エンドポイントセキュリティの現在

パターンマッチング方式に代わる「振る舞い検知技術」とは

サイバー攻撃者は、組織や個人の情報資産を狙って次々とサイバー攻撃を仕掛けてきます。こうした攻撃に対し、セキュリティベンダも対抗策を打ってきました。そして現在、引き続きサイバー攻撃の中心となっているのが、メールを起点とする攻撃です。最近では、ソーシャルエンジニアリングの手法を使って巧みに添付ファイルを開かせるなど、マルウェアに感染させる手法も増えており、感染被害が拡大しています。

マルウェアは日々進化し、ある時期からパターンマッチング方式のウイルス対策ソフトの限界が叫ばれるようになりました。パターンマッチングとは、マルウェアの特徴を抽出した「パターンファイル」を用意し、検査対象とマッチングしマルウェアを検知する技術です。しかし、パターンファイルはマルウェアの検体を入手しないと作成できないため、検体の入手が困難な新種のマルウェアは検知できません。

そこで、パターンマッチング方式とは異なる検知方法を搭載するようになりました。そのひとつが「振る舞い検知技術」です。振る舞い検知技術にはさまざまな種類がありますが、主にプログラムの動作を監視して、マルウェア特有の構造や不審な動作を検知するというものです。

マルウェアが実行されると、別のアプリケーションを起動させたり、関係のないWebサイトにアクセスをしたり、組織内のサーバでなく隣のPCにアクセスしようとするなど、不審な動作を行います。また、マイクロソフトの「Office」アプリケーションのマクロ機能を使って悪意あるプログラムを実行するなど、正規の動作に見せかけて、検知を逃れようとするマルウェアもありますが、振る舞い検知技術を使うことでこれらを検知し、動作を停止させることができます。

再び注目されるエンドポイントでのセキュリティ対策

「パターンマッチング方式のウイルス対策が限界に来ている」と言われた大きな要因のひとつは、標的型攻撃の登場でした。標的型攻撃は、特定の企業や組織のみに標的を絞ったサイバー攻撃のことで、攻撃を行う前に入念な調査を行うことが特徴です。標的が使用しているアプリケーションの弱点を悪用したり、事前にウイルス対策ソフトで検知しないことを確認した、新種のマルウェアを作り出します。このため、一般的なウイルス対策ソフトでは検知できず、標的にされたことすら気づけないケースが多かったのです。

パターンマッチング方式での検知が困難となった標的型攻撃に対応するため、「侵入されたことを前提」とした対策が重視され、ゲートウェイでの「入口対策」、組織内で不正な動作がないかを調べる「内部対策」、そして侵入したマルウェアが盗み出した重要な情報が外部に送信されるタイミングで検知する「出口対策」によって、早期に攻撃を把握して対処することができる対策が必要とされました。これらの対策は現在でも有効とされています。しかし最近は、振る舞い検知技術によるエンドポイントでのセキュリティ対策が見直されています。

エンドポイントでのセキュリティ対策が重要視されている3つの理由。

1つ目は、マルウェアが動作を開始する場所であることです。エンドポイントであれば、マルウェアが動作を開始した瞬間を捉えることができます。その場で確認できるので、分析しやすく多くの情報を入手でき、効果的かつ確実にマルウェアを検知・防御できるポイントなのです。

2つ目の理由は、検知できる機会が多いことです。マルウェアは、その侵入から感染、不正な動作などの行動をすべてエンドポイントで行います。いずれかの時点で検知できれば、被害を未然に防ぐことができます。

そして3つ目の理由は、環境に依存しないことです。マルウェアは、ゲートウェイやネットワークで検知されないために、難読化や暗号化などを行いますし、最近では暗号化されたHTTPS通信を使用したマルウェアの侵入が増えています。これによりゲートウェイでの検知や分析から逃れようとしますが、エンドポイントではこれらを取り払って動作を開始しますので、検知しやすくなります。また、USBメモリーなどを介した侵入も検知でき、ネットワークに接続されていない状態でも検知・防御が行えるのです。

最新のエンドポイントセキュリティ対策「NGEPP」とは

新たなエンドポイントセキュリティ対策として注目されているのが、「NGEPP」と「EDR」です。NGEPPは「Next Generation Endpoint Protection Platform:次世代エンドポイント保護プラットフォーム」の意味です。パターンファイルに依存しない、振る舞い検知技術を使ったエンドポイント保護のことを指し、検知技術に機械学習などの人工知能(AI)を採用しているものもあります。 検知技術にAIを採用し、膨大なマルウェアの構造や特徴を学習することで、従来は発見が困難であったマルウェアを独自の検出ロジックにより発見できるようになるなど、パターンマッチング方式と比べて検知性能が向上しています。

また、EDRは「Endpoint Detection and Response:エンドポイントでの検出と対応」の意味で、エンドポイントにおける操作や動作を記録し、そのログを分析することでマルウェアの侵入を検知します。感染を前提としているため、マルウェアを発見してもマルウェアの動作を自動で停止することはできません。また、運用には専門知識が必要とされているため、検出後の対応サービスとセットでの提供が増加しています。

NGEPPの代表的な製品が、FFRIの提供する次世代エンドポイントセキュリティ「FFRI yarai」です。FFRI yaraiは、機械学習によりマルウェアの怪しい振る舞いを検知する「機械学習エンジン」をはじめ、5つの振る舞い検知エンジンを搭載しています。これまでの豊富な検知・防御の実績から、さまざまな業種の企業や組織で導入されています。また、一般的なウイルス対策ソフトとの併用が可能なので、理想的な多層防御を構築することもできます。ぜひ詳細な情報をご覧になってください。

FFRI yarai3.3

次世代エンドポイントセキュリティ特集一覧

次世代エンドポイントセキュリティ特集


法人向け 次世代エンドポイント製品

Yarai Yarai

エンドポイントでの多層防御により未知の脅威をブロック

FFRI yaraiは、パターンファイルに依存しない「先読み防御」技術を徹底的に追及した次世代エンドポイントセキュリティです。 標的型攻撃のトリガーとなる未知の脆弱性攻撃や、未知のマルウェア攻撃からシステムを保護します。

次世代エンドポイントセキュリティ
FFRI yarai製品詳細

お問い合わせ

個人・小規模事業者向け 次世代エンドポイント製品

FFRI yarai Home and Business Edition FFRI yarai Home and Business Edition

「先読み防御」技術で仕事もプライベートも保護

次世代エンドポイントセキュリティFFRI yarai Home and Business Editionは、従来のパターンマッチング型ウイルス対策ソフトでは防御することが難しかった未知の脅威を、独自の「先読み防御」技術を用いた多層構造の検出エンジンで防御する個人・小規模事業者向けセキュリティソフトです。

次世代エンドポイントセキュリティ
FFRI yarai Home and Business Edition
製品詳細

pagetop