サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

振る舞い検知とは?その特徴やメリットデメリットを徹底解説



「ウィルス対策ソフトでも見つけられないウィルスがある」と聞けば、皆さんは驚くのではないでしょうか。実は、従来のウィルス対策ソフトでは未知のウィルスは見つけることが出来ません。

この問題を解決するために開発されたものが「振る舞い検知」という手法です。振る舞い検知では、従来の方法と異なり、「ウィルスっぽい」といった不審なプログラムの行動を見つけることで検知をします。それにより未知のウィルスでも検知が可能な振る舞い検知。今回は、この振る舞い検知について紹介します。

振る舞い検知とは

従来のウィルス対策ソフトは、膨大なウィルスのデータベースとの照合によってウィルスを検知していました。

これに対して、「振る舞い検知」では、「不審な動きをしている」といった正常なプログラムには見られないウィルス特有の動きを見つけ出すことで、ウイルスを検知するもので、未知のウィルスにも対応できるという特徴があります。

振る舞い検知の方法

従来の方法では、検知することが難しかった未知のウィルスも「振る舞い検知」では、見つけることが可能です。それには「ビヘイビア」という方法が用いられます。それ以外にも「ヒューリスティック」と呼ばれる手法や、従来用いられてきた「パターンマッチング」手法についても併せて見ていきましょう。

パターンマッチング

従来のウィルス対策ソフトで一般的に使われている手法が、パターンマッチングです。ウィルスパターンファイルなどのウィルスの識別ができる定義情報をデータベース化しておき、それと照合して一致すればウィルスであると判別する手法です。

ヒューリスティック

ウィルスは、挙動などに一定の特徴があります。ヒューリスティックと呼ばれる手法では、ウィルスに特徴的な挙動をあらかじめ登録しておき、そうした特徴に合致するプログラムが見つかった場合に危険なものと判断するものです。この手法を使うと、未知のウィルスや、亜種、変種などにも対応できるメリットがあります。

ビヘイビア

調査対象となるプログラムを実際に実行することで、その振る舞い(ビヘイビア)を見て、危険なものかそうでないかを判断する検知手法です。この手法が「振る舞い検知」です。

振る舞い検知とパターンマッチング方式の違い

従来、ウィルス検知には「パターンマッチング」と呼ばれる手法が使われることが一般的でした。この方法と、新しい「振る舞い検知」という方法とはどのように違うのでしょうか。

振る舞い検知 プログラムの不審な動きやウィルス特有の特徴から、ウィルスである可能性が高いと判断している
パターンマッチング プログラムをウィルスの情報を集めたデータベース(パターンファイル)と照合し、一致すればウィルスと判断している

つまり、パターンマッチングがデータベースと照合することで「間違いなくウィルスである」という判断をしているのに対して、振る舞い検知では、挙動や特徴から「ウィルスである可能性が高い」という判断をしているという違いがあります。

振る舞い検知のメリット

振る舞い検知を使うことで、従来のパターンマッチング方式によるウィルス検知と比べてどういったメリットがあるのでしょうか。

  • 未知のウィルスにも対応できる
  • 変種や亜種にも対応できる
  • パターンファイルが必要ない

このように、従来のウィルス対策ソフトと異なり、未知のウィルスにも対応できるというメリットがあります。また、パターンファイルの更新が必要ないということも、ネットワークに負荷を与えない、という点や、インターネットに繋がらない端末での更新の手間がなくなるというメリットもあります。

振る舞い検知のデメリット

多くのメリットがある振る舞い検知ですが、逆にデメリットはないのでしょうか。従来のパターンマッチ方式と比べると、振る舞い検知には以下のようなデメリットがあります。

  • 100%確実にウィルスのような不正プログラムであると断定することが難しい
  • 正常なプログラムを不正なものと誤検知してしまう可能性がある

このように、確実に不正なプログラムと断定することが難しいばかりか、全く問題のないプログラムが場合によってはウィルスと判断されてしまうことがあります。

まとめ

これまでのウィルス対策ソフトには、「未知のウィルスには対抗できない」といった大きな欠点がありました。それは、パターンファイルなどのウィルスの情報を集めたデータベースとプログラムを照合し、一致すればウィルスである、という検知方法を取っていたためです。この方法では、データベースにない新しいウィルスが検知できないのは当然です。

この問題を解決するのが、今回紹介した「振る舞い検知」です。振る舞い検知では、実際のプログラムの動作を確認し、「不審な動きをしている」などウィルスが持つ特徴に合致する場合にウィルスであると判断します。これにより「未知のウィルスでも検知できる」などのメリットがあります。ただし、「問題のないプログラムをウィルスであると誤検知してしまう」例もあり、100%と言えるものではありません。

しかし、未知のウィルスでも対応できるというのは最近の急増するサイバー攻撃から情報システムを守るためにはとても有効な機能です。ウィルス対策ソフトを選択する際には、ぜひこうした機能を持つものを利用するようにしましょう。



  • LINEで送る

書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。