウェアや外部の監視サービスと連携したものを選択することがおすすめです。   3-2.適切な管理サーバーを選ぶ EDRを導入する場合は、操作ログを監視するために管理サーバーの導入も必要です。管理サーバーには2つのタイプが存在し、メリットやデメリットがあるため、総合的に判断することをおすすめします。下記に代表的な管理サーバーのタイプや特徴を示します。 クラウド型 社外の管理サーバーで一括して管理する、管理サーバーの中でも主流なタイプ。 メリット：社外でネットワークを使用する場合でも対応でき、導入や運用のコスト・負担が少ないデメリット：サーバーに障害が起きた場合、原因が自社以外にあっても影響を受ける可能性がある オンプレミス型 自社のデータセンターでサーバーを管理するタイプ。 メリット：クラウド化できないシステムでも管理が可能デメリット：テレワークなど社外でのネットワーク使用に対応できない   3-3.ネットワーク負荷を考慮する EDRはセキュリティ対策用の情報を最新に保つため、頻繁にソフトウェアの更新を行います。そのため、少なからず自社のネットワークに負荷がかかります。特に高機能なEDRの導入を検討する場合は、ネットワークへの負荷も大きくなりやすいです。ネットワークの負荷が大きくなると、ネットワークを使用した業務に支障をきたす恐れもあるため、自社のネットワークのキャパシティとEDR導入による負荷の両面から判断し、導入するEDRの種類を選定するとよいでしょう。   3-4.OSや対応台数など製品の仕様を確認する EDRを導入する際は、OS環境なども事前に把握しておきましょう。近年、一般的なOSには標準対応するようになりましたが、特定業界で使用されるOSなどにはまだ対応していない場合もあるため、注意が必要です。 また、EDRのスペックによって管理可能な台数に制限が設けられているものもあります。対応台数に限らず、EDR製品の仕様は事前に確認しておきましょう。   3-5.導入コストを見積もる EDRを導入する際に障壁となるものが、導入にかかるコストです。EDRは、自社のデータセンターや社外クラウドにて一括で管理されますが、EDRを契約する台数分のライセンス費用が必要となります。 ライセンス費用の相場は、1台につき年間6,000円程度ですが、契約台数が増えると総額は増えていきます。ライセンス費用以外にも、導入費用や委託費用など諸費用も必要となるため、導入にかかるコストの見積もりを行うことがおすすめです。   まとめ EDRは、PCやスマートフォンなどのエンドポイントをマルウェアの感染から守る最後の砦として使用されるセキュリティ製品です。監視・検知→隔離→調査・分析→復旧と4つのフェーズを通ることで、感染拡大や復旧に必要な作業を最小限に留めながら、セキュリティ対策ができます。 しかし、エンドポイントの安全を守るEDRの導入には、適切な管理サーバー・製品の選択や、導入コストの把握など注意すべきポイントもいくつか存在します。EXOセキュリティでは、人工知能とクラウド分析技術を適用した強固な法人向けセキュリティシステムを低価格で導入可能です。EDRだけでなくNGAVの役割も果たす上、管理者の負担も少ないため、企業にEDRの導入を検討している方はぜひお問い合わせください。 ウイルス対策セキュリティソフト「EXOセキュリティ」

セキュリティ対策を行う中で、標準型攻撃について見聞きしたことがある人は多いのではないでしょうか。標準型攻撃は、サイバー攻撃の中でも特に危険性が高く、発見されにくい攻撃であるため、被害を防止するための対策が必要不可欠です。 当記事では、標準型攻撃の概要から、被害事例・攻撃が実行される手順・標準型攻撃を防ぐための対策までを詳しく解説します。万が一標準型攻撃の対象となった場合に備え、しっかりとした対策を講じましょう。 目次 標準型攻撃とは？ 標準型攻撃の被害 スパム・フィッシングとの違い 標準型攻撃の手口 標準型攻撃の種類 攻撃が行われる流れ 標準型攻撃への対策 攻撃の侵入を防ぐ入口対策 侵入後の被害を防ぐ出口対策 従業員への教育 まとめ   1.