Written by Aimee
目 次
アンチウイルス(AV)とは、システムに対する悪意あるプログラム・サイバー攻撃の侵略を水際でブロックし、マルウェア感染や大規模なセキュリティ事件を防止するためのソリューションです。
アンチウイルスは数あるセキュリティツールの中で、最も基本的な対策であり、企業・個人を問わず導入が欠かせません。
本記事では、「アンチウイルス」をテーマとして、概要や選び方、また導入しない場合のリスクなどをわかりやすく解説します。
▼本記事でわかること
- アンチウイルス(AV)の概要
- アンチウイルスを導入しないリスク
- アンチウイルスの検知手法
- 新たなアンチウイルスの特徴
- アンチウイルスの選び方
また、未知のマルウェアをAI技術によって検知する、業界最高峰のアンチウイルス「LANSCOPE サイバープロテクション」についてもあわせて紹介します。
企業・組織のセキュリティ強化を目指す担当者の方は、ぜひご確認ください。
アンチウイルス(AV)とは
アンチウイルス(AV)とは、コンピューターウイルスやマルウェア(悪意あるソフトウェア)から、システムを保護するために設計されたプログラムのことです。
企業向けには「EPP(Endpoint Protection Platform)」とも呼ばれ、マルウェアがもたらす様々な被害(不正アクセスやデータの破壊・改ざん、情報漏洩)を未然に防ぐ、いわゆる「盾」のような役割を果たします。
アンチウイルスが担う重要な機能は、以下の通りです。
- リアルタイムなマルウェア検出
- 検出したマルウェアの隔離・駆除
- システム全体の定期的なスキャン
- 未知のマルウェア検出のための分析
アンチウイルスでは、ファイル開封やプログラムの実行といったユーザー行動に伴い、リアルタイムでそれらをスキャンし、悪意のあるプログラムやウイルスの検出・駆除をおこないます。
感染したファイルはアンチウイルスによって速やかに隔離し、他端末やシステムへの感染拡大を防ぐことが可能です。
また定期的にスキャンを実施することで、脅威の見逃しリスクを軽減できます。
さらに、パターンファイルに登録されていない「未知のマルウェア」を検出するため、昨今のアンチウイルスでは、ファイルの振る舞いやコードパターンの分析(ヒューリスティック分析)やAIによる機械学習をおこないます。
サイバー犯罪が増加する現代では新種のマルウェアが日々誕生し、これに対抗するため、アンチウイルスも常に進化を遂げています。企業・組織は自社の環境やリテラシーを踏まえ、最適なアンチウイルスを活用することが欠かせません。
アンチウイルスを導入しないと起こる、主な被害リスク
アンチウイルスを導入しないことで、企業・組織に想定される被害リスクは以下の通りです。
- マルウェア感染
- 個人情報や機密情報の漏洩
- システムパフォーマンスの低下
- 営業停止や損害賠償・復旧対応による、金銭被害
- 信頼の失墜
- ランサムウェアによる被害
- ほかサイバー攻撃の踏み台として悪用
アンチウイルスを導入しないと、ウイルスやトロイの木馬、ワームやランサムウェアなどの悪意のあるソフトウェア(マルウェア)に感染するリスクが高まります。
また、マルウェアに感染すると、情報漏洩やアカウントの乗っ取り・パフォーマンスの低下、企業であればシステムの停止やデータ破壊、高額な金銭の支払いといった被害を受ける可能性も高まります。
マルウェアの中でもとくに注意するべきなのは、組織のシステムやファイルを暗号化し、解除のための身代金を要求する「ランサムウェア」です。
高額な身代金の支払いはもちろん、暗号化により重要データが使用不能になったり、システム停止に追い込まれたりする事例が、国内でも頻発しています。
昨今では、「代金を支払っても暗号化を解除しない事例」や、追加で「データのばらまき」を引き換えに身代金を要求する「二重恐喝」の手口なども報告されています。
個人のデバイスがマルウェア感染すれば、ネットワークを介し組織全体のオンライン環境(他のデバイス、クラウド、メールシステム等)に感染を拡大する可能性があります。
個々人のセキュリティリテラシーの向上に加え、マルウェア対策の要となる「アンチウイルス」の存在が欠かせないのです。
なぜウイルス対策をしても、マルウェア感染は増え続けるのか?
