お役立ち情報

ブログ

  • 2022.05.26. 次世代型アンチウイルス(NGAV)とは?従来型やEDRとの違いも

    次世代型アンチウイルス(NGAV)とは、未知のウイルスを探知することができる情報セキュリティ対策を指します。サイバー攻撃の手口が巧妙になったことで、従来型アンチウイルスではセキュリティ対策が不十分となり、次世代型アンチウイルスが誕生しました。

    サイバー攻撃が複雑化する中で、企業には機密情報や顧客情報を守る責任があります。そのため、「会社のセキュリティ対策を強化したい」「次世代型アンチウイルスについて詳しく知りたい」と考える担当者の方は少なくないでしょう。

    当記事では、次世代型アンチウイルスについて、従来型やEDRとの違いを交えながら、詳しく解説します。

     

    1.次世代型アンチウイルスとは?

    次世代型アンチウイルス(NGAV)とは、Next Generation Anti-Virusの略称で、最新のサイバー攻撃に対処するために開発されたセキュリティ対策のソフトウェアです。

    近年はサイバー攻撃の手法が複雑になり、従来型アンチウイルスは約半数のサイバー攻撃にしか機能しなくなりました。巧妙化した攻撃にも対応できるように、次世代型アンチウイルスには人工知能による機械学習などの新技術が組み込まれています。

    次世代型アンチウイルスは世の中に出回っていない未知のマルウェア攻撃を阻止することが可能です。なお、マルウェアは悪意あるソフトウェアを指す言葉です。

     

    2.次世代型アンチウイルスの機能

    従来型アンチウイルスで防御できなかった攻撃に対抗するために、次世代型アンチウイルスにはいくつかの新しい機能が加わりました。

    製品によって内容は多少異なりますが、代表的な機能を紹介します。自社のウイルス対策に次世代型アンチウイルスが必要かどうかを判断するために、次世代型アンチウイルスの機能について理解しましょう。

     

    2-1.振る舞い検知

    振る舞い検知とは、不審な振る舞いをしているプログラムを検知するシステムです。

    万引き犯が普通の人はしないような怪しい動きをするのと同じで、不正なマルウェアは正常ファイルでは見られない特有の動きをします。プログラム自体やコード自体を見るのではなくプログラムの動作を見て判断するため、今までに出回っていないウイルスを見つけ出すことが可能です。

    ただし、疑わしいものを検出するというシステムであるため、全く問題のないプログラムを不正だと判断してしまうこともあります。

     

    2-2.AI・機械学習

    次世代型アンチウイルスではAIを活用した機械学習が大きな特徴です。

    常にプロセスを監視し、攻撃を受けた気配を察知すると情報収集を開始します。情報収集をした結果、過去に検出されたことがない攻撃手法やマルウェアであったとしても、不正プログラムを検出可能です。

    人間が手を加えなくてもAIが自動でデータ分析をするため、未知のマルウェアにも迅速に対応することができます。

     

    2-3.パターンマッチング

    パターンマッチングとは従来型のアンチウイルスの主要機能です。今まで存在したマルウェアの情報を蓄積し、そのデータを基に不正ファイルを検出するという手法です。

    未知のマルウェアを検出することはできませんが、登録された脅威は確実に防げるというメリットがあります。既知のマルウェア対策には有効であるため、次世代型アンチウイルスでも引き続き導入され重要な役割を担っています。

     

    2-4.サンドボックス

    サンドボックスとは、実際に不審なプログラムを実行、動作させることができる仮想環境のことです。疑わしいものを不正だと断言できない場合、閉ざされた仮想環境の中でプログラムを動かし、動きに異常がないかをテストします。

    調査をする際、悪質なプログラムが暴走したり、データにアクセスしようとしたりしても、サンドボックス内であれば外のデータに悪影響を及ぼすことはありません。未知の不正ファイルにも対処できるという点が大きなメリットです。

     

