Written by 西井 晃
2022年、エムオーテックス 入社。情報処理安全確保支援士。
セキュリティアナリストとして、セキュリティ監視サービスやインシデント対応サービスに従事。
セキュリティ関連の活動を通して、世界平和を目指す。
目次
NGAV(次世代アンチウイルス)とは、AIや機械学習の技術を活用し、ウイルスなどの不審なプログラムの侵入からエンドポイントを守ることを目的とした、セキュリティソリューションです。
従来型のアンチウイルス(AV)とは異なり、定義ファイルにない未知のウイルスでも検知できるため、エンドポイントに対し、より強固なセキュリティ体制を構築できるのが特徴です。
本記事では、次世代アンチウイルス「NGAV」が持つ機能や従来型のAV(アンチウイルス)との違い、EPPとEDRとの違いなどについて解説します。
■本記事を読めば
・NGAVとは何か・どんな機能があるかが理解できる
・NGAVが、従来のアンチウイルスソフトから進化している点がわかる
・NGAVとEDR等、他ウイルス対策ツールとの違いがわかる
・NGAVと相性の良いセキュリティツールがわかる
NGAVとは
NGAV(Next Generation Anti-Virus)とは、AI・機械学習や振る舞い検知などの技術を導入することで、従来型のアンチウイルスに比べ、検知精度を高めたウイルス対策ソフトのことを指します。「次世代アンチウイルス」とも呼ばれます。
近年の高度化したサイバー攻撃には、従来型のアンチウイルスだけでは対処しきれないという背景から、多くの現場で「NGAV」の導入が進んでいます。
NGAVは「エンドポイントへの脅威侵入」を防ぐ、セキュリティ製品
セキュリティ製品には、防御する範囲や役割によってさまざまな製品があります。そのうちNGAVは、「エンドポイント」への脅威侵入を防ぐことを目的としたセキュリティ製品です。
「エンドポイント」とは、PCやサーバー・スマートフォンなど、通信ネットワークに接続された、末端の機器や端末を指す用語です。2023年現在もエンドポイントを狙ったセキュリティ犯罪が後を絶たず、多くの企業・組織がエンドポイントのセキュリティ強化に取り組んでいます。
事実、米国に本社を置くグローバル市場調査企業「フロスト・アンド・サリバン・ジャパン株式会社」の報告によれば、世界のエンドポイントセキュリティの市場規模は、2021年174億ドルから、2026年までには311億ドルへ成長する見込みであり、年ごとの平均成長率は12.3%にのぼると推測されています。
参考:フロスト&サリバン│サイバーセキュリティ市場、2026年までに年平均12.3%成長へ
攻撃者はパソコンやサーバーなどのエンドポイントの脆弱性を狙い、情報の窃取や流出、破壊、金銭の要求など、さまざまな目的を達成しようとします。このような脅威を回避し、自社の信頼と重要な情報資産を守るためにも、NGAVによるエンドポイントへの脅威侵入対策が注目されています。
NGAVはEPPの1種
NGAVとあわせて知っておきたいセキュリティソリューションに「EPP」があります。
EPP(Endpoint Protection Platform)とは、マルウェアなどのウイルスが、エンドポイントへ侵入することを防御するセキュリティソリューションです。
エンドポイントを外部脅威から保護する点で、NGAVはEPPの一種とカテゴライズできます。ただし、EPPの中には未知のマルウェアへの対処が困難な製品があるのに対し、NGAVでは未知・既知を問わず、脅威に対策できるという特徴があります。
次世代型(NGAV)と従来のアンチウイルス(AV)は何が違うのか?
