NGAV(次世代型アンチウイルス)とは?EDRとの違いと製品比較のポイント

マルウェアなどの脅威に対抗するソフトウェア「アンチウイルス」が、一般ユーザ向けに発売開始されてから、30年余り。脅威状況の変化に伴い、近年では、次世代型アンチウイルス「NGAV(Next Generation Anti-Virus)」という製品が誕生しています。
本記事では、NGAV(次世代型アンチウイルス)とは何か概要を紹介しつつ、他のソリューションとの違いや製品を選ぶときのポイントについて解説します。

NGAV(次世代型アンチウイルス)とは?

EDR誕生の背景や仕組みを説明します。

NGAV(次世代型アンチウイルス)とは

次世代アンチウイルス「NGAV(Next Generation Anti-Virus)」は、悪意のあるプログラムやマルウェアへの感染を防ぐソフトウェアです。
アンチウイルス(AV)自体は、30年以上前から存在しており、なんら目新しい製品ではありません。
一方、次世代型と銘打つNGAVでは、従来型のアンチウイルスでは不可能な、未知のマルウェアまでも検出が可能です。
なお、NGAVという名称は俗称であり、” 次世代”の定義や搭載する機能はセキュリティベンダーごとに異なる点に注意が必要です。

従来型アンチウイルス(AV)の仕組み

“次世代”以前、従来型のアンチウイルス(AV)の中心技術となっていたのが、パターンマッチングでした。
パターンマッチング方式とは、文字通り、マルウェアのパターン情報を蓄積し、マルウェアと同じ性質を持っているとみなしたファイルを”不正ファイル”として検出する方式です。
まず、マルウェアのファイルや感染したファイルを解析し、確認できたパターンのデータ(シグネチャコード)を、定義データベースに蓄積します。
次に、アンチウイルスが、ユーザのPC上をスキャンし、定義データベースと照合することで、PC内にシグネチャコードと同じデータが存在しないかを確認します。
PC上に該当するファイルが存在した場合、不正または疑わしいファイルとして検出し、アンチウイルスが自動的に隔離または削除します。
よって、パターンマッチング方式を採用した従来型アンチウイルスで検知できるのは、すでにデータベース化できた脅威、すなわち過去に検出された実績のあるマルウェアのみです。残念ながら、初めて世の中に出回った全く新しいマルウェアや、これまで誰も解析したことがない未知のマルウェアに対して、従来型アンチウイルスは全く無力ということになります。

NGAVの誕生

近年では、脅威状況が巧妙化・複雑化し、未知のマルウェアや新しい技術を利用したマルウェアが急増しています。
例えば、メモリ上で動作し、OSやアプリケーションに搭載されている正規の機能を悪用するファイルレスマルウェアの場合は、そもそもファイル自体が存在しないため、不正ファイルを検出する技術である、パターンマッチングでは検知できません。
そこで、このような巧妙な技術を利用した脅威に対処するため、防御する側も発想の転換と新しい技術の組込みが求められました。
次に説明する、振る舞い検知やAI・機械学習、サンドボックスといった新技術がアンチウイルスに組み込まれ、新たに、NGAV(次世代型アンチウイルス)と呼ばれるようになりました。

NGAVの機能

NGAV(次世代型アンチウイルス)に組み込まれている機能は、製品により異なりますが、代表的なのは次のような機能です。

  • 振る舞い検知
    ファイルの構造やコードを見て不正なファイルだと判断するのではなく、ファイルの不正な動作・挙動や振る舞いを確認することで不正であると判定する手法です。
  • AI・機械学習
    マルウェアらしさを数値化し予測防御を実現します。数十万種類のマルウェアデータで学習させた機械学習アルゴリズムで、未知の脅威も予測し、高確率で検知します。
  • サンドボックス
    疑わしいものの不正なファイルだとは断定できないプログラムの場合、実際にプログラムを実行してその挙動により、判定する必要があります。
    他の正規のプログラムに影響を及ぼさずに、疑わしいプログラムを実行できる領域を提供する機能がサンドボックスです。
  • パターンマッチング
    NGAVになったとはいえ、従来型アンチウイルスの主要機能であるパターンマッチングがなくなったということではありません。パターンマッチング方式は、既知の脅威を検知する手法としては有効であるため、NGAVでも引き続き重要な役割を担っています。

EDRにEPP? NGAVとの違い

セキュリティ対策ソリューションは、NGAV(次世代型アンチウイルス)だけではありません。NGAVと混同しがちな他のソリューションについて、NGAVとの比較で説明します。

事前対策と事後対策

セキュリティ対策ソリューションを検討する上で、必ず理解しておきたいのが事前対策と事後対策という考え方です。

  • 事前対策:脅威を侵入させないための対策。脅威の侵入を防止する。
  • 事後対策:脅威が侵入してしまった後の対策。迅速に侵入前の状態に戻す。侵入後の被害を最小限に食い止める。

脅威の侵入を防ぐソリューションであるNGAVは、事前対策の製品です。
一方、事前対策に対し、脅威の侵入は防げないという前提に立ち、万が一、侵入された場合に不審な挙動を検知して、迅速に復旧する事後対策を目的とした製品が生まれました。
後述する「EDR」は、エンドポイントで常時監視し、異常や不審な挙動が発生した場合に通知、復旧を支援するという事後対策の考え方に基づいた製品です。
重要なのは、脅威を侵入させないための対策「事前対策」と、脅威が侵入してしまった後の対策「事後対策」では、どちらがより重要ということではなく、違うのはその役割である点です。
事前対策と事後対策を組み合わせたセキュリティ施策が望ましいとされています。