    3.次世代型アンチウイルスと従来型・EDR・EPP・DLPの違い

    セキュリティ対策には次世代型アンチウイルスの他にもさまざまな種類が存在します。

    セキュリティ対策は大きく分けると、事前対策と事後対策の2つに分かれます。事前対策とは、マルウェアなどの脅威を侵入させないための対策です。一方、事後対策は脅威が侵入してしまった後に行う対策です。侵入後の被害を最小限に抑えたり、侵入前の状態にいち早く戻したりすることを目的としています。

    また、次世代型アンチウイルスやその他のセキュリティ対策の特徴は以下の通りです。それぞれの特徴を知り比較することで、自社にとって適切な対策を選択できるようにしましょう。

    対策方法 特徴
    次世代型アンチウイルス
    • 未知のマルウェアを検出可能
    • 100%防ぐことはできない
    従来型アンチウイルス
    • 既存のマルウェアのみ検出可能
    • パターンマッチングが主な機能
    EDR
    • 脅威が侵入してしまった後の事後対策
    • 早期の復旧が目的
    • マルウェアの侵入を防ぐことはできない
    EPP
    • 脅威が侵入してくるまでの事前対策全般
    • 不正侵入したマルウェアを検知・排除する
    DLP
    • 情報漏洩防止が目的
    • 指定したファイル以外は防御できない

    セキュリティ対策はどれか1つが大切ということではなく、事前対策と事後対策をうまく組み合わせることが重要です。

    ここでは、それぞれの概要と違いについて解説します。

     

    3-1.従来型アンチウイルス

    従来型アンチウイルスは脅威を未然に防ぐことが目的で、パターンマッチングが主な技術です。過去に検知した不正プログラムのデータを蓄積し、不正プログラムと同じパターンのファイルが侵入すると、検知し排除します。

    しかし近年、攻撃者の技術が巧妙化・複雑化し、従来型アンチウイルスの検出をすり抜けるものが次々と現われました。そのため、従来型アンチウイルスだけでは十分なセキュリティ対策が難しい状況にあります。

     

    3-2.EDR

    EDRとは、Endpoint Detection And Responseの略で、ネットワークの末端に位置するPCやサーバーでの不審な動きを検出し、対処する仕組みやツールを指します。

    巧妙化するサイバー攻撃を完全に防ぐのは難しいという前提に立ち、感染した際に被害を最小化することが目的です。脅威の侵入を防ぐという機能はなく、万が一感染した場合にいかに早く復旧するか、という点に重きを置いています。

     

    3-3.EPP

    EPPとは、Endpoint Protection Platformの略で、マルウェア感染の事前対策全般を指します。次世代型アンチウイルスや従来型アンチウイルスもEPPに含まれます。PCに侵入しようとする脅威をエンドポイントで検知し、PCを保護することが目的です。

    エンドポイントとは、「末端」などを表す言葉で、IT用語としては、ネットワークの末端に接続されたPCやタブレット・スマホなどの端末を指します。

     

    3-4.DLP

    DLPとは、Date Loss Preventionの略で、個人情報など機密情報の保護を目的としたセキュリティシステムです。従来の情報漏洩対策はIDとパスワードによるユーザー認証が主流でした。ユーザー認証は悪意ある第三者に対しては効果を発揮しますが、正規の情報を知る社員による不正アクセスや操作ミスによる情報漏洩は防止できません。

    DLPでは特定の機密情報を常に監視し、データに怪しい動作が見られた場合、すぐにアラートや操作キャンセルを行うことができます。

     

    まとめ

    近年は、未知のマルウェアが増加しており、従来型アンチウイルスだけでは、対処することが難しい状況にあります。次世代型アンチウイルスは、振る舞い検知やサンドボックスなど新技術が加わったことで、蓄積データに存在しないマルウェアを検知できます。EDRやDLPなどの機能と組み合わせて対策することで、今後さらに高度化するサイバー攻撃に備えましょう。

    EXOセキュリティは、ITに不慣れな方でも簡単な操作で扱える、次世代型アンチウイルスです。会社のセキュリティ戦略に少しでも不安がある方やサービスについて詳しく知りたい方は、気軽にお問い合わせください。