次世代型(NGAV)と従来のアンチウイルス(AV)では、ウイルスの検知方法や対策できる脅威、メリット・デメリットなどが異なります。下記の表に、両者の違いについてまとめました。
| 従来のアンチウイルス(AV) | 次世代型(NGAV) | |
|---|---|---|
| 検知方法 | 定義ファイルを用いたパターンマッチング型式 | ・AI型の機械学習 ・振る舞い検知 |
| 対策できる脅威 | 既知(過去に検知済)のマルウェア | 未知・既知を問わない、あらゆるマルウェア |
| メリット | 比較的安価で手軽に導入しやすい | ・未知、既知問わず対策できる ・パターンファイルを使用しない為、更新工数が少ない |
| デメリット | ・未知のマルウェア・初見の脅威に対策できない | ・高価な製品が多い |
次世代型(NGAV)と従来のアンチウイルス(AV)の最大の違いは、ウイルスを検知する方法にあります。
従来型では、既知のウイルス情報を記録した「定義ファイル」と、侵入してきたウイルスとを照合する「パターンマッチング型式(シグネチャ型)」という手法を取っていました。
しかし、次世代型(NGAV)においては、定義ファイルを用いず、機械学習や振る舞い検知などの機能によって脅威を検知する手法に変化しています。
これまでは定義ファイルに記録されていないウイルスは検知できませんでしたが、次世代型(NGAV)の登場により、まだ見ぬマルウェアや脅威への対策が可能となりました。
昨今のセキュリティ対策にNGAVが必要な理由
なぜ2023年現在、NGAVを用いたエンドポイントのセキュリティソリティ対策が必要とされるのでしょうか。
理由として近年、驚異的なスピードで、新種のマルウェアやウイルスが生み出されている、という現状があげられます。
昨今では、世界中で1日に生み出される新たな脅威(マルウェア)は約100万個ともいわれています。この膨大な数のウイルスに対し、メーカーは定期的に最新の定義ファイルを提供して対策を取っているものの、また次の新たな脅威が出現し「いたちごっこ」の状態となっているのが実情です。
▼パターンマッチング方式の限界
このような背景から、「定義ファイル」を用いた型式では限界であるため、AIや振る舞い検知によって脅威を検知する「NGAV」が必要とされています。
NGAVでは機械学習などを活用した高い予測防御と検知機能により、未知・既知を問わず、最新のサイバー攻撃に対策することが可能です。
NGAVの主な機能
NGAVの代表的な機能として
1.AI機械学習
2.振る舞い検知
3.サンドボックス
といったものが挙げられます。ここでは、NGAVが持つ主な3つの機能について、詳しく解説します。
1.AI機械学習
NGAVはプロセスの監視を行っており、ウイルスによって「攻撃された可能性がある痕跡」を自動的に収集しています。この情報はAIや機械学習によって自動解析され「悪意のある攻撃か」「未知のウイルスによるものか」等を判断します。
従来型のAVでは、定義ファイルと一致するデータがなければ検知できませんが、NGAVでは機械学習によるデータ解析の結果から「ウイルスであるか」を判別し、検知・ブロックを行うことが可能です。
2.振る舞い検知
振る舞い検知とは、ファイルの挙動や行動パターンなどの振る舞いを解析することによって、ウイルスかどうかを判別する機能です。
従来型のパターンマッチング型式のアンチウイルスでは、「定義ファイルに近い性質を持つが、ウイルスかを断定できない」脅威に対し、ウイルスと判断されずすり抜けてしまうというリスクがありました。
一方、振る舞い検知では、複数のマルウェアを実際に動作させ、その挙動分析をもとにウイルスであるかを判断します。一連の動作から総合的に脅威を見分けるため、従来型のアンチウイルスでは検知できなかった、未知のマルウェアにも対策が可能です。
3.サンドボックス
サンドボックスとは、ユーザーが通常利用する領域から隔離された「保護空間」を指す用語です。
ウイルスだと断定できないファイルを、「サンドボックス」という仮想環境で実際に動作させ挙動を解析することで、ウイルスかどうかを現場に影響を与えることなく、安全に判断できます。
ただし、攻撃者が「サンドボックス環境での実行を停止させる仕組み」をウイルスに実装するなど、脅威検知が困難なパターンが存在します。
事前防御のNGAV(EPP)と事後対策のEDRの違い
NGAVとEDRは、ともにエンドポイントに対するセキュリティソリューションという点で共通しており、両者の違いは脅威を検知する「対応範囲」にあります。
・NGAV…ウイルスがエンドポイントに侵入する前の「事前防御」を担う
・EDR…ウイルスがエンドポイントに侵入してしまった後の「事後対策」を担う
▼EPP(NGAV)とEDRの対応範囲
NGAV(EPP)においては、前述のAI機械学習や振る舞い検知、サンドボックスなどを駆使して、端末やネットワークに侵入しようとしている脅威を未然に検知し、駆除することを目的としています。侵入されなければ脅威に晒されることもないため、本質的には、NGAV(EPP)の段階で全ての脅威を駆除できることが理想です。
