ウイルス対策ソフトとして、従来のアンチウイルス(AV)は広く普及しています。しかし、近年のサイバー攻撃の変化により、アンチウイルスは限界を迎えつつあるとご存知でしょうか。アンチウイルスに代わる対策として注目を浴びているのが、「次世代アンチウイルス(NGAV)」です。
この記事では、次世代アンチウイルスの機能やアンチウイルスとの違いを解説します。
目次
次世代アンチウイルスとは、マルウェアなどの不正プログラムの侵入を防ぐセキュリティ対策ソフトウェアです。「Next Generation Anti-Virus」を略し、「NGAV」とも呼ばれます。PCやスマートフォンといった端末やデータを保護する「エンドポイントセキュリティ」の1つです。
一般的に、悪意ある攻撃への予防や事前対策として導入されます。反対に、事後対策のために導入されるのは、同じくエンドポイントセキュリティの「EDR(Endpoint Detection and Response)」が代表的です。
アンチウイルス(AV)の役目が終わりつつある今、代替製品として次世代アンチウイルスの需要が高まっています。需要が増す理由として、旧来のアンチウイルスでは不可能な「未知のマルウェア」に対処できる点が挙げられます。なぜ対処可能なのか、具体的な仕組みを見ていきましょう。
次世代アンチウイルス(NGAV)の主な機能は、以下3つに分けられます。
1. パターンマッチング・振る舞い検知
2. サンドボックス
3. 機械学習・AI
それぞれの仕組みと合わせて解説します。
「パターンマッチング」と「振る舞い検知」は、コンピュータウイルスなどのマルウェアを検知する機能です。パターンマッチング方式は、マルウェアのコードを記録したデータベース(パターンファイル)と検査ファイルを照合します。特徴が一致すれば不正プログラムと判断するため、既知のマルウェアの確実な検出が可能です。
一方の振る舞い検知は、プログラムの挙動を監視して不審な動きをするものを検出します。プログラムの動き方から判断するため、データベースにない新種のマルウェアの侵入も防げるわけです。
サンドボックスとは、疑わしいファイルを隔離領域に切り離し、挙動を監視する機能です。隔離されたファイルは、サンドボックス内でプログラムを実行します。たとえ悪意あるプログラムであっても、サンドボックス外の領域に影響は及びません。仮想的に閉ざされた環境でプログラムを実行・観察することで、未知のマルウェアであるかを安全に分析できます
エンドポイントにおけるアクティビティを常に検査し、機械学習・AIにサイバー攻撃に関するデータを学習させます。機械学習アルゴリズムによって、未知のマルウェアの高精度な予測・検出が可能になります。また、サイバー攻撃に使われるツールや手法、マルウェアの特徴的な動きなどのデータを統合的に学習するため、非マルウェア攻撃と呼ばれる「ファイルレス攻撃」の阻止にも有効な技術です。
次世代アンチウイルス(NGAV)とAV(アンチウイルス)の最大の違いは、「未知のマルウェアに対応できるか」にあります。従来のアンチウイルスは、既知のマルウェアしか検出できません。データベースと照合してマルウェアか判断する「パターンマッチング」技術しか持たないからです。
次世代アンチウイルスは、未知のマルウェアも検出できます。パターンマッチングに加え、プログラムの挙動から判断する「振る舞い検知」を搭載しているためです。また、機械学習やサンドボックスの技術を合わせ持ち、振る舞い検知の精度も日々向上しています。
既知のマルウェアにしか対応できない従来のアンチウイルスは、もはや現代のIT環境に適応していないと言えます。代わりに次世代アンチウイルスが注目されているわけですが、そもそもなぜ従来のアンチウイルスは現代のIT環境にそぐわないのでしょうか。次世代アンチウイルスの必要性とともに解説します。
アンチウイルスは、1980年代後半に誕生しました。アンチウイルス誕生から30年以上経った現在のIT技術は大きく発展し、サイバー攻撃も複雑かつ高度に進化してます。複雑化するサイバー攻撃の代表例が「標的型攻撃」です。
標的型攻撃は個人情報や知的財産を盗んで金銭を得るため、特定の企業・団体を狙います。サイバー攻撃を仕掛けるべく標的のセキュリティホールを調べ、オリジナルの不正プログラムを開発する場合もある悪質な攻撃です。
他にも、データを暗号化して身代金を要求する「ランサムウェア」や、脆弱性の修正前に仕掛ける「ゼロデイ攻撃」などの例があります。さらに、マルウェアに感染させる手口自体も巧妙化しています。
しかし、既知のマルウェアのみ防ぐアンチウイルスでは、複雑化した攻撃に対処できません。そのため、未知の脅威も検出できる次世代アンチウイルスの必要性が高まっているわけです。
次世代アンチウイルス(NGAV)を導入する際は、製品ごとの機能の違いに注意しましょう。NGAVは明確な定義があるわけではなく、ベンダーごとに細かな機能が異なります。必要な機能が搭載されているか、確認してみてください。
また、従来のアンチウイルス(AV)に比べ、アラートが増加する可能性があります。振る舞い検知により、「怪しい動きをするプログラム」が全て検出されるためです。そのため、誤検知も増えるかもしれません。社内の既存アプリケーションを不正プログラムと判断する恐れがあります。
導入当初は過剰なアラートが多くなりがちなため、管理者の負担も重くなります。検知ポリシーを適切な設定にチューニングし、無駄なアラートを減らすことが重要です。
次世代アンチウイルス(NGAV)の導入に合わせておすすめしたいのが、事後対策が得意な「EDR」です。近年、「複雑化するサイバー攻撃を完全に防ぐことは不可能」といった考え方が主流になりつつあります。そのため、セキュリティインシデントが生じた際の事後対策も重要視されています。
EDRの目的は、全てのエンドポイントを監視し、不正アクセスなどの異常な挙動をリアルタイムに検知することです。不正プログラムはただちに隔離されるため、被害拡大を防げます。また、日頃からエンドポイントのログを収集しており、「侵入経路の特定」や「内部活動の範囲」といった調査の効率化が可能です。素早い調査により、復旧作業もスムーズになります。
次世代アンチウイルスの役割は、サイバー攻撃に対する「事前対策」です。万一、サイバー攻撃を防げなかった場合の対策にはなりません。EDRも導入すると、事前・事後対策によって強固なセキュリティ体制を構築できます。
次世代アンチウイルス(NGAV)は、既知・未知の脅威を検出できるセキュリティ製品です。振る舞い検知や機械学習アルゴリズムにより、ファイルレス攻撃の侵入も的確に防ぎます。従来のアンチウイルスは、高度なサイバー攻撃への対処が困難です。従来のアンチウイルスを使っている場合は、NGAVへの移行を検討してみてはいかがでしょうか。
