Written by Aimee
大手日系企業でのマーケティング職を経て、2022年にフリーランスに転身。
要件定義〜保守まで行うウェブデザイナー、ライターとして活動しています。タイ、チェンマイを拠点に旅暮らし中。
目 次
アンチウイルス(AV)とは
アンチウイルスを導入しないと起こる、主な被害リスク
アンチウイルスを代表する、2種類の検知手法
AI(機械学習)を駆使した、新たなアンチウイルス(NGAV・NGEPP)とは
アンチウイルスとEDRとの関係性
アンチウイルスを選定する際、見るべきポイント
業界最高峰のAIアンチウイルスを提供する、LANSCOPE サイバープロテクション
アンチウイルスに関するよくある質問
まとめ
アンチウイルス(AV)とは、システムに対する悪意あるプログラム・サイバー攻撃の侵略を水際でブロックし、マルウェア感染や大規模なセキュリティ事件を防止するためのソリューションです。
アンチウイルスは数あるセキュリティツールの中で、最も基本的な対策であり、企業・個人を問わず導入が欠かせません。
またアンチウイルスのマルウェア検出方法には、パターンマッチング、静的・動的ヒューリスティック方式があり、それぞれ以下の様な違いがあります。
▼アンチウイルスの検出方法の違い
| 検知方法 | 特徴 | メリット | デメリット |
|---|---|---|---|
| パターン マッチング方式 |
定義ファイルと呼ばれるデータベースに登録されたパターンと、検査対象のファイルパターンを比較し、マルウェアを検出する方法。 | ・既知のマルウェアに、高い検出率を誇る ・処理速度が速い ・誤検出が少ない |
・未知のウイルスには対応できない ・定義ファイルの更新が必要 |
| 静的 ヒューリスティック |
マルウェアの動作パターンや構造特徴に基づき、マルウェアを検出する方法。 | ・未知のマルウェアにも対応できる | ・パターンマッチング方式より誤検出が多い ・一部、新種の脅威に対応できない |
| 動的 ヒューリスティック |
実際にプログラムを実行させて、その挙動からマルウェアを検出する方法。 | ・未知のマルウェアに対応しており、静的ヒューリスティック方式よりも高い検出率を誇る | ・処理速度が遅く負荷が高い ・誤検出の可能性がある |
1日50万以上のマルウェアが新たに生み出されると言われる今、新種や亜種の脅威も問題なく検知する、高精度なアンチウイルスを選定することが重要です。
▼この記事を要約すると
- アンチウイルス(AV)は、ウイルスやマルウェアからシステムを保護するプログラム、EPPとも呼ばれる
- 導入しないことで、情報漏洩や不正アクセス、システム停止やデータ改ざんなど様々なセキュリティ被害が想定される
- アンチウイルスの検出方法には「パターンマッチング」「ヒューリスティック方式」があり、後者であれば未知のマルウェアも検知できる
- AIなど新たな技術を搭載した高機能AVを「次世代型アンチウイルス(NGAV)」という
- 侵入を未然に防ぐアンチウイルスに対し、事後対応や調査・復旧支援に役立つ「EDR」がある。併用が効果的
- 選定ポイントとして「検出率の高さ」「検知精度」「システム負荷」「サポート体制」などがある
- LANSCOPE サイバープロテクションでは、未知のマルウェア検知が可能、CPU負荷の高さや誤検知のリスクも低いAIアンチウイルスを提供
またエムオーテックス(MOTEX)では、未知のマルウェアをAI技術によって検知する、業界最高峰のアンチウイルス「LANSCOPE サイバープロテクション」を提供しています。
3分でわかる!AIアンチウイルス
LANSCOPE サイバープロテクションとは?
