無料会員登録
サイバー攻撃の高度化に伴い、考案されたのが「NGAV(Next Generation Antivirus)」や「NGEPP(Next Generation Endpoint Protection Platform)」という対処の仕組みです。
本記事では、このうち、次世代アンチウイルス「NGAV(Next Generation Anti-Virus)」について、生まれた背景を踏まえながら、機能や基本事項を解説します。
この記事の目次
NGAV(Next Generation Anti-Virus)とは?
次世代アンチウイルス「NGAV(Next Generation Anti-Virus)」は、悪意のあるプログラムやマルウェアへの感染を防ぐためのソフトウェアです。
アンチウイルス(AV)製品は、古くから存在していましたが、NGAVでは、従来型のアンチウイルスでは実現しなかった、未知のマルウェアの検出が可能です。
AV(Antivirus)とは
そもそも、アンチウイルス(AV:Antivirus)とは、どのようなソフトウェアなのでしょうか?
アンチウイルスの歴史は古く、1980年代後半には、セキュリティベンダー各社が次々とアンチウイルスを発売開始しています。
従来型のアンチウイルスは、次のような考え方に基づいて設計されています。
- 脅威を侵入させない。侵入を未然に防ぐ。
- システム内をスキャンし、過去に検知したことのある不正プログラムと同じパターンを持つファイルが存在していたら検出する。
そして、従来型のアンチウイルスの肝となる技術が「パターンマッチング」です。パターンマッチングでは、マルウェアのファイルや感染したファイルを解析し、確認できたデータ(シグネチャコード)を定義データベースに蓄積します。
次に、コンピュータ上をスキャンし、中にシグネチャコードと同種のデータがないか、定義データベースと照合します。コンピュータ上に該当するファイルが存在した場合、不正または疑わしいファイルとして検出し、アンチウイルスが自動的に隔離または削除します。
時を経て、サイバー犯罪者が用いる攻撃手法が高度化・複雑化。これら従来型のアンチウイルスによる検出をすり抜ける攻撃が次々と生まれました。
NGAVはなぜ必要?”次世代型”AVが生まれた背景
従来型アンチウイルスの弱点をカバーするために生まれたがのが、次世代型アンチウイルス「NGAV(Next Generation Anti-Virus)」です。
パターンマッチングの問題点
パターンマッチングでは、マルウェアのファイルや感染したファイルからの情報を蓄積した定義データベースと照合することで、不正または疑わしいファイルを検出します。
よって、パターンマッチング方式を採用した従来型アンチウイルスは、すでにデータベース化できた脅威、すなわち過去に検出された実績のあるマルウェアであれば検知できますが、未知のマルウェアに対しては全く無力ということになります。
このような背景から、未知の脅威であっても検出可能な仕組みが求められるようになりました。
次世代型アンチウイルス(NGAV)誕生
特に近年では、サイバー攻撃が巧妙化・複雑化し、従来型アンチウイルスによる検知を回避するための技術が盛り込まれたマルウェアも増えています。
例えば、メモリ上で動作し、OSやアプリケーションに搭載されている正規の機能を悪用するファイルレスマルウェアの場合は、パターンマッチングで検出できる不正ファイル自体が存在しないため、検出が困難です。
このような高度な攻撃に対処するため、既知の不正なコードを検知するのではなく、マルウェアによる不正な動作を確認することでマルウェアを検出する「振る舞い検知」や、「AI・機械学習」など新しい技術を活用した、次世代型アンチウイルス(NGAV)が誕生しました。
次世代型アンチウイルス(NGAV)の主な機能
従来型アンチウイルスの機能に加え、次世代型アンチウイルス(NGAV)には次のような機能が搭載されています。
振る舞い検知機能
コードやプログラムの内容を解析して不正プログラムかを判断するパターンマッチングに対し、振る舞い検知で解析するのは、プログラムの”動き”です。
パターンマッチングでは、定義データベースに定義された、完全に”黒(不正)”と言えるプログラムであれば検知できますが、完全に黒かどうかは疑わしい”グレー”なプログラムは検知できません。
振る舞い検知では、プログラムの内容ではなく、その動作を見て判断するため、定義データベースに頼らずに、疑わしい”グレー”なプログラムも検出できます。
AI・機械学習
従来のアンチウイルスにはない、AIを活用した機械学習がNGAVの大きな特徴です。