NGAV とEDRの違い

事後対策の代表的な製品が、「EDR(Endpoint Detection and Response)」です。EDRは、ネットワークに接続する各種機器の中で終端となる機器、例えば、ユーザのPCやサーバにおいて、不審な挙動を検知して対処します。
EDRの大きな特徴は、マルウェアの侵入は防げないという前提に立ち、マルウェア感染後の対応を支援することを目的としていることです。脅威の侵入を防御するのではなく、万が一、感染した場合に、そこからいかに早く復旧するかに着目しています。

▶EDRとは?侵入後のセキュリティ対策の要!比較選定時のポイント

NGAV とEPPの違い

PCに侵入しようとする脅威をエンドポイントで検知し、PCを保護することを目的とした製品が「EPP(Endpoint Protection Platform)」です。
従来型のアンチウイルスやNGAVも、EPP製品に分類されます。
近年では、サイバー攻撃を受けることを前提に、その被害を最小限に抑えることを目指すエンドポイントセキュリティの考え方が普及していますが、アンチウイルスをエンドポイントセキュリティ実現のためのひとつのツールとして捉えたときの名称がEPPです。

NGAVを含むサンドボックス付きエンドポイント保護製品はこう選ぶ!欠かせない条件は?

NGAVを含むサンドボックス付きエンドポイント製品は、ベンダーにより特徴や強みが異なるものの、製品を選定するときに、重視したいポイントは共通です。サンドボックス付きエンドポイント製品に欠かせない条件について、解説します。

Microsoft 365などのクラウドアプリケーション保護に強い

2021年3月、マイクロソフトが過去1 年間におけるリモートワークについての考察を発表
世界規模で、1年前と比較して、会議に費やされる時間が 2 倍以上増加。2021年 2 月に送信されたメールの数は、2020年同月に対し 400 億件以上増加したと報告しています。
その背景にあるのは、リモートワークの急増です。
そして、リモートワークを実現している企業が大きく依存しているのが、Microsoft 365などのクラウドアプリケーションであることは誰でも想像できるでしょう。
また、調査対象となった労働者の 73% は、今後も柔軟にリモートワークを選べる状況が続いてほしいと回答しており、パンデミック後もリモートワークを中心とした働き方が定着すると見られています。

https://news.microsoft.com/ja-jp/2021/03/23/210323-microsoft-releases-findings-and-considerations-from-one-year-of-remote-work-in-work-trend-index/

今、セキュリティ製品を選ぶなら、Microsoft 365などのクラウドアプリケーション保護に強い製品であることは必須要件と言えそうです。

誤検知率が低いこと

 

False Alarm Test September 2021/ AV-Comparatives

セキュリティ製品を選ぶときの評価基準のひとつとして、正規のファイルをセキュリティソフトが不正と判断してしまう誤検知の割合を知る方法があります。
誤検知率が高いセキュリティ製品を選択してしまうと、例えば、自社開発のソフトウェアなど、業務で必要なシステムまでも検知してしまい、業務効率が低下します。
各セキュリティ対策製品の誤検知の割合を知る方法として、テスト機関が公開しているレポートを確認する方法があります。 例えば、大手テスト機関のひとつが「AV-Comparatives」ですが、このような独立系テスト機関では、セキュリティ対策製品を、公平な立場からテスト・検証しています。
独立系テスト機関によるレポートは、一読しておいて損はないでしょう。

多層防御が構成できること

不正なファイルと正規のファイルとを誤りなく判断するためには、1種類ではなく、複数の技術を組み合わせた多層防御で、何重もの判定と解析することが欠かせません。
前述の事前対策と事後対策は補完する関係にあり、両方を組み合わせ、多層防御を構成することが望ましいとされています。 事前対策と事後対策の製品を組み合わせる他、次のような仕組みを組み込むことが抜け目のないセキュリティを構築することに繋がります。

  • 世界中のユーザから脅威情報を収集するシステム
  • 機械学習エンジンの搭載
  • 豊富なセキュリティ人材を保有し、人間の専門知識も活かせること

実績のあるベンダーの製品であること

例えば、ESETは、世界中のユーザから脅威に関する情報を収集するシステム「LiveGrid」を構築していますが、このような取り組みは、セキュリティベンダーとして30年以上の歴史があることや、202の国と地域に1.1億人以上のユーザを所有する企業だからこそ可能でした。
実績のないセキュリティソリューションの場合は、情報の蓄積がないため、誤検知などの購入以前には予想しなかった問題点が露呈することがあります。
甲乙つけがたい2ベンダーの製品で迷ったら、過去の実績が豊富なベンダーの方を選択すべきです。

まとめ

次世代型アンチウイルス(NGAV)とは何か、また製品を比較する際のポイントについて解説してきました。
紹介したとおり、NGAVという名称は俗称で、”次世代”の定義はベンダーごとに異なります。
ESET社では、クラウドサンドボックス機能を含む、ソリューションパッケージとしてESET PROTECT Advancedと ESET PROTECT Completeを提供しています。ESET PROTECT Completeでは、 Microsoft 365利用時のエンドポイントを保護する機能も実装しています。

  • ESET PROTECT Advanced の概要はこちらをご覧ください。
  • ESET PROTECT Completeの概要はこちらをご覧ください。

また、クラウドサンドボックス機能のみを単体製品ESET Dynamic Threat Defense も提供しています。管理コンソールのESET PROTECTとEndpoint Protectionとを併用すると、ESET Dynamic Threat Defenseが利用可能になります。クラウドボックス製品の選択肢のひとつとして、併せてご検討ください。

  • ESET Dynamic Threat Defense の概要はこちらをご覧ください。

さらに、 Microsoft 365をご利用の場合、エンドポイント保護の機能を、単体製品ESET Cloud Office Security として提供しています。

  • ESET Cloud Office Securityの概要はこちらをご覧ください。