業界最高峰のAI技術で未知のマルウェアも検出。
LANSCOPEサイバープロテクションの機能と魅力をご紹介します。
アンチウイルス(AV)とは
アンチウイルス(AV)とは、コンピューターウイルスやマルウェア(悪意あるソフトウェア)から、システムを保護するために設計されたプログラムのことです。
企業向けには「EPP(Endpoint Protection Platform:エンドポイント保護プラットフォーム)」とも呼ばれ、マルウェアがもたらす様々な被害(不正アクセスやデータの破壊・改ざん、情報漏洩)を未然に防ぐ、いわゆる「盾」のような役割を果たします。
アンチウイルスが担う重要な機能は、以下の通りです。
- リアルタイムなマルウェア検出
- 検出したマルウェアの隔離・駆除
- システム全体の定期的なスキャン
- 未知のマルウェア検出のための分析
アンチウイルスでは、ファイル開封やプログラムの実行といったユーザー行動に伴い、リアルタイムでそれらをスキャンし、悪意のあるプログラムやウイルスの検出・駆除を行います。
感染したファイルはアンチウイルスによって速やかに隔離し、他端末やシステムへの感染拡大を防ぐことが可能です。また定期的にスキャンを実施することで、脅威の見逃しリスクを軽減できます。
さらに、パターンファイルに登録されていない「未知のマルウェア」を検出するため、昨今のアンチウイルスでは、ファイルの振る舞いやコードパターンの分析(ヒューリスティック分析)やAIによる機械学習を行います。
サイバー犯罪が増加する現代では新種のマルウェアが日々誕生し、これに対抗するため、アンチウイルスも常に進化を遂げています。企業・組織は自社の環境やリテラシーを踏まえ、最適なアンチウイルスを活用することが欠かせません。
アンチウイルスを導入しないと起こる、主な被害リスク
アンチウイルスを導入しないことで、企業・組織にて想定される被害リスクは以下の通りです。
- マルウェア感染
- 個人情報や機密情報の漏洩
- システムパフォーマンスの低下
- 営業停止や損害賠償・復旧対応による、金銭被害
- 信頼の失墜
- ランサムウェアによる被害
- 他サイバー攻撃の踏み台として悪用
仮にアンチウイルスによってシステムを防御しなければ、悪意のあるソフトウェア(マルウェア)に感染するでしょう。代表的なマルウェアに、ウイルス・トロイの木馬・ワーム・ランサムウェア等があります。
マルウェアに感染すると、情報漏洩やアカウントの乗っ取り・パフォーマンスの低下、企業であればシステムの停止やデータ破壊、高額な金銭の支払いといった被害を受ける可能性があります。
またマルウェアの中でも特に注意すべきが、組織のシステムやファイルを暗号化し、解除のための身代金を要求する「ランサムウェア」です。高額な身代金の支払いはもちろん、暗号化により重要データが使用不能になったり、システム停止に追い込まれたりする事例が、国内でも頻発しています。
昨今では「代金を支払っても暗号化を解除しない事例」や、追加で「データのばらまき」を引き換えに身代金を要求する「二重恐喝」の手口などが見られています
個人のデバイスがマルウェア感染すれば、ネットワークを介し組織全体のオンライン環境(他のデバイス、クラウド、メールシステム等)に感染を拡大する可能性があります。個々人のセキュリティリテラシーの向上に加え、マルウェア対策の要となる「アンチウイルス」の存在が欠かせないのです。
なぜウイルス対策をしても、マルウェア感染は増え続けるのか?
サイバー攻撃の危険性が取り沙汰される昨今、基本的にはどこの企業でも「既に何らかのアンチウイルスを導入している」ケースが大半でしょう。しかしマルウェア感染やサイバー攻撃の被害は今なお増え続けており、2024年現在も深刻な社会問題となっています。
実際、総務省が2023年に公開した「サイバー攻撃関連の通信数の推移」によると、2022年に観測した通信数は、2015年から約8.3倍へと増加しています。
▼NICTERにおけるサイバー攻撃関連の通信数の推移
※2020年から観測数が減少している理由は、2020年に観測された特異的な事象(大規模なバックスキャッタ2や、特定の送信元からの集中的な大量の調査目的と思われる通信)が2022年に観測されなかったため。
多くの企業がセキュリティ対策に取り組んでいるにもかかわらず、感染被害が減少しない要因として「サイバー攻撃の多様化・高度化」が挙げられます。
昨今の進化したマルウェアには、従来のアンチウイルス製品では検知しづらい仕組みが用いられており、検知をすり抜けてしまうケースが増加。例えば、2020年頃に国内で猛威を振るった「Emotet(エモテット)」などは、正規ファイルを装うことで、検知に引っかからない仕様でした。
またランサムウェア自動作成ツール(RaaS)等が市場に出回り、マルウェア生成が容易化したことから、今では1日に50~100万個の新種・亜種のマルウェアが世界でばら撒かれていると言われています。
こういった背景を受け、企業・組織はアンチウイルスを選定する際、検知性能に優れ、新種のマルウェアをも逃さない製品を検討することが欠かせません。
3分でわかる!AIアンチウイルス
LANSCOPE サイバープロテクションとは?
