NGAV(次世代型アンチウイルス)とは?EDR/XDR/MDRとの違いと製品比較のポイント

マルウェアなどの脅威に対抗するソフトウェア「アンチウイルス」が、一般ユーザ向けに発売開始されてから、30年余り。脅威状況の変化に伴い、近年では、次世代型アンチウイルス「NGAV(Next Generation Anti-Virus)」という製品が誕生しています。
本記事では、NGAV(次世代型アンチウイルス)とは何か概要を紹介しつつ、他のソリューションとの違いや製品を選ぶときのポイントについて解説します。

NGAV(次世代型アンチウイルス)とは?

EDR誕生の背景や仕組みを説明します。

NGAV(次世代型アンチウイルス)とは

次世代アンチウイルス「NGAV(Next Generation Anti-Virus)」は、悪意のあるプログラムやマルウェアへの感染を防ぐソフトウェアです。
アンチウイルス(AV)自体は、30年以上前から存在しており、なんら目新しい製品ではありません。
一方、次世代型と銘打つNGAVでは、従来型のアンチウイルスでは不可能な、未知のマルウェアまでも検出が可能です。
なお、NGAVという名称は俗称であり、” 次世代”の定義や搭載する機能はセキュリティベンダーごとに異なる点に注意が必要です。

従来型アンチウイルス(AV)の仕組み

“次世代”以前、従来型のアンチウイルス(AV)の中心技術となっていたのが、パターンマッチングでした。
パターンマッチング方式とは、文字通り、マルウェアのパターン情報を蓄積し、マルウェアと同じ性質を持っているとみなしたファイルを”不正ファイル”として検出する方式です。
まず、マルウェアのファイルや感染したファイルを解析し、確認できたパターンのデータ(シグネチャコード)を、定義データベースに蓄積します。
次に、アンチウイルスが、ユーザのPC上をスキャンし、定義データベースと照合することで、PC内にシグネチャコードと同じデータが存在しないかを確認します。
PC上に該当するファイルが存在した場合、不正または疑わしいファイルとして検出し、アンチウイルスが自動的に隔離または削除します。
よって、パターンマッチング方式を採用した従来型アンチウイルスで検知できるのは、すでにデータベース化できた脅威、すなわち過去に検出された実績のあるマルウェアのみです。残念ながら、初めて世の中に出回った全く新しいマルウェアや、これまで誰も解析したことがない未知のマルウェアに対して、従来型アンチウイルスは全く無力ということになります。

NGAVの誕生

近年では、脅威状況が巧妙化・複雑化し、未知のマルウェアや新しい技術を利用したマルウェアが急増しています。
例えば、メモリ上で動作し、OSやアプリケーションに搭載されている正規の機能を悪用するファイルレスマルウェアの場合は、そもそもファイル自体が存在しないため、不正ファイルを検出する技術である、パターンマッチングでは検知できません。
そこで、このような巧妙な技術を利用した脅威に対処するため、防御する側も発想の転換と新しい技術の組込みが求められました。
次に説明する、振る舞い検知やAI・機械学習といった新技術がアンチウイルスに組み込まれ、新たに、NGAV(次世代型アンチウイルス)と呼ばれるようになりました。

NGAVの機能

NGAV(次世代型アンチウイルス)に組み込まれている機能は、製品により異なりますが、代表的なのは次のような機能です。

  • 振る舞い検知
    ファイルの構造やコードを見て不正なファイルだと判断するのではなく、ファイルの不正な動作・挙動や振る舞いを確認することで不正であると判定する手法です。
  • AI・機械学習
    マルウェアらしさを数値化し予測防御を実現します。数十万種類のマルウェアデータで学習させた機械学習アルゴリズムで、未知の脅威も予測し、高確率で検知します。
  • パターンマッチング
    NGAVになったとはいえ、従来型アンチウイルスの主要機能であるパターンマッチングがなくなったということではありません。パターンマッチング方式は、既知の脅威を検知する手法としては有効であるため、NGAVでも引き続き重要な役割を担っています。

 

EDRにEPP? NGAVとの違い

セキュリティ対策ソリューションは、NGAV(次世代型アンチウイルス)だけではありません。NGAVと混同しがちな他のソリューションについて、NGAVとの比較で説明します。

事前対策と事後対策

セキュリティ対策ソリューションを検討する上で、必ず理解しておきたいのが事前対策と事後対策という考え方です。

  • 事前対策:脅威を侵入させないための対策。脅威の侵入を防止する。
  • 事後対策:脅威が侵入してしまった後の対策。迅速に侵入前の状態に戻す。侵入後の被害を最小限に食い止める。

