次世代アンチウイルスとは？

次世代アンチウイルスとは？

エンドポイントセキュリティ

ユーザーが利用するPC端末や企業が管理しているサーバ等、ネットワークの末端に位置するものをサイバー攻撃から保護する対策をエンドポイント保護プラットフォーム：EPP（Endpoint Protection Platform）と呼びます。
EPPに分類される製品やソリューションは非常に多岐にわたりますが、最も広く採用されているソリューションは、利用するPC端末にほぼ100%導入されている「アンチウイルス (AV：Anti-Virus)」製品です。

アンチウイルス製品の役割

アンチウイルス製品は、悪意のあるプログラムやソフトウェアがエンドポイントに感染することを防ぐことが主な役割です。アンチウイルス製品には、これまでに見つかった脅威情報からセキュリティメーカー各社が作成したシグネチャ (ウイルスパターン)ファイルが搭載されており、そのパターンに合致するファイルを検知して防御します。予め定義された情報を活用するため、誤検知が非常に少ないことが大きなメリットです。

一方で、攻撃手法の巧妙化に伴い、従来のアンチウイルスには以下のような課題があります。

従来のアンチウイルスの課題

・検知できる脅威が増えるほどシグネチャファイルも大きくなり、端末動作が重くなる

・シグネチャファイルが大きくなると、スキャンにかかる時間が増える

・全ての端末で、常に最新のシグネチャファイルを配信するような管理が必要

・これまでに見つかっていない未知の脅威に対しては全く効果が無い

アンチウイルスの防御を突破する「未知のサイバー攻撃」への対策

ある調査結果では、現在ではエンドポイントの攻撃被害の半数以上は、未知のサイバー攻撃によるものと言われています。先ほどの説明の通り、従来のアンチウイルス製品は既知の脅威のみを対象としており、現在求められるエンドポイントセキュリティ対策としては不十分であることがわかります。

未知の脅威に対しては、ネットワーク側で採用される次世代ファイアウォールやサンドボックスでも一定の効果は見込めますが、結局はそれらをすり抜ける方法が存在するため、遅かれ早かれエンドポイントにまで到達します。そのため、最後の砦であるエンドポイントで、シグネチャファイルでのパターンマッチング以外の方法を使った新しい防御方法や、事後対応を強化して被害を最小限に抑える対策に注目が集まっています。

対策 ①シグネチャだけに頼らない「次世代アンチウイルス」

AIや機械学習などの最新テクノロジーを活用してファイルや挙動の精査を行い、既知および未知の脅威からエンドポイントを保護するソリューションが「次世代アンチウイルス(NGAV：Next Generation Anti-Virus)」として注目を集めています。

従来のアンチウイルスでは防御ができなかった新種/亜種のマルウェアや、マルウェアとしての実体を持たない非マルウェア攻撃 (ファイルレス攻撃)への対策が可能です。多くの次世代アンチウイルスではクラウドを活用して、シグネチャだけに頼らない防御を提供するため軽量であり、パターンファイルの常時更新も不要になることもメリットの一つと言えます。

注意点は、デフォルト設定では誤防御やアラートが多く発生することがあるため、実運用を想定して導入の検討を進めることが必要です。次世代アンチウイルスを導入しても使いこなせない、チューニングをする事自体が仕事になってしまうといった事態を避けるためにも、検知率だけではなく、導入する環境に合わせた柔軟な設定が可能かどうかも重要なポイントになります。

対策 ②インシデント発生事後対策としての「EDR」

EPPや次世代アンチウイルスは「侵入を止めること」を主な目的としていますが、EDR (Endpoint Detection and Response)はエンドポイントでの「マルウェアの検知および感染した後の対応を迅速に行うこと」と目的が異なっており、EDRは従来のエンドポイントセキュリティ製品でカバーできていなかった領域に対応する製品と言えます。
EDRでは、エンドポイントのログを一か所に集約し、分析することで脅威の可能性を検知します。管理者は、保存してあるログ情報をさかのぼって事象を調査することや、各エンドポイントに対して隔離やファイルの取得などの遠隔対応を行うことが可能です。エンドポイントに到達してしまった脅威の早期封じ込めや、発生したセキュリティ事故の被害最小化、再発防止のための根本原因を明確にすることができる、といったメリットがあります。

遠隔から行える対応内容や、可視化をするために必要な収集可能なログの種類と保存期間は、EDR製品によってかなりの差があります。有事の際、EDRの効果を適切に享受するために、想定される対応フローに必要な機能があり、長期間の情報保持ができるかが重要なポイントになります。

エンドポイントセキュリティは新時代へ

次世代アンチウイルスとEDRは、昨今のサイバーセキュリティ対策において非常に重要なソリューションであり、日本国内でも導入が進んでいます。
これらはお互いを補完しあう関係性であり、シームレスに機能を連携できれば、より一層のセキュリティ効果が期待できます。EDRのパイオニアであるVMware Carbon Blackのように、セキュリティメーカーによっては二つの機能を単一のセンサーに統合して、包括的なエンドポイントセキュリティとして提供しているソリューションもあり、導入後の効率的な運用が見込めます。