標準型攻撃とは？ 標準型攻撃とは、サイバー攻撃の一種で、ネットワークを通して情報を盗んだりネットワーク機器にダメージを与えたりする攻撃です。特定の個人や組織を狙い、機密情報を盗み出すことが目的です。 従来は府省庁や大手企業が主なターゲットでしたが、最近では地方公共団体や中小企業などターゲットの幅は広がっています。サイバー攻撃の多くは無差別であるのに対し、標準型攻撃は明確なターゲットと目的が存在します。巧妙な手法を使って特定の企業を攻撃するため、従来のウイルス対策ソフトだけでは不十分です。 被害を最小限に抑えるためには、攻撃の侵入を防ぐための対策、侵入された際に検知する対策、検知した際にすばやく対処する対策を組み合わせることが重要です。 出典：総務省 国民のための情報セキュリティサイト「標的型攻撃への対策」   1-1.標準型攻撃の被害 標準型攻撃の被害は、些細なことから急速に拡大する点が特徴です。例えば、1人の職員宛に知人を装った電子メールが送られ、そのメールを開封したところからウイルスに感染し、組織全体の機密情報が外部に漏洩していることが発覚するなどです。たった1通のメールから企業情報が盗まれることも少なくありません。 以下では、実際に起きた事例を2つ紹介します。 オペレーションオーロラ標準型攻撃の中で最も有名な事例で、2009年Googleなど30社以上の企業が標準型攻撃の被害にあいました。主にInternet Explorerの脆弱性を利用し不正プログラムに感染し、大量の機密情報が盗まれたと言われています。このような脆弱性を利用した攻撃をゼロデイ攻撃と呼び、ゼロデイ攻撃は短時間で攻撃する上に予防対策が難しいという点で、非常に厄介です。 日本年金機構2015年日本年金機構を狙って標準型攻撃が行われました。攻撃により年金加入者125万件の個人情報が流出し、日本中に不安が広がりました。この事例の大きなポイントは職員宛てのメールに不正プログラムが仕込まれていたという点です。メールの件名も巧妙に作られており、不正だと気付きにくい悪徳な手法でした。 出典：総務省 国民のための情報セキュリティサイト「事例9：標的型攻撃で、企業の重要情報が・・・」   1-2.スパム・フィッシングとの違い スパムとフィッシングは標準型攻撃と同じような言葉として使われますが、異なる意味を持ちます。違いは以下の通りです。 スパムスパムとは無差別・大量にばらまかれる広告メールのことです。ターゲットを絞らない点が標準型攻撃と異なります。 フィッシングフィッシングとは銀行やクレジットカード会社を装いフィッシングサイトへ誘導する手法で、個人情報やカード情報を入手し詐欺を行うことが目的です。こちらも無差別型攻撃である点が大きな違いです。   2.標準型攻撃の手口 標準型攻撃の対策を立てる前に、標準型攻撃の手口について理解しておく必要があります。攻撃者はあらゆる方法を使って、攻撃を仕掛けてきます。まずは、代表的な攻撃手法を知ることで、応用的な対策も講じられるでしょう。 ここでは、標準型攻撃の種類や攻撃の流れについて解説します。   2-1.標準型攻撃の種類 標準型攻撃にはいくつかの種類が存在します。 標準型メール攻撃標準型攻撃の中でも主流の攻撃方法です。送信元が知り合いや取引先を装っているため、怪しいメールだと気付かず開封してしまいます。添付ファイルをダウンロードしたりURLをクリックしたりすることで、組織内のネットワークにウイルスが広がります。メールの受信者自身が不審なメールを見分けることが、標準型攻撃を防ぐ重要な対策です。 水飲み場攻撃水飲み場攻撃とは、ターゲットの企業がよく閲覧するWebサイトを改ざんしアクセスを誘導する手口です。偽のWebサイトにアクセスするとウイルスがダウンロードされ、事前に発見することはほぼ不可能です。 　　　　　　　　　　　　　　　　　　　　　　出典：情報処理推進機構「IPAテクニカルウォッチ「標的型攻撃メールの例と見分け方」   2-2.