SOMPO CYBER SECURITY
本記事では、次世代アンチウイルス(NGAV)の概要、必要性等を解説し、また選定・運用のポイントおよびおすすめ製品について紹介します。
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)
アンチウイルスはマルウェアの感染を防護するソフトウェアであり、ファイアウォール等と並んで代表的なセキュリティ対策の1つです。通常バックグラウンドで動作し、コンピュータあるいはネットワークを監視し主要なマルウェアを予防あるいは封じ込める機能を持ちます。
従来型アンチウイルスが「シグネチャ」(パターンファイル)と呼ばれる既知のマルウェアのファイルパターンを検知することで感染を防止するのに対し、NGAV(Next Generation Anti Virus)やEPP(Endpoint Protection Platform)は、最新の技術を用いることで未知の脅威に対応します。
ここではまず、アンチウイルスが持つ基本的な機能に触れていきます。アンチウイルスは以下の機能を備えています。
スキャン |
|
監視 |
|
駆除・隔離 |
|
従来型アンチウイルス・ソフトウェアは、既知のマルウェアの特徴を抽出した「シグネチャ」(ベンダーによっては「パターンファイル」)と呼ばれるデータに基づきコンピュータ内のマルウェアを検知していました。このため、シグネチャを蓄積したデータベースを絶えず更新する必要がありました。
この方式の性質上、コンピュータにかかる負荷が大きくなり、また未知のマルウェアや亜種のマルウェアに対応できないといったマイナス要素を抱えていました。
参考:シグネチャ(Signature)とは マルウェアの帰属を特定・判別するために用いられるデータです。マルウェア検体を解析し、固有のファイルサイズやコード、ハッシュ値などを抽出しシグネチャを作成します。 従来型のアンチウイルスは、シグネチャからマルウェアを特定して検知する仕組みを採用しています。 |
近年はコンピュータを動かすOSの技術も発達し、従来型アンチウイルスが担っていたシグネチャベースのマルウェア検出機能を、OSレベルで実現するようになり、また各OSもアンチウイルスを標準搭載するようになりました。
次世代アンチウイルスは、従来型アンチウイルスの弱点を克服し、かつ最新の脅威にも対応できる技術を採用したソフトウェアです。
細かい定義はベンダーや機関ごとに異なるものの、概ね以下の機能を持つ製品が次世代アンチウイルスといえます。
次世代アンチウイルスはシグネチャではなくマルウェアの振る舞いに基づき検知を行います。
AI・機械学習を採用し、攻撃者のTTPを学習モデルに組み込むことで、不審なアクティビティを特定します。
シグネチャに依存せず、コンピュータ内のプロセスやファイル操作等をモニタリングすることにより、EDRに類似した検知方式を実現します。
運用全般をクラウドベースにすることで、エージェントを軽量化し、コンピュータへの負荷を大幅に軽減しています。
また特徴①で解説した検知技術を用いることで、シグネチャ更新の手間を削減します。
一部の次世代アンチウイルス製品は、製品のアップデートをほとんど行う必要がありません。
次世代アンチウイルスの多くは、EDRやSIEMといった他のセキュリティツールとの統合運用に対応しています。
サイバー攻撃が高度化した現在では、複数のセキュリティ製品を組み合わせた多層防御が主流となっています。
次世代アンチウイルスを他のツールと連携させることにより、組織全体のセキュリティ状況をモニタリングし、分析することが可能となっています。
他にも、次世代アンチウイルスはユーザーの需要に合わせた様々な機能を持っています。
サンドボックス解析 | エクスプロイト防護 | オフライン運用 | デバイスのハードニング |
ランサムウェア防護 | VPN | 盗難防止 | DLP |
ダークウェブスキャン | 悪性サイトブロック | 悪性広告ブロック | パスワードマネージャ |
組織・企業が守るべきIT資産は様々ですが、中でもエンドポイントは脅威アクターに狙われるアタックサーフェスとなっています。そして、サイバー攻撃やサイバー犯罪が多様化・高度化した現在でも、マルウェアは依然としてサイバー攻撃の大きな割合を占めています。
このため、エンドポイントを保護する技術的な対策としてアンチウイルスは重要です。
次のチャプターでご紹介するように、従来型アンチウイルスでは現在の脅威に対応しきれなくなっており、次世代アンチウイルスの必要性はますます高まっています。
国内外の様々なセキュリティガイダンスや基準も、対象組織に対しアンチウイルス製品の導入を要求しています。
NISTの発行するガイドラインであるサイバーセキュリティ・フレームワークでは、「悪意あるコードの検知」能力を検知領域評価基準の1つに定めています。
またサイバー攻撃対策ガイドラインであるCIS Controlsにも、「マルウェア防護」の項目が設けられています。
我が国で公開されている省庁・機関によるセキュリティガイドラインには、例えば経産省の「サイバーセキュリティ経営ガイドライン」や厚生労働省の「医療情報システムの安全管理に関するガイドライン」、防衛省の「防衛産業サイバーセキュリティ基準」等があります。
これらの文書にはいずれも、アンチウイルスの導入が推奨策あるいは要求として記載されています。
参考:防衛産業サイバーセキュリティ基準では?
