NGAV(次世代型アンチウイルス)とは? 機能やEDRとの違いを解説
日々進化するサイバーセキュリティの脅威に対応するため、AIや機械学習、振る舞い検知といった技術を備えたウイルス対策ソフトであるNGAV(Next Generation Anti-Virus)の導入を進める企業が増えています。悪意のあるプログラムやマルウェアへの感染からパソコンを守る働きは従来のウイルス対策ソフトもNGAVも同じですが、なぜNGAVに注目が集まっているのでしょうか。
本記事では、NGAVの機能や特徴、EDRなど他のセキュリティ対策との違いなどについて解説します。
NGAVとは、次世代型のウイルス対策ソフトのこと
NGAVとは、パソコンやスマートフォン、サーバーといったエンドポイントの端末を、悪意のあるプログラムやマルウェアへの感染から守るための次世代型ウイルス対策ソフトのことです。次世代型アンチウイルスと呼ばれることもあります。
ウイルス対策ソフト自体は従来から存在していますが、NGAVは近年の脅威の傾向に沿って開発されたソフトウェアであり、AIや機械学習、振る舞い検知、機械学習アルゴリズムといった機能を備えています。これにより、従来型でも検出可能だった既知のウイルスに加え、未知のウイルスにも対応できるようになりました。最新の脅威に対してリアルタイムで適切な対応がとれるNGAVは、巧妙化・複雑化するサイバーセキュリティの脅威に直面する企業や組織にとって、有用なソリューションだといえます。
NGAVと従来型のウイルス対策ソフトとの違い
NGAVと従来型のウイルス対策ソフトは、前者が既知・未知のウイルスを発見できるのに対し、後者の対応範囲は既知のウイルスのみである点が異なります。
この違いが生じる要因は、脅威を検知する仕組みの違いにあります。従来型の脅威の検知方法は、ウイルスなどのファイルに含まれる特異な文字列(シグネチャ)をデータベース化し、シグネチャコードの一致するファイルが存在したときに「疑わしいファイル」として検出するパターンマッチング方式です。そのため、データベースにある既存の脅威は高確率で検知しますが、未知の脅威は検知できません。また、定期的にデータベースを更新し、最新のパターンをダウンロードすることも必要です。
例えるなら、指名手配犯の写真やデータが共有されるのを待ち、共有されたデータに掲載されている犯人以外は検知できない監視カメラのようなイメージです。
一方、NGAVは、プログラムの動作や挙動を基に不正なファイルかそうでないかを判断する振る舞い検知、「マルウェアらしさ」を予測検知する機械学習アルゴリズムなどの機能が搭載され、データベースにない最新の脅威も検出できるようになりました。指名手配犯としてリスト化されていなくても、特徴や行動から犯人らしき人物をあぶりだし、特定することが可能です。
加えて、パターンマッチングによるウイルス検知もできます。NGAVの提供形態は一般的にクラウドベースであるため、既存の脅威を記録したデータベースの更新も迅速で、パターンマッチングにおけるデータベースの更新までのタイムラグも削減されています。
このように、未知・既知、どちらのセキュリティリスクにも高精度な対策がとれる点は、NGAVのアドバンテージです。ただし、高価な製品が多いNGAVに比べ、従来型は比較的安価で、導入のハードルが低い点でメリットがあります。
NGAVが必要とされている背景
現在のサイバーセキュリティの脅威に対して、従来のパターンマッチング方式ではなく、NGAVによるエンドポイント向けのウイルス対策ソフトが必要とされている理由は、脅威の変化にあります。
サイバー攻撃の進歩が日々高速化し、新しい技術を利用したマルウェアやウイルスが次々と生み出されるようになったことで、パターンマッチングで既知の脅威に対策するだけでは被害を防ぐのが難しくなりました。そもそもファイルが存在せず、メモリ上で動作するファイルレスマルウェアもあり、そのようなウイルスはパターンマッチングでは検知できません。
NGAVは、こうした最新のウイルスやマルウェアに適切に対処するために誕生しました。既知の脅威はもちろん、未知の脅威からも企業のセキュリティ環境を守る対応範囲の広さがNGAVの特徴です。