攻撃が行われる流れ 攻撃が行われるまでの流れは以下の通りです。 （1）調査・計画 サイバー攻撃者はターゲットとなる企業の人間関係やソフトウェアの種類などについて調査します。関係者を装ってパスワードを聞き出したり、時にはゴミ箱を漁ったりと物理的な手法を取ることも少なくありません。調査結果に基づき、偽造メールの送り先を選定します。 （2）初期侵入 狙った人物に偽装メールを送信します。URLやファイルには不正プログラムが仕込まれており、クリックすると不正プログラムが実行され、ウイルスやマルウェアに感染する仕組みです。受信者に疑われることがないように、送り主や件名には高度な騙しのテクニックが用いられています。 （3）機密情報にアクセス ウイルス感染したパソコンを拠点にして、企業のネットワーク内部を探索し、時間をかけて少しずつ攻撃を進めます。 （4）サーバーへのアクセス 侵入したパソコン内に欲しい情報がなかった場合、企業の機密情報があるデータベースへのアクセスを試みます。システムの脆弱性をつかれたり管理者権限を乗っ取られたりすると、侵入を許してしまうことがあります。 （5）情報の収集・転送 機密情報を入手すると、不正アクセスが発覚しないよう情報の転送を行います。転送が完了すると侵入してからのログ情報をすべて消去するため、ターゲットに気付かれにくくなります。 上記のように、攻撃者はあらゆる手段で企業の情報を入手し、機密情報へのアクセスを試みます。さらに、情報を盗み出した後に痕跡を残さないことも特徴です。   3.標準型攻撃への対策 標準型攻撃の被害にあわないためには、日頃からしっかりと攻撃対策を行う必要があります。しかし、完全にウイルスの侵入を防ぐことは難しいため、攻撃の侵入を防ぐ対策と侵入後の被害を防ぐ対策をうまく組み合わせましょう。 以下では、攻撃の侵入を防ぐ入口対策と侵入後の被害を防ぐ出口対策について解説します。   3-1.攻撃の侵入を防ぐ入口対策 ウイルスの侵入を防御するためには、メールのフィルタリングサービスや情報セキュリティ対策ソフトの利用が欠かせません。ただし、市販のセキュリティ製品では探知されないものも多く、標準型攻撃への備えが不十分となることもあります。 不審なメールやソフトを開かないことや、OSやソフトウェアをこまめに最新のプログラムに更新することも重要です。   3-2.侵入後の被害を防ぐ出口対策 ウイルスが侵入した場合、情報が外部に転送される前に食い止めることが重要です。 不正なプログラムの侵入にいち早く気付くために、ログを監視してくれるセキュリティソフトを活用します。標準型攻撃の不正プログラムは実際に攻撃を開始するまでに時間がかかるため、ログを監視すれば被害を最小限に抑えることができます。 また、被害にあった場合の情報共有や対応の流れを定めることも重要です。システム管理者は被害の報告があった際に迅速に処理が行えるように、初動対策について方針を固めておきましょう。   3-3.従業員への教育 標準型攻撃による被害を防止するためには、セキュリティソフトに頼るだけではなく、メールを受信する従業員へのセキュリティ教育が重要です。標準型攻撃の典型的なメール文や開封してしまった場合の対処法について実例を交えながら研修します。 たった1人の行動がきっかけで会社全体に損害を与える可能性があるということを、従業員へ伝える必要があります。 出典：総務省 国民のための情報セキュリティサイト「標的型攻撃への対策」   まとめ 標準型攻撃は、サイバー攻撃の中でも、標的を特定の個人や企業に絞ったものを指します。標準型攻撃に備えるためには、入口対策と出口対策を組み合わせることが重要です。不審なメールは開かない、ソフトウェアはこまめに更新するなど社員に対しての教育も欠かせません。 EXOセキュリティでは、さまざまな脅威に対応できるセキュリティ対策を提供しています。EXOセキュリティをインストールするとパソコンがリアルタイムで監視されるため、攻撃対象となった場合でもウイルスの感染を防ぐことが可能です。標準型攻撃に備えたいと考える方は、ぜひお気軽にご相談ください。