「悪意のあるコードの侵入の監視は、保護システムを構成するサーバ及びパソコンにおける悪意のあるコードを検知するためのソフトウェア(以下「検知ソフトウェア」という。)として、ウイルス定義を用いたパターンマッチング手法のほか、未知の脅威に対応するためのヒューリスティックエンジン等の高度な手法を活用可能なソフトウェアをインストールするものとする。」 |
次世代アンチウイルスを含むアンチウイルス・ソフトウェアを導入していない場合、マルウェア感染によるインシデントが発生し、組織・企業に大きな被害をもたらす可能性があります。
マルウェア感染やエンドポイントの侵害が引き起こす被害は、事業に大きな影響を及ぼしかねません。
想定される事例:
後述するように、Windows等現代の主要なOSはアンチウイルスを標準搭載するようになったため、マルウェアに対し無防備のPCという状況はあまり多くないかもしれません。
ただし、設定が不適切であったり、マニュアルでのセキュリティ設定が必要なLinux系OS等をハードニングしていなかったりした場合、マルウェア侵害のリスクは高まります。
このチャプターでは、エンドポイントをターゲットにするマルウェア等の脅威について簡単に紹介します。
マルウェアは「Malicious Software」(悪意のあるソフトウェア)の略であり、その機能や役割によってさらに細分化されます。
次世代アンチウイルスは、下のリストに示すような様々な脅威に対応します(「被害例」はあくまで想定ケースの一部となります)。
種類 | 概要 | 被害例 |
インフォスティーラー | ユーザーのクレデンシャルを窃取 |
|
キーロガー | ユーザーのキーボード入力情報を窃取 |
|
ブラウザハイジャッカー | ブラウザを乗っ取り悪性サイトを強制表示 |
|
トロイの木馬 | 特定条件下で悪意ある振る舞い |
|
RAT | リモートアクセス型トロイの木馬 |
|
ルートキット | OSを改ざんし悪意ある動作を隠蔽し、さらなる攻撃を可能とする |
|
ブートキット | コンピュータの起動を管理する領域に感染するため、検知・駆除が困難 |
|
ワーム | ユーザーの関与を必要とせず自己増殖 |
|
スパイウェア | ユーザーの通話やメッセージ、入力を盗聴 |
|
アドウェア | 意図しない広告を強制表示 |
|
ボットネット | ボット同士のネットワークを構築し攻撃に利用 |
|
参考:コンピュータ・ウイルスとは? 以前はコンピュータ・ウイルスが悪性プログラムの代名詞でしたが、現在では、感染後にユーザーの操作(ファイル実行等)を受けて自己増殖するマルウェアを指します。 |
マルウェアの種類は日々増えており、ある統計資料によれば1日に56万件のマルウェアが検知されています。
既知のマルウェアをスキャンする従来型アンチウイルスでは、新たに生成された未知のマルウェアを検知することは難しく、コンピュータが感染しても対応することができません。
さらに、シグネチャベースの従来型アンチウイルスでは検知できない新たな技術が編み出され、サイバー犯罪者の間で流通するようになりました。
以下は、次世代アンチウイルスが検知対象とする攻撃や技術の例です。
新たな技術とはいえ、Emotetや有名ランサムウェア等多くの脅威アクターが今日では頻繁に利用しています。
種類 | 概要 |
ファイルレス攻撃 | メモリ内で実行されマシンに痕跡を残さない不正プログラム |
ゼロデイ脆弱性 | 未公開脆弱性の悪用 |
ポリモーフィック技術 | マルウェアの形式を変化させることでパターンに基づく検知を回避 |
環境寄生型攻撃 | 不正アクセスしたコンピュータに搭載されている管理用ツール等を悪用 |
LOTS | 信頼されているWebサイトをC2通信等に利用 |
難読化 | セキュリティツールによる解析を回避 |
RMM | リモート管理ツールの悪用 |
ステガノグラフィ | 画像や動画等に悪性コードを隠蔽 |
デッドドロップ・リゾルバ | 信頼されているWebサイトでC2通信を中継 |
デュアルユース・ツール | セキュリティ用・管理用ツールの悪用 |
WebShell | Webサーバー等に不正スクリプトを埋め込み |
マクロウイルス | Officeドキュメントのマクロで不正コード実行 |