サイバー攻撃の危険性が取り沙汰される昨今、基本的にはどこの企業でも、すでになんらかのアンチウイルスを導入しているケースが多いと思います。
しかしマルウェア感染やサイバー攻撃の被害はいまなお増え続けており、2024年現在も深刻な社会問題となっています。
実際、総務省が2023年に公開した「サイバー攻撃関連の通信数の推移」によると、2022年に観測した通信数は、2015年と比較して約8.3倍に増加しています。
▼NICTERにおけるサイバー攻撃関連の通信数の推移
※2020年から観測数が減少している理由は、2020年に観測された特異的な事象(大規模なバックスキャッタ2や、特定の送信元からの集中的な大量の調査目的と思われる通信)が2022年に観測されなかったため。
多くの企業がセキュリティ対策に取り組んでいるにもかかわらず、感染被害が減少しない要因として「サイバー攻撃の多様化・高度化」が挙げられます。
昨今の進化したマルウェアには、従来のアンチウイルス製品では検知しづらい仕組みが用いられており、検知をすり抜けてしまうケースが増加しています。
たとえば、2020年頃に国内で猛威を振るったEmotet(エモテット)は、正規ファイルを装うことで、検知に引っかからない仕様でした。
また、ランサムウェア自動作成ツール(RaaS)等が市場に出回り、マルウェア生成が容易化したことから、いまでは1日に50~100万個の新種・亜種のマルウェアが世界でばら撒かれていると言われています。
こういった背景を受け、企業・組織はアンチウイルスを選定する際、検知性能に優れ、新種のマルウェアをも逃さない製品を検討することが欠かせません。
アンチウイルスを代表する、2種類の検知手法
アンチウイルスの検知手法には、大きく分けて下記の2種類があります。
- パターンマッチング方式
- ヒューリスティック方式
アンチウイルスを効果的に用いるためには、検知手法を理解しておくことが大切です。
各セキュリティベンダーは、新種のマルウェアに対抗するため、日々検知方法・技術を開発し、他社との差別化を図っています。
パターンマッチング方式(シグネチャ方式)
パターンマッチング方式とは、マルウェアの特徴を記録した「パターンファイル(定義ファイル)」を用いて、脅威を検出する仕組みです。
「指名手配書」をもとに、犯人を見つけ出す手法と同じイメージです。
過去に検出されたマルウェアの「特有のパターン(シグネチャ)」をデータベースとして記録し、それと照らし合わせることで脅威を検出します。
パターンマッチング方式のメリットは、既知のマルウェアに対し、高い検知精度を発揮する点があげられます。
またシグネチャが事前に用意されているため、検知が速いのも特徴です。
しかし、パターンマッチング方式では、過去に発見されているマルウェアしか検知できず、次々と生み出される新たなマルウェアは検知できないという大きなデメリットがあります。
また新たなマルウェアが出現する度、シグネチャを追加する必要があるため、工数過多・データベースの肥大化といった懸念もあります。
ヒューリスティック方式
ヒューリスティック方式とは、あらかじめ登録・学習したマルウェアの動作パターンやコードをもとに、侵入したプログラムの挙動を分析し、悪意あるプログラムかを判定する仕組みのことです。
ヒューリスティック方式には、下記の2種類があり、パターンマッチングの弱点である「未知のマルウェア検知」に対応できるという強みを持ちます。
- 静的ヒューリスティック方式
- 動的ヒューリスティック方式
静的ヒューリスティック方式とは
静的ヒューリスティック方式では、ファイルやプログラムの静的な属性、構造、コードを分析し、潜在的な脅威を特定します。
実際にファイルやプログラムの実行はおこなわない点で、動的ヒューリスティック方式と分別されます。
メリットとして、事前のシグネチャ更新が不要であることから、新しい脅威にも一定程度対応可能であること、検知精度が高くリソースの消費が少ないことが挙げられます。
デメリットは、静的な解析しかおこなわないため、一部の新種の脅威には対応できないことが挙げられます。
動的ヒューリスティック方式(ビヘイビア法)とは
動的ヒューリスティック方式(ビヘイビア法)は、実際にプログラムを実行し、その挙動からマルウェアを検出する仕組みで、「振る舞い検知」と呼ぶこともあります。
通常の環境下で不審なプログラムを実行することは危険なため、サンドボックスと呼ばれる仮想環境が用いられます。
メリットとして新種のマルウェアや亜種であっても、検出できることがあります。