しかし、なんらかの事情で一部のウイルスがNGAV(EPP)をすり抜けてしまい、端末やネットワークに侵入するリスクも考えられます。このとき活躍するのが、侵入後の脅威に対処できる「EDR」です。
EDRはエンドポイントに「侵入した後」の脅威を検知し、隔離・駆除といった対処を支援するためのソリューションです。
▼アンチウイルス・NGAV・EDRの比較表
| 従来のアンチウイルス(AV) | 次世代アンチウイルス(NGAV) | EDR | |
|---|---|---|---|
| 対策範囲 | エンドポイントに侵入する前の脅威 | エンドポイントに侵入する前の脅威 | エンドポイントに侵入した後の脅威 |
| 特徴 | 既知のマルウェアを検知し、侵入を防ぐ。 | 未知・既知を問わず、あらゆるマルウェアを検知し、侵入を防ぐ。 | エンドポイント侵入後のマルウェアを速やかに検知し、隔離・駆除といった対策が打てる。 |
NGAVにEDRを掛け合わせることで、エンドポイントセキュリティを強化できる
エンドポイントのセキュリティ対策として、脅威の侵入を防御する「NGAV」の導入は必要不可欠です。EDRはあくまで「NGAVで防ぎきれなかった脅威への対策」であるため、NGAVを導入せずEDRだけを導入するケースは、基本的にありません。
ただし、NGAVは従来型のAVに比べて精度の高い検知機能を持つものの、100%脅威をブロックすることは困難です。そのため、侵入後の脅威検知を得意とする「EDR」を併用することで、より確実にエンドポイントをサイバー攻撃から保護することが可能となります。
LANSCOPE サイバープロテクションが提供する「NGAVソリューション」
「LANSCOPE サイバープロテクション」では、強みの異なる2種類のNGAVソリューションを提供しています。
・EDRとの掛け合わせが可能な「CylancePROTECT(サイランスプロテクト)」
・様々なファイルや端末に対策できる「Deep Instinct(ディープインスティンクト)」
それぞれの特長と導入メリットについて、簡単にご紹介します。
NGAV×EDR をセットで導入するなら「CylancePROTECT」&「CylanceOPTICS」
先述のとおり、NGAVはEDRと掛け合わせることで、より強固なエンドポイントセキュリティ体制を確立できます。
・NGAVとEDRを併用したい
・なるべく安価に両機能を導入したい
そういった方におすすめしたいのが、AI機械学習のNGAV「CylancePROTECT 」です。オプションとして手ごろな価格でEDR製品「CylanceOPTICS」を付属し、エンドポイントをより確実に保護することが期待できます。
AI機械学習により、99%の検知率で未知のマルウェアを検知するため、最新のサイバー攻撃にも安心して対策することができます。
様々なファイルや端末に対策できる「Deep Instinct(ディープインスティンクト)」
・PC,スマートフォンなどOSを問わず、対策をしたい
・実行ファイルだけでなく、様々なファイルに対処したい
そういった方には、AIによるディープラーニング機能で、未知の脅威を99%の確立でブロック※する、NGAV「Deep Instinct」がおすすめです。
攻撃者は検知を逃れるため、実行ファイルだけでなくExcelやPDF、zipなど、多様な形式のマルウェアを生み出します。 ファイル形式を問わず対処する Deep Instinctであれば、これらのマルウェアも高い精度で検知・防御が可能です。
また、幅広い端末での利用が可能で、Windows、macOS、AndroidなどのOSに対応しています。環境を問わず様々なエンドポイントをまとめて管理したい方に最適です。
※Unit221B社調べ
まとめ
次世代アンチウイルス「NGAV」について、機能や強み・従来アンチウイルスとの違いなどについて解説しました。
この記事をまとめると
・NGAVとは「エンドポイントへの脅威侵入」を防ぐ、セキュリティ製品である。
・NGAVはEPPの一種である。
・次世代型(NGAV)と従来のアンチウイルス(AV)の最大の違いは、ウイルスの検知方法(パターンマッチング式 or 機械学習や振る舞い検知など)にある
・昨今のセキュリティ対策にNGAVが必要な理由は、従来製品では防げない「未知のマルウェアや脅威」への対策に、NGAVが必要だから。
・エンドポイントの「事前防御」を担うのが、NGAV(EPP)、侵入後の「事後対策」を担う製品がEDRである。
AIや機械学習により、未知・既知を問わずあらゆる脅威からエンドポイントを守る「NGAV」は、昨今のセキュリティ対策として、もはや欠かせない存在と言えます。
本記事が貴社にとって、現在のエンドポイントセキュリティ体制の見直しや、ソリューション導入のきっかけとなれば幸いです。
関連する記事