次世代型アンチウイルス（NGAV）とは、未知のウイルスを探知することができる情報セキュリティ対策を指します。サイバー攻撃の手口が巧妙になったことで、従来型アンチウイルスではセキュリティ対策が不十分となり、次世代型アンチウイルスが誕生しました。 サイバー攻撃が複雑化する中で、企業には機密情報や顧客情報を守る責任があります。そのため、「会社のセキュリティ対策を強化したい」「次世代型アンチウイルスについて詳しく知りたい」と考える担当者の方は少なくないでしょう。 当記事では、次世代型アンチウイルスについて、従来型やEDRとの違いを交えながら、詳しく解説します。 目次 次世代型アンチウイルスとは？ 次世代型アンチウイルスの機能 振る舞い検知 AI・機械学習 パターンマッチング サンドボックス 次世代型アンチウイルスと従来型・EDR・EPP・DLPの違い 従来型アンチウイルス EDR EPP DLP まとめ   1.次世代型アンチウイルスとは？ 次世代型アンチウイルス（NGAV）とは、Next Generation Anti-Virusの略称で、最新のサイバー攻撃に対処するために開発されたセキュリティ対策のソフトウェアです。 近年はサイバー攻撃の手法が複雑になり、従来型アンチウイルスは約半数のサイバー攻撃にしか機能しなくなりました。巧妙化した攻撃にも対応できるように、次世代型アンチウイルスには人工知能による機械学習などの新技術が組み込まれています。 次世代型アンチウイルスは世の中に出回っていない未知のマルウェア攻撃を阻止することが可能です。なお、マルウェアは悪意あるソフトウェアを指す言葉です。   2.次世代型アンチウイルスの機能 従来型アンチウイルスで防御できなかった攻撃に対抗するために、次世代型アンチウイルスにはいくつかの新しい機能が加わりました。 製品によって内容は多少異なりますが、代表的な機能を紹介します。自社のウイルス対策に次世代型アンチウイルスが必要かどうかを判断するために、次世代型アンチウイルスの機能について理解しましょう。   2-1.振る舞い検知 振る舞い検知とは、不審な振る舞いをしているプログラムを検知するシステムです。 万引き犯が普通の人はしないような怪しい動きをするのと同じで、不正なマルウェアは正常ファイルでは見られない特有の動きをします。プログラム自体やコード自体を見るのではなくプログラムの動作を見て判断するため、今までに出回っていないウイルスを見つけ出すことが可能です。 ただし、疑わしいものを検出するというシステムであるため、全く問題のないプログラムを不正だと判断してしまうこともあります。   2-2.AI・機械学習 次世代型アンチウイルスではAIを活用した機械学習が大きな特徴です。 常にプロセスを監視し、攻撃を受けた気配を察知すると情報収集を開始します。情報収集をした結果、過去に検出されたことがない攻撃手法やマルウェアであったとしても、不正プログラムを検出可能です。 人間が手を加えなくてもAIが自動でデータ分析をするため、未知のマルウェアにも迅速に対応することができます。   2-3.パターンマッチング パターンマッチングとは従来型のアンチウイルスの主要機能です。今まで存在したマルウェアの情報を蓄積し、そのデータを基に不正ファイルを検出するという手法です。 未知のマルウェアを検出することはできませんが、登録された脅威は確実に防げるというメリットがあります。既知のマルウェア対策には有効であるため、次世代型アンチウイルスでも引き続き導入され重要な役割を担っています。   2-4.サンドボックス サンドボックスとは、実際に不審なプログラムを実行、動作させることができる仮想環境のことです。疑わしいものを不正だと断言できない場合、閉ざされた仮想環境の中でプログラムを動かし、動きに異常がないかをテストします。 調査をする際、悪質なプログラムが暴走したり、データにアクセスしようとしたりしても、サンドボックス内であれば外のデータに悪影響を及ぼすことはありません。