ただし「挙動」をもとに分析して検知をおこなうため、パターンマッチングに比べ「誤検知が多い」点がデメリットです。
また検知に時間を要し、リソースの消費が大きいといった特徴から、通常は静的ヒューリスティック方式の補助として用いられるケースが一般的です。
アンチウイルスの検出方法の違い
3種類の検知方法の違いは下記の通りです。
| 検知方法 | 特徴 | メリット | デメリット |
|---|---|---|---|
| パターンマッチング | 定義ファイルと呼ばれるデータベースに登録されたパターンと、検査対象のファイルパターンを比較し、マルウェアを検出する方法。 | ・既知のマルウェアに、高い検出率を誇る ・処理速度が速い ・誤検出が少ない |
・未知のウイルスには対応できない ・定義ファイルの更新が必要 |
| 静的ヒューリスティック | マルウェアの動作パターンや構造特徴に基づき、マルウェアを検出する方法。 | ・未知のマルウェアにも対応できる | ・パターンマッチング方式より誤検出が多い ・一部、新種の脅威に対応できない |
| 動的ヒューリスティック | 実際にプログラムを実行させて、その挙動からマルウェアをを検出する方法。 | ・未知のマルウェアに対応しており、静的ヒューリスティック方式よりも高い検出率を誇る | ・処理速度が遅く負荷が高い ・誤検出の可能性がある |
これらの検知手法は、アンチウイルスの性能や堅牢性を向上させるため、組み合わせて利用されることも多いです。
使用目的やセキュリティの要求事項に基づき、最適なアンチウイルスを選定することが重要です。
新たなアンチウイルス(NGAV・NGEPP)とは
従来型のアンチウイルスでは、急速に進化するマルウェア攻撃への対応が難しいことは前述した通りです。
この問題に対処する手段として、パターンマッチング方式のみに頼らない、AI技術を駆使した新しいアンチウイルスが注目を集めています。
この新たなアンチウイルスは、「NGAV(Next-Generation Antivirus)」または「NGEPP(Next-Generation Endpoint Protection)」などと呼ばれます。
この新しいアンチウイルスは、従来のAVが抱える新種のマルウェア対策、過検知・誤検知・システム負荷といった課題を解消します。
たとえばAI(人工知能)技術を活用するNGAVであれば、AIが自動で組織のシステム環境を学習し、新たに誕生するマルウェアのパターンを把握し、定義ファイルに登録されていない未知・亜種のマルウェアであっても検出します。
パターンファイル更新や余計なアラート対応の手間を省けることで、セキュリティ担当者の負担を軽減できるといったメリットもあります。
アンチウイルスとEDRとの関係性
EPPとしばしば対比されるセキュリティの概念に、「EDR」があります。
多層防御による、強固なエンドポイントセキュリティの実現を目指す上で、「EDR」と「アンチウイルス」の併用が注目されています。
EDRとは
EDR(Endpoint Detection and Response)とは、エンドポイント(デバイスやネットワークに接続された最終的な利用者端末)におけるセキュリティイベントをリアルタイムで監視し、早期検出と対応を支援するセキュリティソリューションです。
エンドポイントに対する悪意ある活動やセキュリティ侵害を早期に発見し、迅速な解決・被害の最小化をおこなうことがEDRの役目です。
アンチウイルス(EPP)が、デバイスへのマルウェア侵入を水際でブロックするのに対し、EDRはシステムを監視して、侵入後のマルウェアを検出する役割を担います。
アンチウイルスとEDRは、共存することで真価を発揮する
アンチウイルスとEDRは、エンドポイントセキュリティにおいて相補的な役割を果たします。
基本的な脅威はアンチウイルスで防ぎ、感染を許した僅かなマルウェアをEDRで対応するといったイメージです。
またEDRは、エンドポイント上での異常な活動や未知の脅威をリアルタイムで監視するため、エンドポイント内におけるマルウェアの挙動を可視化し、効率的なインシデント調査や分析、再発防止策の策定にも役立ちます。
ただしアンチウイルスの存在無しにEDRは成り立たず、両製品は共存することで進化を発揮します。
「LANSCOPE サイバープロテクション」では、アンチウイルスとEDRをセットで導入できる「Auroraシリーズ」を提供しています。
「Auroraシリーズ」の詳細は後述します。
アンチウイルスを選定する際のポイント
