次世代アンチウイルス(NGAV)とは?

次世代アンチウイルスは、アンチウイルス(AV)ソリューション機能が一歩前進したものと見なされており、人工知能(AI)や機械学習(ML)を組み込んだXDR(Extended Detection & Response)機能との組み合わせで既知のシグネチャベースの防止技術を活用するものです。高度な分析を活用して複数のテレメトリソースからのアラートを関連付けることで、実用的な脅威インテリジェンスを迅速に特定し、脅威をより素早く予測して阻止します。

NGAVは、システムやエンドポイントへの影響が少ないクラウドベースのソフトウェアの形式で展開され、組織や企業で一般的なタイプのAVとして採用が進んでいます。

NGAVとEDRの比較

XDRとNGAVが連携すると、いずれもネットワーク境界を保護し、脅威検知技術をネットワーク境界を越えて拡張することになります。EDRは、セキュリティ境界の内側にあるエンドポイントで発生します。悪意のある攻撃者が電話やノートパソコンなどのエンドポイントに到達する方法を見つける可能性は引き続きあるため、優れたEDRソリューションは最後の防御線となります。

NGAVとマルウェア対策の比較

ここでも、対象が広範なものと具体的なものとの比較となります。前述したように、最新のNGAVソリューションは、高度な分析を活用して、ネットワーク境界内およびネットワーク境界を超えた脅威を保護し、予測し、防御するよう設計されています。マルウェア対策ソリューションは主に、セキュリティ制御をバイパスするために構築されたマルウェアがないか、個々のシステムをスキャンするように設計されています。

NGAV はどのように機能しますか?

NGAVは、マルウェアとファイルレス攻撃を検出して防止することで機能します。実行前の手法を活用し、悪意のある行為者が意図的に使用する、あるいは適切な認証を得た人物が無意識に使用する戦術、技術、手順(TTP)や悪意のある行動から保護します。NGAVソリューションが検知と防止の目標をどのように達成するかを詳しく見てみましょう。

  • メモリインジェクション対策は、ファイルレスの脅威による試行をブロックし、ファイルシステムからのコードの実行を回避します。メモリインジェクション対策は、正当なプロセス中に発生する可能性のある悪意のあるコードのインジェクションを停止し、非表示にします。
  • 悪意のあるドキュメントの防止は、スクリプトや組み込みツールなどの機能を悪用しようとする悪意のあるドキュメントを破壊または無効化します。これにより、ユーザーは最新のアプリケーションの全機能を活用できるようになり、感染の心配が軽減されます。
  • 環境寄生型対策は、従来型のマルウェアを導入することなく、損害を引き起こす可能性のあるシステムネイティブツールの悪用を阻止します。脅威がこれらのネイティブツールを踏み台にしてエンドポイントに感染できなくなります。
  • オペレーティングシステムの認証情報ダンピング保護は、資格情報の盗難の試みなどのディセプションテクノロジーをブロックします。 

GAVソリューションとサービスのプロバイダーは、通常、ネットワークシステムやエンドポイントのパフォーマンスを妨げないように、技術を迅速に立ち上げ、運用できるように設計しています。

NGAVと従来のAVの比較

NGAVについて議論するとき、依然として焦点となるのが最後の2文字「AV」です。「ウイルス対策」という用語が何十年にもわたってコンピューターを使用する社会の一部として使われてきたことから、現代のNGAVと従来のAVとの認識で異なる点について疑問を抱くのは当然と言えます。

AVは主に、エンドポイントの保護、時に大規模な重要インフラストラクチャの一部である影響を受けるデバイスの迅速な除去に重点を置いているため、影響を受けないデバイスに大きな混乱を引き起こす場合があります。これにより、企業は重大な財務的および評判上の損害を被る可能性があるのです。

NGAVは、こうした従来のAVプロセスを超えて、エンドポイントエコシステム全体にわたってファイルレスマルウェアを含む多様な攻撃をブロックします。NGAVの主な目標は、ネットワーク全体の重要なエンドポイントに到達する攻撃を検知し、阻止することであり、加えて、MLとAIの学習を通じて回避行為を阻止する上でも役立ちます。検知テクノロジーを増やしてもマルウェアやその他の脅威の問題は解決されません。むしろ重要なのは、攻撃者を防戦一方にする防止に重点を置いたよりスマートな検知です。

最後の重要な違いは、前述の「学習」の概念にあります。従来のAVはエンドポイントに負荷がかかる可能性があり、システム固有の動作に適応する機能はありません。今後もそれが変わることはないでしょう。他方、NGAVは、インストールされているエンドポイント、システム、ネットワークの過去の動作から学習します。このため、従来よりもはるかにキルチェーンの早い段階で回避行為を検出し、非常に効率的に脅威をブロックすることができます。

NGAVのメリットとは?