脅威の侵入を防ぐソリューションであるNGAVは、事前対策の製品です。
一方、事前対策に対し、脅威の侵入は防げないという前提に立ち、万が一、侵入された場合に不審な挙動を検知して、迅速に復旧する事後対策を目的とした製品が生まれました。
後述する「EDR」は、エンドポイントで常時監視し、異常や不審な挙動が発生した場合に通知、復旧を支援するという事後対策の考え方に基づいた製品です。
重要なのは、脅威を侵入させないための対策「事前対策」と、脅威が侵入してしまった後の対策「事後対策」では、どちらがより重要ということではなく、違うのはその役割である点です。
事前対策と事後対策を組み合わせたセキュリティ施策が望ましいとされています。

NGAV とEDRの違い

事後対策の代表的な製品が、「EDR(Endpoint Detection and Response)」です。EDRは、ネットワークに接続する各種機器の中で終端となる機器、例えば、ユーザのPCやサーバにおいて、不審な挙動を検知して対処します。
EDRの大きな特徴は、マルウェアの侵入は防げないという前提に立ち、マルウェア感染後の対応を支援することを目的としていることです。脅威の侵入を防御するのではなく、万が一、感染した場合に、そこからいかに早く復旧するかに着目しています。

▶EDRとは?侵入後のセキュリティ対策の要!比較選定時のポイント

EDR、XDR、MDRの違い

EDRは、ネットワークに接続する各種機器の中で終端となる機器、例えば、ユーザのPCやサーバにおいて、不審な挙動を検知して対処することに対して、XDR(Extended detection and response)は、終端となるPCやサーバのエンドポイントに加えて、ネットワークやクラウドサービスなどにおける挙動も含めて不振なイベントの検知を行います。また、このEDR、XDRの不振イベントの検知後は、人による判断を通じて、正しい検知か誤検知か、自社のシステム環境などを考慮して緊急度や影響度が高いイベントなのか等を確認し、対処の必要性や対処方法を判断し、運用を行う必要があります。そのためEDR/XDRは導入後の運用負荷が高いソリューションと一般的に認識されております。
EDR/XDR活用したインシデントレスポンススキルの担保、24時間365日体制での要員の確保などが、EDR/XDRの運用の主要な課題となっています。その主要課題を解決するソリューションが、MDR(Managed Detection Response)です。MDRは、EDRやXDRのツール提供と平行し、それらツールの導入やチューニング、不振イベント検知後のインシデントレスポンスに対し、セキュリティエンジニアによるサービスを提供します。MDRを活用することで、EDR/XDRの運用やインシデントレスポンスのスキル、また、24時間365日の監視体制の担保などの課題を容易に解決します。

NGAV とEPPの違い

PCに侵入しようとする脅威をエンドポイントで検知し、PCを保護することを目的とした製品が「EPP(Endpoint Protection Platform)」です。
従来型のアンチウイルスやNGAVも、EPP製品に分類されます。
近年では、サイバー攻撃を受けることを前提に、その被害を最小限に抑えることを目指すエンドポイントセキュリティの考え方が普及していますが、アンチウイルスをエンドポイントセキュリティ実現のためのひとつのツールとして捉えたときの名称がEPPです。

そのため、近年では、パターンマッチング型のアンチウイルスとNGAVを包含したソリューションをEPPと呼ぶことが多くなっています。

NGAVはこう選ぶ!欠かせない条件は?

NGAVのエンドポイント製品は、ベンダーにより特徴や強みが異なるものの、製品を選定するときに、重視したいポイントは共通です。

誤検知率が低いこと

セキュリティ製品を選ぶときの評価基準のひとつとして、正規のファイルをセキュリティソフトが不正と判断してしまう誤検知の割合を知る方法があります。 誤検知率が高いセキュリティ製品を選択してしまうと、例えば、自社開発のソフトウェアなど、業務で必要なシステムまでも検知してしまい、業務効率が低下します。
各セキュリティ対策製品の誤検知の割合を知る方法として、テスト機関が公開しているレポートを確認する方法があります。 例えば、大手テスト機関のひとつが「AV-Comparatives」ですが、このような独立系テスト機関では、セキュリティ対策製品を、公平な立場からテスト・検証しています。
独立系テスト機関によるレポートは、一読しておいて損はないでしょう。

NGAVはパターンマッチングを併用したEPPソリューションを選択するのがベスト

不正なファイルと正規のファイルとを誤りなく判断するためには、1種類ではなく、複数の技術を組み合わせた多層防御で、何重もの判定と解析することが欠かせません。パターンマッチングは古くから存在する技術ですが、既知の脅威を検知する手法としては今もなお有効です。NGAVを採用する場合においても、パターンマッチングとの併用をすると検知率と誤検知率を両立することができます。

最後に

次世代型アンチウイルス(NGAV)とは何か、また製品を比較する際のポイントについて解説してきました。

ESET社では、NGAVとパターンマッチングを併用したEPP、XDR、MDRを提供しています。中小企業向けのラインナップ、大企業向けのラインナップをご紹介しております。ご選定の際には、是非ご相談ください。

大規模向けESETビジネスソリューション

中小規模向けESETビジネスソリューション