業界最高峰のAI技術で未知のマルウェアも検出。
LANSCOPEサイバープロテクションの機能と魅力をご紹介します。
アンチウイルスを代表する、2種類の検知手法
アンチウイルスの検知手法には、大きく分けて
- パターンマッチング方式
- ヒューリスティック方式
の2種類があります。
アンチウイルスを効果的に用いるには、検知手法を理解しておくことが大前提でしょう。各セキュリティベンダーは新種のマルウェアに対抗するため、日々検知方法・技術を開発し、他社との差別化を図っています。
1.パターンマッチング方式(シグネチャ方式)
パターンマッチング方式とは、マルウェアの特徴を記録した「パターンファイル(定義ファイル)」を用いて、脅威を検出する仕組みを指します。「指名手配書」をもとに、犯人を見つけ出す手法と同じイメージです。
過去に検出されたマルウェアの「特有のパターン(シグネチャ)」をデータベースとして記録し、照らし合わせることで脅威を検出します。パターンマッチング方式のメリットは、既知のマルウェアに対し、高い検知精度を発揮する点があげられます。またシグネチャが事前に用意されているため、検知が速いのも特徴です。
ただし大きなデメリットとして、過去に発見されているマルウェアしか検知できず、次々と新たなマルウェアが生み出される昨今の脅威事情には、対応しきれないのが現実です。また新たなマルウェアが出現する度、シグネチャを追加する必要があるため、工数過多・データベースの肥大化といった懸念もあります。
▼仮に「マルウェアX」のパターンファイルを登録しても、新たな「マルウェアY」には対応できない
2.ヒューリスティック方式
ヒューリスティック方式とは、あらかじめ登録・学習した「マルウェアの動作パターンやコード」をもとに、侵入したプログラムの挙動を分析し、悪意あるプログラムかを判定する仕組みのことです。
- 静的ヒューリスティック方式
- 動的ヒューリスティック方式
の2種類があり、パターンマッチングの弱点である「未知のマルウェア検知」に対応できるという強みを持ちます。
・静的ヒューリスティック方式とは?
「静的ヒューリスティック方式」では、ファイルやプログラムの静的な属性、構造、コードを分析し、潜在的な脅威を特定します。実際にファイルやプログラムの実行は行わない点で、動的ヒューリスティック方式と分別されます。
メリットとして、事前のシグネチャ更新が不要であることから、新しい脅威にも一定程度対応可能であること、検知精度が高くリソースの消費が少ないことが挙げられます。デメリットは、静的な解析しか行わないため、一部の新種の脅威には対応できないことが挙げられます。
・動的ヒューリスティック方式(ビヘイビア法)とは?