未知の不正ファイルにも対処できるという点が大きなメリットです。   3.次世代型アンチウイルスと従来型・EDR・EPP・DLPの違い セキュリティ対策には次世代型アンチウイルスの他にもさまざまな種類が存在します。 セキュリティ対策は大きく分けると、事前対策と事後対策の2つに分かれます。事前対策とは、マルウェアなどの脅威を侵入させないための対策です。一方、事後対策は脅威が侵入してしまった後に行う対策です。侵入後の被害を最小限に抑えたり、侵入前の状態にいち早く戻したりすることを目的としています。 また、次世代型アンチウイルスやその他のセキュリティ対策の特徴は以下の通りです。それぞれの特徴を知り比較することで、自社にとって適切な対策を選択できるようにしましょう。 対策方法 特徴 次世代型アンチウイルス 未知のマルウェアを検出可能 100%防ぐことはできない 従来型アンチウイルス 既存のマルウェアのみ検出可能 パターンマッチングが主な機能 EDR 脅威が侵入してしまった後の事後対策 早期の復旧が目的 マルウェアの侵入を防ぐことはできない EPP 脅威が侵入してくるまでの事前対策全般 不正侵入したマルウェアを検知・排除する DLP 情報漏洩防止が目的 指定したファイル以外は防御できない セキュリティ対策はどれか1つが大切ということではなく、事前対策と事後対策をうまく組み合わせることが重要です。 ここでは、それぞれの概要と違いについて解説します。   3-1.従来型アンチウイルス 従来型アンチウイルスは脅威を未然に防ぐことが目的で、パターンマッチングが主な技術です。過去に検知した不正プログラムのデータを蓄積し、不正プログラムと同じパターンのファイルが侵入すると、検知し排除します。 しかし近年、攻撃者の技術が巧妙化・複雑化し、従来型アンチウイルスの検出をすり抜けるものが次々と現われました。そのため、従来型アンチウイルスだけでは十分なセキュリティ対策が難しい状況にあります。   3-2.EDR EDRとは、Endpoint Detection And Responseの略で、ネットワークの末端に位置するPCやサーバーでの不審な動きを検出し、対処する仕組みやツールを指します。 巧妙化するサイバー攻撃を完全に防ぐのは難しいという前提に立ち、感染した際に被害を最小化することが目的です。脅威の侵入を防ぐという機能はなく、万が一感染した場合にいかに早く復旧するか、という点に重きを置いています。   3-3.EPP EPPとは、Endpoint Protection Platformの略で、マルウェア感染の事前対策全般を指します。次世代型アンチウイルスや従来型アンチウイルスもEPPに含まれます。PCに侵入しようとする脅威をエンドポイントで検知し、PCを保護することが目的です。 エンドポイントとは、「末端」などを表す言葉で、IT用語としては、ネットワークの末端に接続されたPCやタブレット・スマホなどの端末を指します。   3-4.DLP DLPとは、Date Loss Preventionの略で、個人情報など機密情報の保護を目的としたセキュリティシステムです。従来の情報漏洩対策はIDとパスワードによるユーザー認証が主流でした。ユーザー認証は悪意ある第三者に対しては効果を発揮しますが、正規の情報を知る社員による不正アクセスや操作ミスによる情報漏洩は防止できません。 DLPでは特定の機密情報を常に監視し、データに怪しい動作が見られた場合、すぐにアラートや操作キャンセルを行うことができます。   まとめ 近年は、未知のマルウェアが増加しており、従来型アンチウイルスだけでは、対処することが難しい状況にあります。次世代型アンチウイルスは、振る舞い検知やサンドボックスなど新技術が加わったことで、蓄積データに存在しないマルウェアを検知できます。EDRやDLPなどの機能と組み合わせて対策することで、今後さらに高度化するサイバー攻撃に備えましょう。 EXOセキュリティは、ITに不慣れな方でも簡単な操作で扱える、次世代型アンチウイルスです。会社のセキュリティ戦略に少しでも不安がある方やサービスについて詳しく知りたい方は、気軽にお問い合わせください。

