NGAV（次世代アンチウイルス）と従来型アンチウイルスの違い

昨今はサイバーセキュリティ事故のニュースが日常的に報じられ、今や他人事ではいられない状況です。事故にあった会社はセキュリティ対策を怠っていたのでしょうか。恐らくそうではなく、過去にアンチウイルスを導入したりファイアウォールを導入するなど、何かしらの対策はしていたはずです。それにも関わらず事故に遭うという事は、過去のウイルス対策製品が、現在のセキュリティ脅威に対応できていないことのあらわれと考えられます。

そこで実際に最新の技術を導入している場合とそうでない場合の違いがどれほどあるのか、エンドポイントのセキュリティ対策にフォーカスし、次世代アンチウイルス（以下、NGAV）と従来型のアンチウイルスの違いや、実際の検知率の差について、専門家にインタビューを行いました。

今回は、USEN ICT Solutionsが販売しているセキュアエンドポイントサービス（Va）で使用している WithSecure のNGAVのマネージドサポートを提供いただいているバリオセキュア株式会社の山森様にお話をうかがいました。

　ーアンチウイルスとNGAVの主な機能の違いについて説明していただけますか?

従来のアンチウイルスは、既知のウイルスのパターンに一致するかどうかを確認することでウイルスを検出します。ウイルスのパターンは日々更新されておりますが、未知のウイルスには効果がありません。

NGAVでは、ふるまい検知や機械学習といった技術を利用してウイルス固有の行動を捉えることができます。また、サンドボックス機能により隔離された環境でプログラムを実行し、プログラムの挙動を確認します。これにより、未知のウイルスの脅威も検出することができる特性を持っています。

これらの機能により、NGAVは従来のアンチウイルスがカバーできない脅威に対する対策を強化することが可能となります。

　ーNGAVがアンチウイルスに対して優れていると思われる特定のマルウェアまたは攻撃手法はありますでしょうか？

例として、「ゼロデイ攻撃」に対して優れていると思われます。ゼロデイ攻撃とは発見された脆弱性を解消するための対策が提供される前に行われるサイバー攻撃です。

従来型のファイルスキャンは、「既知のマルウェア」に対しては有効ですが、ゼロデイ攻撃のような「脆弱性についての対策が存在していない」攻撃に対してはほぼ効果を発揮できていませんでした。

NGAVの「デバイス制御」機能は「ファイルに対しての変更試行をブロックする」能力を持っていますので、パターンマッチングでマッチングしないウイルスでも、PCのファイルに対して、権限等を変更しようとする動きがあれば、そこでマルウェアの動きをブロックすることができます。

　ーバリオセキュア様の運用実績の中からアンチウイルスとNGAVのそれぞれの検知率はどの程度の差があるか教えていただけますか？

ある一定期間の一定数のエンドポイント端末への脅威情報をまとめました。

上記のような結果になりました。

これは従来型のアンチウイルスでは、およそ1/3程度しか脅威を検知できていないことを示しています。新しい技術を採用することの重要性を明確に示すデータだと思います。現在も更新されていないアンチウイルスを利用されている方は、すぐにでも最新NGAVを検討することをおすすめめします。

また、ソフトメーカーにより機能の違いはありますが、NGAVに付与されている他の機能で防御できた脅威もあります。

　ー過去の特定の事例を挙げて、アンチウイルスとNGAVの検知能力の違いについて説明していただけますか?

例えば、WithSecure 社のNGAVの機能の一つに「ロールバック機能」というものがあります。この機能は、ランサムウェア等のマルウェアからユーザーを保護し、ファイルやレジストリをマルウェアが感染した前の状態に復元することができます。また、ウイルスによるシステムやレジストリの変更を検知する機能も持っています。

2024年8月から10月後半の間に、お客様のPCがマルウェアに感染し、そのPCのファイルやシステム設定が変更された、という事例が3件ありました。これらの事例はすべてロールバック機能により感染前の状態に復元がされました。従来型のアンチウイルスだけでは、以前の状態に復元できませんでした。したがって、この事象は「NGAVだからこそできたこと」と言えます。