アンチウイルスの機能や検出方法は、メーカーによって多種多様です。
また製品を選ぶポイントは、マルウェア検出の精度だけではありません。
本記事では、アンチウイルス選びを失敗しないために、アンチウイルス選ぶ際のポイントを5つ紹介します。
- 最新の攻撃・未知のマルウェア検知も可能か
- 過検知や誤検知は少ないか
- サポート体制は整っているか
- システム負荷が高くないか
- 継続できる価格帯か
最新の攻撃・未知のマルウェア検知も可能か
アンチウイルスを選定する際に、まず確認したいのがマルウェアの検出率の高さです。
各メーカーが提示する数字とあわせて、アンチウイルスのテスト・評価をおこなう第三者機関が公開するスコアを参考にすると良いでしょう。
体表的な評価機関に、オーストラリアの「AV-Comparatives」や、ドイツの「AV-Test」などがあり、サイトでは評価レポートが提示されています。
また、「ITreview」など、製品に関する口コミサイトを参考にするのも良いでしょう。
自社に近しい業種・規模の会社にセグメントし、製品レビューを見ることが可能です。
過検知や誤検知は少ないか
誤って正規のプログラムを脅威として検知する「過検知」「誤検知」が、少ない製品であるかも確認すべきポイントです。
「未知のマルウェア検知」をうたっている製品には、「検知精度」に課題があるケースもあります。
過検知・誤検知が多いと、以下のようなトラブルが発生するリスクがあります。
- アラート数が多く、対応工数が増える
- 従業員の業務に支障が出る
- 重要な脅威への対応が遅れる
誤検知が増えると、その分アラートも増加してしまい、セキュリティ担当者の負担も高まる恐れがあります。
また、余計なアラートが多発することで、本来重要な脅威への対応が見逃されるリスクもあるでしょう。
サポート体制は整っているか
提供元のサポート体制が整っていることも、選定時の重要なポイントです。
インシデント発生時の相談が迅速におこなえる、製品の使い方レクチャーが受けられるなど、サポート体制の手厚さは製品を使いこなす上で欠かせません。
また、チャットやメールだけでなく、電話やオンライン会議で相談できるかも、確認したいポイントです。
昨今はEDRをベンダーが代理で運用する、「MDR」などの運用監視マネージドサービスなども存在します。
自社のセキュリティレベルやリソース状況に最適な製品・ベンダーを選ぶようにしましょう。
システム負荷が高くないか
高い負荷はシステムのパフォーマンスに悪影響を与え、業務に支障をきたす可能性があります。
サーバー負荷やCPU占有率など、システムに与える負担が適切であるかも確認しましょう。
継続できる価格帯か
昨今では買い切り型ではなく、クラウドで提供されるサブスク型のアンチウイルスが増加しています。
「予算内で無理なく継続できる価格帯か」を考慮し、コストパフォーマンスに優れた製品を選定することも大切です。
業界最高峰のAIアンチウイルスを提供する「LANSCOPE サイバープロテクション」
「LANSCOPEサイバープロテクション」では、未知のマルウェア検知・ブロックに対応する2種類のAIアンチウイルスを提供しています。
▼2種類のアンチウイルスソリューション
- アンチウイルス✕EDR✕監視サービス(MDR)をセットで利用可能な「Aurora Managed Endpoint Defense」
- 各種ファイル・端末に対策できる次世代型アンチウイルス「Deep Instinct」
世界トップレベルの専門家によるMDRサービス「Aurora Managed Endpoint Defense」
アンチウイルスは、EDRと掛け合わせることで、より強固なエンドポイントセキュリティ体制を確立することができます。
しかし実際は、「EDRによるセキュリティ監視に手が回らない」「アンチウイルスとEDRの併用ができていない」というケースも多いです。
このような課題をお持ちの企業・組織の方に、「Aurora Managed Endpoint Defense」は「高度なエンドポイントセキュリティ製品」と、その製品の「監視・運用サービス」をセットで提供します。
高精度なアンチウイルス・EDRを併用できることに加え、セキュリティのプロが24時間365日監視をおこなうため、より確実にマルウェアの侵入からお客様のエンドポイントを保護することが可能です。
また、「LANSCOPE サイバープロテクション」は、アンチウイルスのみ、アンチウイルス+EDRのみ導入するなど、柔軟な運用も可能です。