「動的ヒューリスティック方式(ビヘイビア法)」は、実際にプログラムを実行し、その挙動からマルウェアを検出する仕組みです。「振る舞い検知」と呼ぶこともあります。
通常の環境下で不審なプログラムを実行することは危険なため、「サンドボックス」と呼ばれる仮想環境が用いられます。
メリットとして新種のマルウェアや亜種であっても、検出できることがあります。ただし「挙動」をもとに分析して検知を行うことから、パターンマッチングに比べ「誤検知が多い」点がデメリットです。
また検知に時間を要す・リソースの消費が大きいといった特徴から、通常は静的ヒューリスティック方式の補助として用いられるケースが一般的です。
▼アンチウイルスの検出方法の違い
| 検知方法 | 特徴 | メリット | デメリット |
|---|---|---|---|
| パターンマッチング | 定義ファイルと呼ばれるデータベースに登録されたパターンと、検査対象のファイルパターンを比較し、マルウェアを検出する方法。 | ・既知のマルウェアに、高い検出率を誇る ・処理速度が速い ・誤検出が少ない |
・未知のウイルスには対応できない ・定義ファイルの更新が必要 |
| 静的ヒューリスティック | マルウェアの動作パターンや構造特徴に基づき、マルウェアを検出する方法。 | ・未知のマルウェアにも対応できる | ・パターンマッチング方式より誤検出が多い ・一部、新種の脅威に対応できない |
| 動的ヒューリスティック | 実際にプログラムを実行させて、その挙動からマルウェアをを検出する方法。 | ・未知のマルウェアに対応しており、静的ヒューリスティック方式よりも高い検出率を誇る | ・処理速度が遅く負荷が高い ・誤検出の可能性がある |
これらの検知手法は、アンチウイルスの性能や堅牢性を向上させるため、組み合わせて利用されることも多いです。
使用目的やセキュリティの要求事項に基づき、最適なアンチウイルスを選定することが重要です。
AI(機械学習)を駆使した、新たなアンチウイルス(NGAV・NGEPP)とは
従来型のアンチウイルスでは、急速に進化するマルウェア攻撃への対応が難しいことは先述の通りです。
この問題に対処する手段として、パターンマッチング方式のみに頼らない、AI技術を駆使した新しいアンチウイルスが注目を集めています。この新たなアンチウイルスは
- NGAV(Next-Generation Antivirus)または
- NGEPP(Next-Generation Endpoint Protection)
などと呼ばれます。
この新しいアンチウイルスは、従来のAVが抱える新種のマルウェア対策、過検知・誤検知・システム負荷といった課題を解消します。
例えばAI(人工知能)技術を活用するNGAVであれば、AIが自動で組織のシステム環境を学習し、新たに誕生するマルウェアのパターンを把握、定義ファイルに登録されていない未知・亜種のマルウェアであっても検出します。
パターンファイル更新や余計なアラート対応の手間を省けることで、セキュリティ担当者の負担を軽減できるといったメリットもあります。
アンチウイルスとEDRとの関係性
EPPとしばしば対比されるセキュリティの概念に、「EDR」があります。
多層防御による、強固なエンドポイントセキュリティの実現を目指す上で、EDRとアンチウイルスとの併用が注目されています。
EDRとは
EDR(Endpoint Detection and Response)とは、エンドポイント(デバイスやネットワークに接続された最終的な利用者端末)におけるセキュリティイベントをリアルタイムで監視し、早期検出と対応を支援するセキュリティソリューションです。
エンドポイントに対する悪意ある活動やセキュリティ侵害を早期に発見し、迅速な解決・被害の最小化を行うことがEDRの役目です。アンチウイルス(EPP)が、端末へのマルウェア侵入を水際でブロックするのに対し、EDRはシステムを監視して、侵入後のマルウェアを検出する役割を担います。
アンチウイルスとEDRは、共存することで真価を発揮する
アンチウイルスとEDRは、エンドポイントセキュリティにおいて相補的な役割を果たします。
▼アンチウイルス/ EDR 役割範囲
イメージとしては、基本的な脅威はアンチウイルスで防ぎ、感染を許した僅かなマルウェアを、EDRで対応するといった具合です。
加えてEDRは、エンドポイント上での異常な活動や未知の脅威をリアルタイムで監視するため、エンドポイント内におけるマルウェアの挙動を可視化し、効率的なインシデント調査や分析、再発防止策の策定にも役立ちます。
ただしアンチウイルスの存在無しにEDRは成り立たず、両製品は共存することで進化を発揮します。