NGAVは、常にプロセスを監視しており、攻撃を受けた可能性があれば、その根拠や証拠となる情報を収集します。収集した情報の解析結果に基づき、これまで一度も確認されたことがない攻撃手法やマルウェアまでも検出・特定します。
マルウェアは凄まじいスピードで進化しており、マルウェアの新種が公開されると、そのコードの一部を改変した亜種が次々と生まれます。
検出済みのマルウェアを解析し、シグネチャを定義データベースに登録したあとに照合するという手間のかかる、パターンマッチングに基づく従来型アンチウイルスでは、亜種をリアルタイムに検出することが困難でした。
AIと機械学習機能により、マルウェアの特徴をAIが認識できるようになるため、パターンマッチング方式からの脱却が可能になりました。
サンドボックス
砂場という意味のサンドボックス(Sandbox)ですが、ITセキュリティの世界では、実際にプログラムを実行・動作させるための仮想環境を指します。
不正なプログラムと疑われるファイルを、ユーザーの実環境で実行させるわけには行きません。そこで、サンドボックスという完全に閉じた仮想環境上で、疑わしいプログラムを実行し、動作を確認します。
振る舞い検知や機械学習の機能で検出したプログラムは、不正と予測されたファイルでああって、実際に実行して不正な動作を確認したものではありません。このため、正規のプログラムまで誤って検出してしまう可能性が残っています。
そこで、疑わしいプログラムを実行できるサンドボックスで、動作を確かめ、検出の精度を高めます。
NGAVはEDRやDLPとどう違う?
「NGAV(Next Generation Anti-Virus)」の他、混同しがちな製品に「EDR(Endpoint Detection and Response)」や「DLP(Data Loss Prevention)」があります。
これらを比較しながらNGAVとの違いを説明します。
マルウェア感染後の対応を支援するEDR
EDR(Endpoint Detection and Response:エンドポイントでの検出と対応)は、ネットワークに接続する各種機器の中で、終端となる機器、例えば、ユーザーのPCやサーバーにおける不審な挙動を検知して、対処します。
マルウェアの侵入は防げないという前提に立ち、マルウェア感染後の対応を支援することを目的としている点が、EDRの大きな特徴です。脅威の侵入を防御するのではなく、万が一、感染した場合に、そこからいかに早く復旧するかに着目しています。
情報漏洩防止を目的としたDLP
DLP(Data Loss Prevention)は、情報漏洩防止を目的としたソフトウェアです。
アンチウイルスやEDRは、ユーザーやシステムを監視して、脅威から身を守りますが、DLPで監視するのは、守るべきデータそのものです。DLPは監視中のデータの持ち出しやコピーを検知しすると、自動的にブロックします。
NGAVとAV・EDR・DLPの違いをまとめると
紹介してきた、従来型アンチウイルス(AV)・EDR(Endpoint Detection and Response)・DLP(Data Loss Prevention)と次世代型アンチウイルス(NGAV)を比較すると、次のようにまとめることができます。
| 従来型アンチウイルス(AV) | 次世代型アンチウイルス(NGAV) | EDR(Endpoint Detection and Response) | DLP(Data Loss Prevention) | |
|---|---|---|---|---|
| 目的 |
|
|
|
|
| メリット | 誤検出が少ない | 未知の脅威も検出可能 | 感染後の復旧を支援できる | 機密情報の保護に特化して対策できる |
| デメリット | 既知の脅威しか検出できない | ライセンス費用が従来型アンチウイルスと比較し、高い | 侵入済みの攻撃へ対処するため、侵入を防ぐことはできない | 指定したデータ以外は防御できない |
まとめ
「NGAV(Next Generation Anti-Virus)」とは何か、他の製品とも比較しながら説明してきました。
サイバー犯罪への対処は、新しい防御策を講じても、サイバー犯罪者らがそれらの防御を回避する技術を生み出すといういたちごっこが続いています。次世代型アンチウイルス(NGAV)の“次世代型”という名称は、適当ではないかもしれません。
サイバー攻撃は、今後も巧妙化・高度化していくと見られており、“次世代型”の次の製品が登場する日も遠くなさそうです。
![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)
