- 2022/01/04
- セキュリティ
エンドポイントセキュリティの次の一手「NGAV(次世代アンチウイルス)」について知る
Post by : Sean Mooney
「NGAV(次世代アンチウイルス)」機能を搭載した
「Cybereason Complete Endpoint Protection」を発表
2018年1月16日、サイバーリーズンはこれまで提供してきたEDR(Endpoint Detedtion and Responce)製品「Cybereason EDR」に加え、新たに「Cybereason Complete Endpoint Protection」というセキュリティソリューションの提供開始を発表しました。
「Cybereason Complete Endpoint Protection」は、従来より提供してきた「Cybereason EDR」に、「次世代アンチウイルス(NGAV:Next Generation Anti Virus)」と呼ばれるセキュリティソリューションを新たに加えたものです。
ではNGAV(次世代アンチウイルス)とは、一体どのようなものなのでしょうか?
従来のアンチウイルスの限界を突破する「NGAV(次世代アンチウイルス)」
これまでのアンチウイルス製品は、シグネチャ(ウイルス定義ファイル)をベースにしたパターンマッチングによってマルウェアを検知するタイプのものがほとんどでした。この技術は既に数十年に渡る実績を持ち、かつてはほぼすべてのセキュリティ脅威に対応することができました。
しかし今日見られるサイバー攻撃は、かつてのものとは質・量ともに比べ物にならないほど高度になりました。今や1日あたり数万種類のマルウェアの亜種が生まれているともいわれ、アンチウイルス製品ベンダーが作成するウイルス定義ファイルの配布を待っていては、最新の脅威にキャッチアップできなくなってきました。
事実、企業や組織をピンポイントで狙い打ちする標的型攻撃や、昨今被害が急拡大しているランサムウェアの多くは、その存在が世に知られる前に「未知の脅威」として襲い掛かってきます。当然、まだウイルス定義ファイルにその対策が反映されていないアンチウイルス製品では対応しようがありません。
また、あまりにも大量のマルウェアが日々生まれているため、ウイルス定義ファイルのアップデートが十分に追い付いていないのが実情です。サイバーリーズンが行った調査によると、Cybereason EDRが検出した脅威のうち、実に56%が既知のマルウェアだったことが判明しています。
「シグネチャベース(ウイルス定義ファイル)の従来のアンチウイルスでも、少なくとも既知のマルウェアの脅威なら確実に防ぐことができる」と思われがちですが、実際にはその多くが取りこぼされて侵入を許してしまっているのです。
このように、さまざまな面において旧来のアンチウイルス製品は限界を迎えつつあります。こうした現状を踏まえ、最新のセキュリティ脅威にも対応できるよう新たに考え出された「次世代のアンチウイルス」がNGAVなのです。
あらゆる種類のマルウェアによる脅威を検知・ブロックする「Cybereason NGAV」
NGAVは、ある特定のセキュリティ技術を指すというよりは、旧来のアンチウイルスの限界を超えるための「数あるセキュリティ技術の総称」と理解した方が正確でしょう。
現在、 何社かのセキュリティベンダーがNGAV(次世代アンチウイルス)を謳った製品やサービスを提供していますが、その中に含まれる具体的な技術は各社ごとに少しずつ異なっているようです。
ちなみに、サイバーリーズンが今回新たに提供を開始したNGAV(次世代アンチウイルス)ソリューション「Cybereason NGAV」は、大きく分けて以下の4つの特長を備えています。
■機械学習による未知のマルウェアの検知・ブロック
これまで、Cybereason EDRで培われてきた「機械学習アルゴリズムによるマルウェア検知技術」を応用することによって、ウイルス定義ファイルを使ったアンチウイルスでは検知できなかった未知のマルウェアを高い精度で検知し、その場で隔離・排除できるようになります。
■ランサムウェアの検知・ブロック
サイバーリーズン独自の「囮ファイルを使った検知技術」と、エンドポイントでのふるまい分析で、重要なファイルが暗号化されてしまう前に未知のランサムウェアを検知・ブロックすることができます。
■悪意のあるPowerShellスクリプトの検知・ブロック
近年の高度なサイバー攻撃の中には、PowerShellのようにOSの正規のツールやコマンドを用いた「ファイルレスマルウェア」による攻撃も多く見られるようになりました。Cybereason NGAVは、こうした攻撃も独自の検知技術によりプロアクティブに検知・ブロックできます。
■既知のマルウェアの検知・ブロック
もちろん、旧来のアンチウイルスと同様に、ウイルス定義ファイルを使ったパターンマッチングによるマルウェアの検知・ブロックにも対応しています。
このように、Cybereason NGAVは複数のセキュリティ技術を複合的に組み合わせることにより、未知/既知のマルウェア、未知/既知のランサムウェア、そして最新のファイルレスマルウェアを高い精度で検知・ブロックできます。
これまでは、上記それぞれの脅威に対応するために個別に製品を導入する必要がありましたが、Cybereason NGAVなら1つの製品ですべてに対応できます。
しかもCybereason NGAVは、Cybereason EDRと一体になって提供されますから、ネットワーク入口でのアンチウイルス対策と、万が一入口を突破された後のネットワーク内部でのマルウェア検知の仕組みを同時に実現できます。導入の容易さや投資対効果という意味でも、極めて効果的なソリューションだといえるでしょう。
次回は、このCybereason NGAVをCybereason EDRと一緒に運用することで得られるメリットについて、もう少し深く掘り下げて紹介してみたいと思います。
ホワイトペーパー「PowerShell攻撃(ファイルレスマルウェア)を確実に防御」
侵入後に展開するPowerShellを使用したファイルレス型マルウェア攻撃は、ここ数年、攻撃者が好んで選択する攻撃となっており、ダウンロード/実行ペイロード、APT攻撃、さらにはランサムウェアなどの攻撃に悪用されています。PowerShell攻撃(ファイルレスマルウェア)の課題とCybereasonによるPowerShell攻撃の確実な防御について詳しく解説します。
https://www.cybereason.co.jp/product-documents/white-paper/2121/