NGAVの主な機能
NGAVは、従来のウイルス対策ソフトではカバーしきれない範囲にも適切な対策ができる優れたソリューションです。NGAVに明確な定義はなく、サービスを提供するセキュリティベンダーによって細かな仕様は異なるため、自社の求める機能が搭載されていることを確認した上で導入すると良いでしょう。
下記では、NGAVの主な機能を4つピックアップして解説します。
AI・機械学習
NGAVには、一般的にAIや機械学習といった機能が搭載されています。AIとは、人間に備わった知能によって実行される認識、推論、批判、意思決定といった知的な行動を、機械を用いて模倣、再現する技術のことです。機械学習はAIの技術領域の1つで、大量のデータを分析して規則性や関係性を学習します。
NGAVは、膨大なデータからの学習結果を基に、AIによる分析を行い、既存のデータベースに登録されているか否かにかかわらず悪意のあるファイルやマルウェアを高確率で見つけ出します。これにより、メモリ内に常駐して攻撃するファイルレスマルウェアの攻撃にも対応が可能です。また、サイバー攻撃に関する最新の情報を自動的に収集し、未知の攻撃手法であっても、その特徴から悪意を推測して排除できます。
振る舞い検知
NGAVには、一般的に、振る舞い検知機能が搭載されています。振る舞い検知とは、プログラムの構造を確認するのではなく、動作や挙動で不正なプログラムかどうかを判断する機能のことです。実際に不審なプログラムを動作させてその挙動を解析し、ウイルスかどうかを確認します。
パターンマッチングではウイルスかどうか断定できずに見逃されてきた脅威も、振る舞い検知機能によって対処できるようになります。
サンドボックス
NGAVには、プログラムの挙動を確認するためのサンドボックス機能も搭載されています。サンドボックスとは、セキュリティ対策における用語で、ユーザーが普段使っている領域から隔離された仮想環境を指します。
サンドボックスは外部と隔離されており、サンドボックス内で起こったことが周りに影響を与える心配はありません。そのため、発見したファイルやプログラムの悪意を確かめたいときに、サンドボックス内で実際に動作させて判断できます。
ただし、サンドボックス内では実行できない仕組みが実装されている脅威もあることに注意しましょう。サンドボックス単体ではなく、複数のツールや施策と組み合わせることが重要です。
パターンマッチング
NGAVには、従来のウイルス対策ソフトが既存のウイルスやマルウェアを探知する際に使われるパターンマッチング機能も搭載されています。既存のウイルスの定義データと照合する検知方式であるため、パターンマッチングのみでは新しい脅威の攻撃を防ぐことはできませんが、既知の脅威には依然として有用な方法であるため、NGAVでも採用されているのが一般的です。
NGAVと他のセキュリティ対策との違い
NGAVの役割は、未知・既知のサイバー攻撃を侵入させないようにするための対策であり、巧妙な方法でその対策を突破した脅威に対しては効力を発揮しません。
NGAVとは異なる強みを持つセキュリティ対策を効果的に組み合わせることができるよう、NGAVと混同しがちな下記のセキュリティ対策について詳細を把握しておきましょう。
NGAVとEPPとの違い
EPP(Endpoint Protection Platform)は、外部の脅威からエンドポイントを保護する製品全般であり、AIや機械学習、振る舞い検知といった機能を搭載したウイルス対策のみを指すNGAVとは、対象となる製品の範囲が異なります。従来型のウイルス対策ソフトはEPPに含まれ、ファイルや挙動ベースで脅威を分析するNGAVも、外部の脅威からエンドポイントを保護する点でEPPの一部と位置付けられます。
NGAVとEDR、XDR、MDRとの違い
NGAVとEDR(Endpoint Detection and Response)、XDR(eXtended Detection and Response)、MDR(Managed Detection and Response)は、脅威への対処のタイミングが異なります。EDR、XDR、MDRは、いずれもNGAVと同様にエンドポイントに対するセキュリティ対策ですが、下記のようにそれぞれ異なる方法で脅威に対応します。