  ウイルス対策ソフトとして、従来のアンチウイルス（AV）は広く普及しています。しかし、近年のサイバー攻撃の変化により、アンチウイルスは限界を迎えつつあるとご存知でしょうか。アンチウイルスに代わる対策として注目を浴びているのが、「次世代アンチウイルス（NGAV）」です。   この記事では、次世代アンチウイルスの機能やアンチウイルスとの違いを解説します。 目次 次世代型アンチウイルス（NGAV）とは？ 次世代型アンチウイルス（NGVA）の機能と仕組みとは パターンマッチング・振る舞い検知 サンドボックス 機能学習 次世代アンチウイルス（NGVA）とアンチウイルス（AV）の違い 次世代アンチウイルス（NGVA）の必要性と背景 次世代アンチウイルス（NGVA）を導入する際の注意点 さらにセキュリティを強化するなら「EDR」を導入しよう まとめ 1.次世代アンチウイルス（NGVA）とは？ 次世代アンチウイルスとは、マルウェアなどの不正プログラムの侵入を防ぐセキュリティ対策ソフトウェアです。「Next Generation Anti-Virus」を略し、「NGAV」とも呼ばれます。PCやスマートフォンといった端末やデータを保護する「エンドポイントセキュリティ」の1つです。   一般的に、悪意ある攻撃への予防や事前対策として導入されます。反対に、事後対策のために導入されるのは、同じくエンドポイントセキュリティの「EDR（Endpoint Detection and Response）」が代表的です。   アンチウイルス（AV）の役目が終わりつつある今、代替製品として次世代アンチウイルスの需要が高まっています。需要が増す理由として、旧来のアンチウイルスでは不可能な「未知のマルウェア」に対処できる点が挙げられます。なぜ対処可能なのか、具体的な仕組みを見ていきましょう。     2.次世代アンチウイルス（NGVA）の機能と仕組み 次世代アンチウイルス（NGAV）の主な機能は、以下3つに分けられます。   1. パターンマッチング・振る舞い検知 2. サンドボックス 3. 機械学習・AI   それぞれの仕組みと合わせて解説します。   2-1.パターンマッチング・振る舞い検知 「パターンマッチング」と「振る舞い検知」は、コンピュータウイルスなどのマルウェアを検知する機能です。パターンマッチング方式は、マルウェアのコードを記録したデータベース（パターンファイル）と検査ファイルを照合します。特徴が一致すれば不正プログラムと判断するため、既知のマルウェアの確実な検出が可能です。   一方の振る舞い検知は、プログラムの挙動を監視して不審な動きをするものを検出します。プログラムの動き方から判断するため、データベースにない新種のマルウェアの侵入も防げるわけです。 2-2.サンドボックス   サンドボックスとは、疑わしいファイルを隔離領域に切り離し、挙動を監視する機能です。隔離されたファイルは、サンドボックス内でプログラムを実行します。たとえ悪意あるプログラムであっても、サンドボックス外の領域に影響は及びません。仮想的に閉ざされた環境でプログラムを実行・観察することで、未知のマルウェアであるかを安全に分析できます   2-3.機能学習 エンドポイントにおけるアクティビティを常に検査し、機械学習・AIにサイバー攻撃に関するデータを学習させます。機械学習アルゴリズムによって、未知のマルウェアの高精度な予測・検出が可能になります。また、サイバー攻撃に使われるツールや手法、マルウェアの特徴的な動きなどのデータを統合的に学習するため、非マルウェア攻撃と呼ばれる「ファイルレス攻撃」の阻止にも有効な技術です。     3.次世代アンチウイルス（NGVA）とアンチウイルス（AV）違い 次世代アンチウイルス（NGAV）とAV（アンチウイルス）の最大の違いは、「未知のマルウェアに対応できるか」にあります。