「Aurora Managed Endpoint Defense」についてより詳しく知りたい方は、下記のページをご確認ください。
各種ファイル・デバイスに対策できるNGAV「Deep Instinct(ディープインスティンクト)」
次に、AIによるディープラーニング機能で、未知のマルウェアを高精度にブロックする、次世代型アンチウイルス「Deep Instinct(ディープインスティンクト)」を紹介します。
たとえば、以下のような課題をお持ちの企業・組織の方には、「Deep Instinct」が効果を発揮します。
- 未知のマルウェアも検知したい
- 実行ファイル以外の様々なファイルにも、対応できる製品が良い
- 手頃な価格で高性能なアンチウイルスを導入したい
近年の攻撃者は、セキュリティ製品の検知を逃れるため、実行ファイルだけでなく、ExcelやPDF・zipなど、多様な形式のマルウェアを生み出します。
ファイル形式を問わず対処する「Deep Instinct」であれば、高度化・巧妙化するマルウェアも、高い精度で検知し、防御することが可能です。
「Deep Instinct」についてより詳しく知りたい方は、下記のページをご確認ください。
サイバー攻撃を受けたかも…事後対応なら「インシデント対応パッケージ」にお任せ
「PCがランサムウェアに感染してしまったかも」
「システムへ不正アクセスされた痕跡がある」
このようにサイバー攻撃を受けた”事後”に、いち早く復旧するためのサポートを受けたい場合は、プロがお客様に代わって脅威に対処する「インシデント対応パッケージ」の利用がおすすめです。
フォレンジック調査のスペシャリストがお客様の環境を調査し、感染状況と影響範囲を特定。マルウェアの封じ込めをはじめとした復旧支援に加え、今後どのように対策すべきかのアドバイスまで支援いたします。
「自社で復旧作業をおこなうのが難しい」「マルウェアの感染経路や影響範囲の特定をプロに任せたい」というお客様は、ぜひご検討ください。
アンチウイルスに関するよくある質問
最後にアンチウイルスに関して、よくある質問と回答をまとめました。
アンチウイルスは無料・有料どちらが適切か?
無料のアンチウイルスの多くは、本記事でも紹介した「パターンマッチング方式」に該当します。
無料で高性能なツールもありますが、基本的には有料の製品を導入することが一般的です。
スマートフォンにもアンチウイルスは入れるべきか?
スマートフォン経由での感染事例も多く、悪意あるアプリのダウンロード、Webサイトの閲覧等でマルウェアに感染するリスクがあります。スマートフォンであってもアンチウイルスの導入がおすすめです。
「LANSCOPEサイバープロテクション」の提供する次世代アンチウイルス「Deep Instinct」は、Androidにも導入可能です。
端末がウイルスに感染したか調べるには?
端末のマルウェア感染を確認するには、アンチウイルスソフトの「スキャン機能」を活用しましょう。
ウイルススキャンを実行することで、端末内のファイルやプログラムが感染していないかを確認し、感染時は駆除や隔離といった対応もおこなえます。
基本的には定期スキャンをオンにしておくことが望ましく、設定画面から「定期スキャンの頻度やタイミング」を調整しましょう。
まとめ
本記事では「アンチウイルス」をテーマに、その概要や対策について解説しました。
アンチウイルスは、すべてのセキュリティ対策の「基本」であるからこそ、継続しやすい価格帯の中で、高性能なアンチウイルス製品を選定することが重要です。
▼本記事のまとめ
- アンチウイルス(AV)は、ウイルスやマルウェアからシステムを保護するプログラムで、EPPとも呼ばれる
- 導入しないことで、情報漏洩や不正アクセス、システム停止やデータ改ざんなど様々なセキュリティ被害が想定される
- アンチウイルスの検出方法には、「パターンマッチング」「ヒューリスティック方式」がある
- AIなど新たな技術を搭載した高機能AVを「次世代型アンチウイルス(NGAV)」呼ぶ
- 侵入を未然に防ぐアンチウイルスは、事後対応や調査・復旧支援に役立つ「EDR」と併用することが効果的である
- アンチウイルスを選ぶ際は、「検出率の高さ」や「検知精度」に加えて、継続的に運用するために「サポート体制」や「価格」なども確認する必要がある
「LANSCOPE サイバープロテクション」では、未知のマルウェアをAI技術によって検知する、業界最高峰のアンチウイルスを提供しています。
自社に最適なソリューションを選定し、セキュリティ強化を目指してください。
おすすめ記事