従来のAVと比較したNGAVの利点は数多くあり、組織のネットワーク検知および対応 (NDR)プログラムを加速させることに役立ちます。

脅威を早期に防止

企業やセキュリティ組織が現代の脅威に立ち向かうためには、NGAVの検知を回避するテクノロジーを悪用する、悪質な攻撃者に打ち勝つ必要があります。 これには、キルチェーンで既知および未知の脅威を早期にブロックしたり、エンドポイントやディープシステムへのアクセスを遮断したり、 ネットワークアクセス を完全に防いだりすることが含まれます。 従来のAVは通常、シグネチャベースの検出方法を使用しますが、NGAVはシグネチャベースの検出、AI、MLを組み合わせて、今日の攻撃者が使用するTTPを明らかにします。

エンドポイントの可視化

前述したように、MLとAIは、保護対象のシステム内の特定の動作に適応する機能をNGAVソリューションに与えます。これにより、アナリストはエンドポイントとネットワークシステムをより深く理解し、差し迫った攻撃の兆候となるテレメトリに基づいて脅威から防御し、より優れた保護を設計できるようになります。

成果をすばやく実感

NGAVソリューションは通常、システムの動作を低下させず、セキュリティ担当者の生産性も低下させない軽量のアドオンテクノロジーとなるよう設計されています。通常、設置面積が小さいため、迅速に導入でき、重要な洞察を促進し、資産やプロセスの封じ込めの自動化などのアクションにより平均対応時間 (MTTR)の短縮が可能となります。

従来のAVを進化

NGAVソリューションは、運用コストが低く、より効率的な脅威インテリジェンスと検知機能、包括的な対応範囲を備えるため、通常、技術スタック全体のさらなる統合を目指すセキュリティ専門家にとって理想的です。NGAVは、組織がすでに導入している既存の検知対応(D&R) ソリューションの付加価値として、セキュリティ慣行間のサイロの打破を加速することができます。これは、リソース不足に悩まされるセキュリティオペレーションセンター (SOC)にとって、生産性や効率性向上、成長の原動力となる可能性があります。

NGAVソリューション:考慮すべき点

他のソリューションと同様、とりわけ名前に「次世代」という語が含まれる流行のソリューションを購入する場合には、さまざまな選択肢とベンダー候補があります。したがって、独自の環境に合わせてNGAVソリューションを調整できるソリューションを見つける方法を知っておくことが最善です。

  • 現在のAVソリューションをどのように使用していますか?この問いで重要となるのは戦略で、AVがどのように配備され、何を守るために構築されているのか、システムや計画はあるのかが焦点となります。標準のエンタープライズAVが実行中のシステムを保護するよう適切に設計されていない場合、再調整が必要となります。
  • 各エンドポイントのAVのメンテナンスはどのくらいかかりますか?このページで詳説しているように、最新のNGAVソリューションはエンドポイントを超え、攻撃が個々のシステムに到達する前に未然に防ぎます。数百、数千もの複数のエンドポイントで実行されるAVを維持するようでは、AIとMLの実現するNGAVの予測効率は活用できません。
  • 現在のエンドポイントイベントをどの程度把握していますか? 有能なチームであれば、ネットワークとその上のエンドポイントを十分に把握できますが、問題は、より多くのメリットを享受し、可視化でもたらされる洞察を活用して、より適切な計画を立て、積極的に防御できるかどうかです。
  • CISOにとって運用コストの削減はどの程度重要ですか?この答えは明白に思えるかもしれませんが、サイロを打破し、機能を統合する総合的なソリューションが、マルチプロバイダ製品の維持と比較して、生産性の向上と全体的なコストの削減に寄与する例が増えています。個別の製品自体は効果的かもしれませんが、組織内の他のオーダーメイドのソリューションと併せて検討すると、従業員の側で遅延が生じる可能性があります。
  • クラウドの運用/セキュリティの現状はどうですか?NGAVソリューションを導入するのに理想的な状態は、堅牢なクラウド運用がすでに行われている状態です。これにより、ソリューションをほぼリアルタイムで稼働させ、すぐにメリットを実感できるようになります。

続きを読む

ウイルス対策: 最新のRapid7ブログ記事

Rapid7リサーチ:Metasploitフレームワークでのウイルス対策 (AV)回避技術のカプセル化