MOTEXでは、EPPとEDRをセット導入できる「Cylanceシリーズ」を提供。同メーカーのアンチウイルス・EDRを、手ごろな価格で運用することが可能です。
アンチウイルスを選定する際、見るべきポイント
アンチウイルスの機能や検出方法は、メーカーによって多種多様です。また製品を選ぶポイントは、マルウェア検出の精度だけではありません。
以下では失敗しない「アンチウイルス選びのポイント」5つをご紹介します。
▼アンチウイルス選定のポイント
- 最新の攻撃・未知のマルウェア検知も可能か
- 過検知や誤検知は少ないか
- サポート体制は整っているか
- システム負荷が高くないか
- 継続できる価格帯か
1.最新の攻撃・未知のマルウェア検知も可能か
アンチウイルス選定時、まず確認したいのが「マルウェアの検出率の高さ」です。各メーカーが提示する数字とあわせて、アンチウイルスのテスト・評価を行う第三者機関が公開するスコアを参考にすると良いでしょう。体表的な評価機関に、オーストラリアの「AV-Comparatives」、ドイツの「AV-Test」等があり、サイトにて評価レポートを提示しています。
また「ITreview」など、製品に関する口コミサイトを参考にするのも良いでしょう。自社に近しい業種・規模の会社にセグメントし、製品レビューを見ることが可能です。
2.過検知や誤検知は少ないか
アンチウイルスが、誤って正規のプログラムを脅威として検知する「過検知」「誤検知」が、少ない製品であるかも確認しましょう。「未知のマルウェア検知」をうたっている製品群には、その代償として「検知精度」に課題があるものもあります。
過検知・誤検知が多いことにより
- アラート数が多く、対応工数が増える
- 従業員の業務に支障が出る
- 重要な脅威への対応が遅れる
といったリスクが考えられます。
誤検知が増えればその分、アラートも増加するため、セキュリティ担当者の負担も高まります。また余計なアラートが多発することで、本来重要な脅威への対応が見逃されるリスクもあるでしょう。
3.サポート体制は整っているか
提供元のサポート体制が整っていることも重要なポイントです。
わかりやすく迅速にインシデント発生時の相談が行える、製品の使い方等レクチャーが受けられる等、サポート体制の手厚さは製品を使いこなす上で欠かせません。チャットやメールだけでなく、電話やオンライン会議にて相談できるかも、1つのポイントです。
昨今はEDRをベンダーが代理で運用する、「MDR」などの運用監視マネージドサービスなども存在します。
4.システム負荷が高くないか
高い負荷はシステムのパフォーマンスに悪影響を与え、業務に支障をきたす可能性があります。
サーバー負荷、CPU占有率等、システムに与える負担が適切であるかを確認しましょう。
5.継続できる価格帯か
昨今では買い切り型ではなく、クラウドで提供されるサブスク型のアンチウイルスが増加しています。
「予算内で無理なく継続できる価格帯か」を考慮し、コストパフォーマンスに優れた製品を選定することも大切です。
業界最高峰のAIアンチウイルスを提供する、LANSCOPE サイバープロテクション
アンチウイルス製品の品質にこだわりたいお客様に知ってほしいのが、 「LANSCOPE サイバープロテクション」で提供する、2種類のAIアンチウイルスです。
▼2種類のアンチウイルスソリューション
- アンチウイルス✕EDR✕監視サービス(MDR)をセットで利用できる「CylanceGUARD」
- 各種ファイル・端末に対策できる次世代型アンチウイルス「Deep Instinct」
1. アンチウイルス✕EDR✕監視サービス(MDR)をセットで利用可能な「Cylanceシリーズ」
アンチウイルスは、EDRと掛け合わせることで、より強固なエンドポイントセキュリティ体制を確立します。「Cylanceシリーズ」であれば、高機能なアンチウイルスとEDRをセットで導入できることが可能です。
また「EDRに関心はあるが、運用に手が回らない」という企業様に向けて、 CylanceのEDR製品をセキュリティのプロが代理で運用する「CylanceGUARD」も提供しています。24時間365日代理監視を行うため、より確実にマルウェアの侵入からお客様のエンドポイントを保護することが可能です。
アンチウイルスのみ、アンチウイルス+EDRのみ導入するなど、柔軟な提案も可能です。侵入前・侵入後のランサムウェア対策を両立することで、お客様の大切な情報資産を守りましょう。
2. 各種ファイル・端末に対策できるNGAV「 Deep Instinct(ディープインスティンクト)」