| 種類 | 脅威への対処方法 |
|---|---|
| EDR | セキュリティ用のプログラムが、パソコンやサーバー、スマートフォンなどのエンドポイントで端末の挙動や操作を監視し、不審な動きを検出して初動対応する |
| XDR | セキュリティ用のプログラムが、エンドポイントに限らずネットワーク、サーバーといった複数の階層を監視し、脅威の侵入やエラーなどを検出・分析して対処する |
| MDR | 外部の専門組織がネットワークやエンドポイントを24時間365日体制で監視し、脅威の検知と、攻撃の兆候を確認した際の対処を担う |
NGAVは、脅威がエンドポイントに侵入するのを事前に防御するための対策ですが、EDR、XDR、MDRは脅威に侵入された後を想定した事後対策のためのソリューションです。
NGAVは、NGAVですべての脅威に対応できれば問題はありませんが、NGAVで対応しきれなかったり、何らかの理由でNGAVに検知されなかったりする脅威の存在も否定できないため、侵入後の脅威に対処するEDR、XDR、MDRも併せて導入することが望ましいといえます。
NGAVを選ぶ際のポイント
NGAVは高機能なセキュリティ対策ですが、導入には費用もかかるため、慎重な検討が必要です。NGAVを導入する際には、下記の3つのポイントに注意して製品を選ぶことをお勧めします。
誤検知率
NGAVの導入を検討する際は、誤検知率を確認しましょう。正規のプログラムを誤って脅威と判定することを誤検知といい、誤検知率が高いと業務効率の低下につながります。
導入を検討している製品の誤検知率は、セキュリティ対策製品のテスト機関が公開しているレポートを確認することで把握できます。テスト機関は多岐にわたりますが、忖度のない評価を把握するため、様々な製品を公平な視点でテストしている独立系テスト機関のレポートを選んで確認することをお勧めします。
操作性と拡張性のバランス
NGAVの選定では、自社のニーズに応じた操作性と拡張性のバランスについても確認しておくことが重要です。例えば、顧客や取引先が多様かつ豊富な大企業では、規模に応じた高度なセキュリティを実現できる拡張性を持ったシステムでなければなりません。
一方、一定のレベルでセキュリティを確保しつつ、機能の拡張性よりも現場の担当者の操作性を重視したい企業では、一定のマニュアルに沿った操作が可能で管理しやすいサービスが適している場合もあります。
予算
NGAVを選ぶ際は、予算も重要なポイントとなります。予算に余裕があって初期費用・ランニング費用を十分にかけられる場合は、自社のニーズを満たす高機能なNGAVを選ぶことができます。限られた予算でNGAVを選ぶ場合には、自社に必要な機能と費用のバランスがとれるサービスを検討すると良いでしょう。
NGAVなどの高度なセキュリティ対策を導入し、サイバー攻撃を防ごう
NGAVは、AIや機械学習、振る舞い検知、機械学習アルゴリズムといった機能を備え、従来のウイルス対策ソフトでは検出不可能だった未知のウイルスにも迅速に対応できるセキュリティ対策ツールです。脅威を未然に防ぐNGAVは、複雑化するサイバー攻撃のリスクから自社の情報資産を守る上で効果的ですが、脅威による被害を最小化するEDRなどと組み合わせることによって、より確実性の高いセキュリティ対策を実現できます。
特に、個人情報や機密情報を多く扱う企業では、NGAVと併せて情報漏洩対策に特化したツールを導入し、複層的に対策を行いましょう。
インターコムが提供する「MaLion」シリーズは、情報漏洩対策やIT資産管理を一元的に支援するシステムで、NGAVと併せて導入することで高いセキュリティ効果を発揮します。端末ごとにセキュリティポリシーを設定し、セキュリティポリシーに反する挙動を制限したり、機密情報や個人情報が含まれるファイルなどへのアクセスを監視したりすることも可能です。一般的な製品ではオプションとなっている機能も標準搭載されていて費用を抑えられるため、限られた予算内で強固なセキュリティの実現を目指したい場合にも、ぜひご検討ください。
