今日の攻撃は多様な形態を取るため、高度な防御戦略が必要となります。従来型のアンチウイルスは、数万種に及ぶマルウェアやランサムウェアをブロックするために今後も必要となりますが、その一方で、従来型のアンチウイルスを超えたソリューションへと移行する必要があります。

このようなニーズを満たすために、次世代アンチウイルス（NGAV）と呼ばれる新しいタイプのソフトウェアが開発されています。次世代アンチウイルス（NGAV）では、機械学習や人工知能（AI）のような各種の新しいテクノロジーを利用することで、悪意ある活動をそれらの行動に基づいて特定しブ防御します。

次世代アンチウイルス（NGAV）製品を評価する際に考慮すべき4つの重要なポイントを下記に紹介します。

1.誤検知のレベル

従来型のアンチウイルスソフトウェアは、比較的低い誤検知率を持つ傾向があります。これは、同ソフトウェアが、ハッシュ、シグネチャ、IP、ドメイン、URLのようなIOC（Indicators Of Compromise）に基づいて、悪意があると過去に定義されたマルウェアを特定するために構築されているからです。

これに対して、次世代アンチウイルス（NGAV）は、新種のマルウェアを特定し、それに対する防御を行うよう試みます。これは、より困難で確定性の低いタスクであり、大量の誤検知をもたらす傾向があります。

次世代アンチウイルス（NGAV）をテストする場合、その次世代アンチウイルス（NGAV）ベンダーが提供するマルウェア以外でテストすることで、同製品の実際の誤検知率を評価する必要があります。

誤ったアラートは一定量であれば許容できますが、それが頻繁に起こることでアラート疲れが発生し、セキュリティチームがうるさい検知アラートを停止させてしまうと、その結果として重要なアラートを受け取れなくなります。

2.新種のマルウェアへの効果的な対処

効果的な次世代アンチウイルス（NGAV）では、高度な機械学習、データ分析、AIを採用することで、新しい攻撃手法を特定し、それらを悪意あるものとして定義し、それらに対する防御を行います。

可能であれば、一連の高度な脅威に対して当該ツールが持つ能力をテストすることをお勧めします。

3.新種のマルウェアに対する防御

ランサムウェアは、その他のタイプのマルウェアに比べて、異なる行動セットを持っています。ランサムウェアは主として、できるだけ多くのデータを暗号化し、自らの存在を知らせます。

次世代アンチウイルス（NGAV）にとっては、効果的なメカニズムを使用して新種のマルウェアに対する防御を行うことが必須となります。これには、マスターブートレコードを暗号化するNotPetyaのようなマルウェアも含まれます。

4.ファイルレスマルウェア攻撃への対処

サイバーリーズンでは、昨今のマルウェアの約半数は、マルウェアフリーまたは ファイルレスマルウェアと呼ばれる手法を利用していると推定しています。このような攻撃は、WMIやPowerShellのようなWindowsにネイティブなスクリプト言語を利用して悪意ある活動を実行します。

WMIやPowerShellはIT管理者により日常業務で多用されるため、ブラックリスト/ホワイトリスト型のアプローチを採用している次世代アンチウイルス（NGAV）は避ける必要があります。PowerShellアクティビティをホワイトリスト化する作業は困難を極めます。

その代わりに、次世代アンチウイルス（NGAV）はスクリプトを調べることで、それが悪意のあるものであるかどうかを判定できる必要があります。

ホワイトペーパー「次世代アンチウイルス(NGAV)とEDRが高度な脅威に対処」を公開中

EDRとNGAVの組み合わせの優位性をご紹介するホワイトペーパーを公開しております。ぜひご活用ください。
https://www.cybereason.co.jp/product-documents/white-paper/1826/