ここまで、マルウェア対策としての次世代アンチウイルスの重要性について解説してきました。
しかしながら、実際に導入するとなると、市場には多数の製品が流通しており、その選定に迷う場面が生じます。
このチャプタ―では、選び方の基準や導入・運用のポイントについて解説します。
自組織のエンドポイントに次世代アンチウイルスを導入する場合は、当然ながら検知性能の優れた製品を選ぶことが望ましいといえます。
ところが、多くのベンダーは自社製品の検知率・検知性能をナンバー1だと宣伝しており、実際に選定する際はあまり役に立ちません。
検知性能や過検知率(無害なファイルをマルウェアとして検知してしまう確率)を比較するのは意外と難しく、公平・中立な立場で各製品の性能を検討する資料は少ないのが現状です。
各アンチウイルスを模擬環境に導入し検知挙動を比較するという方式もありますが、セキュリティベンダーでもない限り、ほとんどの企業・組織にとって現実的ではありません。
検討材料として考えられる手段はいくつかあります。
VirusTotalでCactusランサムウェアのIoCをスキャンした場合の、各アンチウイルス製品の検知結果例を以下に示します。ただし、このサンプルはあくまで既知のマルウェア・ハッシュをスキャンしたものであり、検知能力の全貌を示すものではないことにご留意ください。
第1チャプターで紹介したように、次世代アンチウイルスはマルウェアの検知と隔離・除去に留まらない機能(ランサムウェア防護、DLP、Webプロテクション等)を備えています。
自組織の環境や必要性に応じた機能を選定基準とすることが有効です。
対応するOSを確認し、自組織の保有するマシンに適合するかを確認しましょう。
業務や運用システムの制約から、古いOSやサポートの終わったOSを利用している場合は、そのような資産もカバーできるかを検討材料とすることができます。
またスマートフォン等のモバイルデバイスを業務で利用している場合は、製品が対応している場合、導入により保護することが可能です。
EDRやSIEM等を運用している場合は、次世代アンチウイルスがこのようなツールと統合可能であるかどうかを確認しましょう。
自組織の予算に合った製品を選び、最大限のセキュリティ効果を実現するよう考慮することが大切です。
最終チャプターで紹介するように、次世代アンチウイルス製品に追加のパッケージを付帯させるサービス等も提供されているため、各ベンダーからこまめに情報収集することを推奨します。
米CISAは、「結局どれを選べばいいのか」という疑問に対する回答をブログに掲載しています(外部リンク)。
ウイルス対策ソフトウェアを製造しているベンダーは数多くあり、どれを選択すればよいのか判断が難しい場合があります。通常、ウイルス対策ソフトウェアは同じ種類の機能を実行するため、推薦、特定の機能、可用性、または価格によって決定されます。どのパッケージを選択するかに関係なく、ウイルス対策ソフトウェアをインストールすることで、保護レベルは向上します。
(Understanding Anti-Virus Software)
やはり、自組織のIT環境や必要性、予算等を総合的に勘案した選定が望ましいとしています。
現在、主要なOSはアンチウイルスを標準搭載しています。
セキュア・バイ・デフォルトの方針に従い、各OSは一定のセキュリティ機能をあらかじめ備えるようになりました。
Microsoft Defenderの性能は現在流通しているサードパーティー製品に比べても遜色がないため、「Defenderで十分かどうか」に関する議論は国内外問わずインターネット上で多くみられます。
ただし、アップデートの集中管理や各マシンのセキュリティ状況可視化等、一定規模以上の組織が必要とする機能を満たすには、同社の提供する有償サービス等を利用しなければならないかもしれません。
MacOSはWindowsやLinux OSに比べユーザーが少なく、その分マルウェアの絶対数も少ないため、感染の可能性は一般的に低いと考えられます。
またiOS(iPhone)はOS・アプリストアの仕組み(AppleStoreにおけるセキュリティ制度、サンドボックス実行等)上、感染リスクは低いとされています。
