Cyber Security 101サイバーセキュリティ基礎解説

NGAV(EPP)とはなにか Next-Generation Antivirus (NGAV)

NGAV(EPP)とは

NGAVは、従来型のアンチウイルスプログラムが、今日のサイバー犯罪者が使用する攻撃に対処するために進化を遂げたものです。最新のシステムを侵害するのに攻撃者が使用するツールや手法を特定し、それらによる脅威を隔離、ブロックするのに、インテリジェントなアルゴリズムを活用するのです。この点で、NGAVは従来のアンチウイルスソフトウェアとは異なります。

従来のアンチウイルスソフトウェアのように、ファイルの特性やファイルの挙動を基にマルウェアを検知することに集中するのではなく、NGAVでは、システム内のすべてのプロセスを監視しています。ここで対象となるのは、ネットワークにおける挙動やインターフェイス、構成、アクセスのパターンなどです。これによって、NGAVシステムでは、予想されるシステムやユーザーの行動に関してベースラインを設けており、攻撃を示唆する異常な挙動を、このベースラインを通じて長期間、特定できます。

NGAVの機能

攻撃者は従来のアンチウイルスソフトウェアの動きを予測し、その裏をかいて検知を逃れようとします。ゼロデイ脆弱性を利用する巧妙さを増した現代のマルウェアは、阻止するのが容易ではありません。NGAVでは、すべてのシステムファイル、プロセス、アプリケーション、インターフェイス、ネットワークにおける挙動を絶えず監視することで、この問題を回避しています。また、AIと機械学習をベースにしたアナリティクスで、予想される挙動のベースラインを確立し、脅威を検知します。AIと機械学習のアルゴリズムがユーザーとシステムの挙動を学習していく中で、時間の経過とともに自然と強度を増しているのです。

NGAVとEDRの違い

NGAVでは、脅威がコアのネットワークに侵入、感染するのを防ぎます。NGAVシステムは最前線の防御ラインとして機能し、既知の攻撃とゼロデイ攻撃の両方を事前に察知して攻撃を食い止めます。一方、EDRは、脅威がNGAVを突破したときにその効果を発揮します。この際、EDRソリューションは脅威を検知してその情報をセキュリティ担当者に伝えると共に、脅威がネットワークの他のエリアに広がる前に脅威をエンドポイント内に封じ込めます。

NGAVのメリット

従来のマルウェアを基準に考えると、NGAVには、ユーザーや組織にとって以下のような重要なメリットがあります。

  1. これまで知られていないシグネチャや振る舞いのパターンを持つ、巧妙さを増した攻撃も、NGAVは防ぐことができます。マルウェア自体を検知するのではなく、システムにおける振る舞いベースで攻撃を検知するので、これまでよりずっと防御機能の信頼性が高くなります。
  2. AIと機械学習を活用するため、根本原因を特定することや、システムを中心としたアプローチで脆弱性攻撃を理解することが容易になります。
  3. NGAVは、EDRの機能を補完し、従来のアンチウイルスやEDRを単独で使用する場合よりも優れた保護機能を実現します。

自社の組織に適したNGAVソリューションを選択する方法

NGAV製品を評価する際に考慮すべきいくつかの重要なポイントをご説明します。

  • ゼロデイ攻撃への対処における有効性:最高レベルのNGAVは、攻撃の手口を突き止めるのに、機械学習やデータサイエンス、AIを活用しており、これまで一度も使われたことのない手口も割り出すことができます。
  • 誤検知を排除する能力:NGAVではシステムの評価に予測型のモデルを使用しているため、誤検知の発生に対処できる能力が製品の優劣を左右するカギになります。ある程度の誤検知は避けられませんが、その発生が多過ぎると、セキュリティ担当者の負荷が増し、セキュリティポスチャの質が低下します。
  • ファイルレスマルウェアへの対処における有効性:ファイルレスマルウェアの攻撃では、攻撃を仕掛けるのに、バイナリよりもスクリプト言語が使用されます。NGAVの中には、許可するスクリプトとブロックするスクリプトを判断する処理で大きな負荷を強いるものがあります。
  • ランサムウェアへの対処における有効性:ランサムウェアはシステムに感染するとすぐにデータの暗号化を始めます。できるだけ多くのデータを暗号化して標的に影響を与えたいためです。重要なデータを暗号化される前にこのような攻撃を防御できるかどうかが、NGAVシステムの有効性を判断する上で重要になります。

Cybereasonの「NGAV」製品はこちら

<8/25 オンライン>サイバー攻撃デモ&ハンズオンセミナー