昨今、企業におけるセキュリティ対策は重要ポイントとなっている一方でサイバー攻撃も高度化しており、対応が追い付かない企業が多いのが現状です。
本記事では、セキュリティ対策効果を高めてくれる「NGAV」について、「概要」、「主な機能」、「EDRとの違い」、「導入メリットとデメリット」、「導入時のポイント」について解説していきます。
NGAV(次世代型アンチウイルス)とは?
NGAVとは、「Next Generation Anti-Virus」の略で、一般的に「次世代型アンチウィルス」と呼ばれている悪意のあるプログラムやマルウェアへの感染を防ぐためのソフトウェアです。
アンチウィルス(AV)自体は、30年以上前から存在している製品ですが、サイバー攻撃の高度化に伴い、従来型のアンチウィルスでは攻撃を検出しきれなくなってきたことを背景に、このNGAVが生まれました。
尚、この”次世代”の定義や搭載機能に関しては、ベンダーごとに異なることがあるので注意が必要です。
従来型のアンチウィルスの限界と次世代アンチウィルスの誕生背景
従来のアンチウィルスプログラムは、パターンマッチング方式と呼ばれる、マルウェアのパターン情報を蓄積し、マルウェアと同じ性質を持っているとみなしたファイルを「不正ファイル」とみなして検出する方法でウィルスを検出しています。
このパターンマッチングの特性上、データベース化できた既知のマルウェアのパターン情報(マルウェア)しか検出する出来ないため、世の中に新たに出回ったマルウェアや誰も解析したことがない未知のマルウェアに対しては、対応出来ない状態となっています。
よって、近年発生している新たなマルウェアには対応しきれておらず、仕組みに限界を感じていました。
従来のアンチウィルスプログラムの課題に対応するため、エンドポイント上で、常に監視と人口知能による機械学習を行い、未知の脅威も検出できるようにした次世代アンチウィルスソフトが誕生しました。
NGAV(次世代型アンチウイルス)の主な機能
次世代型アンチウィルスの主な機能は「振る舞い検知機能」、「AI・機械学習機能」、「サンドボックス機能」の3点になります。
- 振る舞い検知機能
- AI・機械学習機能
- サンドボックス機能
振る舞い検知機能
「振る舞い検知機能」は、「不審な動きをしている」といった正常なプログラムには見られないウィルス特有の動きを見つけ出すことで、ウイルスを検知するという機能となります。
この機能を利用することで、従来のパターンマッチングでは抽出できなかった未知のウィルスにも対応できるようになると期待されています。
ふるまい検知では「ヒューリスティック」と「ビヘイビア」という手法が主に利用されています。
「ヒューリスティック」は、ウィルスの挙動には一定の特徴があると言われており、この特徴(挙動)をあらかじめ登録しておき、その特徴(挙動)と合致したプログラムが見つかった場合、危険なものと判断する方法となります。
この方法を利用することで、未知のウィルスや、既知からの亜種、変種にも対応できるよになります。
「ビヘイビア」は調査対象となるプログラムを実際に実行することで、その振る舞い(ビヘイビア)を見て、危険なものかそうでないかを判断する検知手法になります。
AI・機械学習機能
NGAV上のプロセスを常に監視し、攻撃を受けた可能性があれば、その根拠や証拠となる情報を収集。収集した情報の解析結果に基づき、これまで一度も確認されたことがない攻撃手法やマルウェアまでも検出・特定する機能です。
サンドボックス機能
検出された疑わるプログラムをユーザ環境とは完全に隔離された仮想環境上でプログラムを実行し検証を行える機能となります。
振る舞い検知や機械学習の機能では不正と予測されたファイルを検出するため、正規のプログラムまで誤って検出してしまう可能性が残っています。
そこで、検出されたものが、問題あるプログラムなのか否かを検証する環境が必要となるため、その際に利用する機能となります。
NGAVとEDRの違い
NGAVとEDRの違いについて説明します。
まず、違いを説明する前に、事業会社の情報セキュリティ対策を検討する上で、理解しておきたいのが「事前対策」と「事後対策」という考え方です。
事前対策:脅威の侵入を防止する対策
事後対策:脅威が侵入してしまった際に被害を最小限に食い止める対策
このセキュリティ対策検討するにあたり、『事前対策』と『事後対策』のどちらが大切かという質問をもらうことがありますが、結論、脅威を予見して未然に防ぎ、万一の事態も収束させていけるバランスの取れたセキュリティ対策を目指す必要があります。
実際、総務省から出されている「サイバーセキュリティ経営ガイドライン」も、この事前対策と事後対策という二つの考え方が重要であると認識し、平成29年11月に「事後対策」にも触れるように改訂されています。
そして、「NGAV」と「EDR」の違いは、まさにこの「事前/事故対策用のソリューション」という点になります。
「NGAV」は、PCに侵入しようとする脅威を未然に検知し、PCを保護することを目的とした製品のため、事前対策のソリューションとなります。
一方で、「EDR」はPCを常時監視し、異常や不審な挙動が発生した場合に通知、復旧を支援するという事後対策の考え方に基づいたソリューションとなります。
尚、EPPとは「Endpoint Protection Platform」の略で、PCに侵入しようとする脅威をエンドポイントで検知し、PCを保護することを目的とした製品群の総称で、従来型のアンチウイルスやNGAVも、このEPP製品に分類されます。
NGAVの導入メリットとデメリット
NGAVの発生経緯から説明している通り、導入のメリットは、「従来のアンチウィルスソフトでは、対応出来ない未知のウィルス、亜種、変種にも対応できる」という点になります。
また、パターンファイルの更新が必要ないため、「ネットワークに負荷を与えない」、「インターネットに繋がらない端末での更新の手間がなくなる」といった点もメリットになります。
一方で、NGAVでは不正と疑われるプログラムが動いていた場合、検知することになります。そのため、従来型のアンチウィルスと比較して、アラート頻度が高くなるため、「過剰検知の恐れ」、「アラートの増加」、「担当者が確認・判断すべき対象の増加」などがデメリットとしてあげられます。
メリット
- 従来のアンチウィルスソフトでは対応出来ない未知のウィルス、亜種、変種にも対応できる
- パターンファイルの更新が必要ない
デメリット
- 過剰検知の恐れ
- アラートの増加
- 担当者が確認・判断すべき対象の増加
NGAVの導入時の注意点
メリット/デメリットからもわかる通り、アラート件数が多くなるため、運用の負荷が上がることが予想されます。
そのため、製品と導入したが業務が回らないといった事態を避けるためにも、導入時には、導入製品の検討をする際に運用体制を構築という軸も評価ポイントとして検討していくことが大切となります。
まとめ
本記事では、「NGAV」について、「概要」、「主な機能」、「EDRとの違い」、「導入メリットとデメリット」、「導入時のポイント」について解説しました。
昨今、企業におけるセキュリティ対策は重要ポイントとなっており、NGAVはその対策効果を高めてくれる製品化と思います。導入に迷われている担当者のかたは一度ご検討してみてはいかがでしょうか?
最後に
他のセキュリティ関連の記事ならびに、情シスのキャリアなどIT技術以外の記事もありますので、もしご興味あればご参照ください。
セキュリティ関連記事
https://digital-jyoshisu.com/archives/category/セキュリティ
とは?-~役割と求められる人材スキルについて~-160x90.png)
情シスのキャリア関連記事
https://digital-jyoshisu.com/archives/category/キャリア