ただし、数こそ少ないもののMacOSをターゲットとするマルウェアや、iPhoneに特化した商用スパイウェア等の脅威は確実に存在します。これらのデバイスやコンピュータにアンチウイルス製品を導入するかどうかは、自組織の事業やデバイスの利用法に応じて個別に検討することを推奨します。
参考:インターネット上の偽アンチウイルスに注意! インターネット上には、悪性広告でユーザーを誘導する無料アンチウイルスソフトや偽のアンチウイルスソフトが多数存在します。このようなソフトの一部は、インストール後にマルウェアと同様の動作をし被害をもたらすことがあります。 |
ここでは、次世代アンチウイルスを実際に導入し運用する際の留意事項を解説します。
現在はIoTを狙ったボットネットマルウェアや仮想マシンをターゲットにしたランサムウェア等、あらゆるマシンが攻撃対象となっています。
技術的な制約が許す限り、自組織のすべてのエンドポイント(PC、サーバー、仮想マシン等)にアンチウイルスを導入しましょう。
サイバー攻撃やランサムウェア攻撃では、アンチウイルスを導入していなかったコンピュータが被害にあうケースも確認されています。
次世代アンチウイルスは、従来と異なり頻繁なシグネチャ更新は無く、コンピュータのパフォーマンスを低下させることもありません。
ソフトウェアの更新があった場合は、確実に最新の状態にしましょう。
またアンチウイルスはその性質上コンピュータ内部で高い権限を与えられ動作します。
アンチウイルス製品の脆弱性を放置し、その脆弱性を悪用された場合、攻撃者に特権を与えてしまいます。脆弱性情報が公開された場合は必ず対応することを推奨します。
次世代アンチウイルスは管理コンソールによる各デバイスのマネジメント機能を備えています。
導入の際は、各ユーザーから重要設定の変更や無効化等ができないよう処置し、各エンドポイントの状況(検知状況や更新状況)について継続的にモニタリングしましょう。
参考:複数の次世代アンチウイルス製品の併用 1つのコンピュータに複数のアンチウイルスをインストールすることは、機能の衝突やシステム不安定化を招くため推奨されません。 ただし組織の中で異なるコンピュータに別のアンチウイルスを導入することは、NIST SP800-83r1「デスクトップとノートPCのためのマルウェア・インシデント予防と対応」において「可能な強化策」として言及されています。 例えばメールサーバー等の重要ホストごとに別のアンチウイルス製品を入れた場合、それぞれの検知能力を補完することができるとしています。とはいえ、組織で複数のアンチウイルスを運用することはそれだけコストの増大につながることに留意しなければなりません。 |
次世代アンチウイルスは、現代のサイバー脅威からエンドポイントを保護するために不可欠な技術的対策です。
しかし次世代アンチウイルスがすべての脅威に対応できるわけではありません。
サイバー攻撃のパターンや技術は常に進化・変化しており、脅威を100%検知することは、いかなる製品でも不可能と考えられています。
またマルウェア等による侵害が発生した後のインシデント対応には、ログの分析やデジタル・フォレンジックといった活動が必要になります。
組織のエンドポイント・セキュリティを強化するためには、次世代アンチウイルスを対策の1つとして取り込み、全体として統合することが重要になります。
具体的には、次世代アンチウイルスとEDR・XDRを組み合わせたり、次世代アンチウイルスとMDRやインシデントサポートサービスを組み合わせたりといった対策が考えられます。
SOMPO CYBER SECURITYでは、次世代アンチウイルスDeep Instinctに、インシデントサポートやトピック配信、損保ジャパンのサイバー保険等を組み合わせた安心サービスを提供しています。
Deep Instinctはゼロデイ脆弱性を含む未知の脅威を検知するために複数のディープラーニング・モデルを導入した製品です。
「予防ファースト」を掲げ高い検知・防護性能を備えており、「選び方」のチャプターで紹介したMITRE ATT&CK Evaluationでも良好な成績を残しています。
次世代エンドポイント選びに迷ったら、ぜひ当社のエンドポイント対策サービスにお問い合わせください。
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)