- PC、スマートフォンなどOSを問わず、対策をしたい
- 実行ファイル以外の様々なファイルにも、対応できる 製品が良い
- 手頃な価格で「高性能なアンチウイルス」を導入したい
そういった方には、AIによるディープラーニング機能で、未知のマルウェアを高精度にブロックする、次世代型アンチウイルス「Deep Instinct(ディープインスティンクト)」がおすすめです。
近年の攻撃者は、セキュリティ製品の検知を逃れるため、実行ファイルだけでなくExcelやPDF・zipなど、多様な形式のマルウェアを生み出します。 しかしファイル形式を問わず対処する「Deep Instinct」であれば、これらのマルウェアも高い精度で検知・防御が可能です。
また幅広い端末での利用が可能で、Windows、macOS、AndroidなどのOSに対応しています。手ごろな価格帯で導入できるのも魅力です、ぜひ以下の製品ページよりご覧ください。
サイバー攻撃を受けたかも…事後対応なら「インシデント対応サービス」にお任せ
「PCがランサムウェアに感染してしまったかも」
「システムへ不正アクセスされた痕跡がある」
このようにサイバー攻撃を受けた”事後”に、いち早く復旧するためのサポートを受けたい場合は、プロがお客様に代わって脅威に対処する「インシデント対応サービス」の利用がおすすめです。
フォレンジック調査のスペシャリストがお客様の環境を調査し、感染状況と影響範囲を特定。マルウェアの封じ込めをはじめとした復旧支援に加え、今後どのように対策すべきかのアドバイスまで支援いたします。
「自社で復旧作業を行うのが難しい」「マルウェアの感染経路や影響範囲の特定をプロに任せたい」というお客様は、是非ご検討ください。
アンチウイルスに関するよくある質問
最後にアンチウイルスに関して、よくある質問と回答をまとめました。
アンチウイルスは無料・有料どちらが適切か?
無料のアンチウイルスの多くは、本記事でも紹介した「パターンマッチング方式」に該当します。
無料で高性能なツールもありますが、基本的には有料の製品を導入することが一般的です。
スマートフォンにもアンチウイルスは入れるべきか?
スマートフォン経由での感染事例も多く、悪意あるアプリのダウンロード、Webサイトの閲覧等でマルウェアに感染するリスクがあります。スマートフォンであってもアンチウイルスの導入がおすすめです。
MOETXの提供する次世代アンチウイルス「Deep Instinct」は、Androidにも導入可能です。
端末がウイルスに感染したか調べるには?
端末のマルウェア感染を確認するには、アンチウイルスソフトの「スキャン機能」を活用しましょう。ウイルススキャンを実行することで、端末内のファイルやプログラムが感染していないかを確認し、感染時は駆除や隔離といった対応も行えます。
基本的には定期スキャンをオンにしておくことが望ましく、設定画面から「定期スキャンの頻度やタイミング」を調整しましょう。
まとめ
本記事では「アンチウイルス」をテーマに、その概要や対策について解説しました。
すべてのセキュリティ対策の「基本」であるからこそ、継続しやすい価格帯の中で、高性能なアンチウイルス製品を選定することが重要です。
▼この記事のまとめ
- アンチウイルス(AV)は、ウイルスやマルウェアからシステムを保護するプログラム、EPPとも呼ばれる
- 導入しないことで、情報漏洩や不正アクセス、システム停止やデータ改ざんなど様々なセキュリティ被害が想定される
- アンチウイルスの検出方法には「パターンマッチング」「ヒューリスティック方式」があり、後者であれば未知のマルウェアも検知できる
- AIなど新たな技術を搭載した高機能AVを「次世代型アンチウイルス(NGAV)」という
- 侵入を未然に防ぐアンチウイルスに対し、事後対応や調査・復旧支援に役立つ「EDR」がある。併用が効果的
- 選定ポイントとして「検出率の高さ」「検知精度」「システム負荷」「サポート体制」などがある
- LANSCOPE サイバープロテクションでは、未知のマルウェア検知が可能、CPU負荷の高さや誤検知のリスクも低いAIアンチウイルスを提供
本記事が「アンチウイルス」の理解において、少しでもお役に立てれば幸いです。
またMOTEXでは、未知のマルウェアをAI技術によって検知する、業界最高峰のアンチウイルス「LANSCOPE サイバープロテクション」を提供しています。
3分でわかる!AIアンチウイルス
LANSCOPE サイバープロテクションとは?
業界最高峰のAI技術で未知のマルウェアも検出。
LANSCOPEサイバープロテクションの機能と魅力をご紹介します。
関連する記事