従来のアンチウイルスは、既知のマルウェアしか検出できません。データベースと照合してマルウェアか判断する「パターンマッチング」技術しか持たないからです。   次世代アンチウイルスは、未知のマルウェアも検出できます。パターンマッチングに加え、プログラムの挙動から判断する「振る舞い検知」を搭載しているためです。また、機械学習やサンドボックスの技術を合わせ持ち、振る舞い検知の精度も日々向上しています。   既知のマルウェアにしか対応できない従来のアンチウイルスは、もはや現代のIT環境に適応していないと言えます。代わりに次世代アンチウイルスが注目されているわけですが、そもそもなぜ従来のアンチウイルスは現代のIT環境にそぐわないのでしょうか。次世代アンチウイルスの必要性とともに解説します。   4.次世代アンチウイルス（NGVA）の必要性と背景 アンチウイルスは、1980年代後半に誕生しました。アンチウイルス誕生から30年以上経った現在のIT技術は大きく発展し、サイバー攻撃も複雑かつ高度に進化してます。複雑化するサイバー攻撃の代表例が「標的型攻撃」です。   標的型攻撃は個人情報や知的財産を盗んで金銭を得るため、特定の企業・団体を狙います。サイバー攻撃を仕掛けるべく標的のセキュリティホールを調べ、オリジナルの不正プログラムを開発する場合もある悪質な攻撃です。   他にも、データを暗号化して身代金を要求する「ランサムウェア」や、脆弱性の修正前に仕掛ける「ゼロデイ攻撃」などの例があります。さらに、マルウェアに感染させる手口自体も巧妙化しています。   しかし、既知のマルウェアのみ防ぐアンチウイルスでは、複雑化した攻撃に対処できません。そのため、未知の脅威も検出できる次世代アンチウイルスの必要性が高まっているわけです。 5.次世代アンチウイルス（NGVA）を導入する際の注意点 次世代アンチウイルス（NGAV）を導入する際は、製品ごとの機能の違いに注意しましょう。NGAVは明確な定義があるわけではなく、ベンダーごとに細かな機能が異なります。必要な機能が搭載されているか、確認してみてください。   また、従来のアンチウイルス（AV）に比べ、アラートが増加する可能性があります。振る舞い検知により、「怪しい動きをするプログラム」が全て検出されるためです。そのため、誤検知も増えるかもしれません。社内の既存アプリケーションを不正プログラムと判断する恐れがあります。   導入当初は過剰なアラートが多くなりがちなため、管理者の負担も重くなります。検知ポリシーを適切な設定にチューニングし、無駄なアラートを減らすことが重要です。     6.さらにセキュリティを強化するなら「EDR」を導入しよう 次世代アンチウイルス（NGAV）の導入に合わせておすすめしたいのが、事後対策が得意な「EDR」です。近年、「複雑化するサイバー攻撃を完全に防ぐことは不可能」といった考え方が主流になりつつあります。そのため、セキュリティインシデントが生じた際の事後対策も重要視されています。   EDRの目的は、全てのエンドポイントを監視し、不正アクセスなどの異常な挙動をリアルタイムに検知することです。不正プログラムはただちに隔離されるため、被害拡大を防げます。また、日頃からエンドポイントのログを収集しており、「侵入経路の特定」や「内部活動の範囲」といった調査の効率化が可能です。素早い調査により、復旧作業もスムーズになります。   次世代アンチウイルスの役割は、サイバー攻撃に対する「事前対策」です。万一、サイバー攻撃を防げなかった場合の対策にはなりません。EDRも導入すると、事前・事後対策によって強固なセキュリティ体制を構築できます。     まとめ 次世代アンチウイルス（NGAV）は、既知・未知の脅威を検出できるセキュリティ製品です。振る舞い検知や機械学習アルゴリズムにより、ファイルレス攻撃の侵入も的確に防ぎます。従来のアンチウイルスは、高度なサイバー攻撃への対処が困難です。従来のアンチウイルスを使っている場合は、NGAVへの移行を検討してみてはいかがでしょうか。