Sophos Intercept X
いまさら聞けない!NGAVとは?有効性についても解説!
近年、あらゆる企業がエンドポイントでのセキュリティ対策としてNGAV(※1)やEDR(※2 )といった製品で対策を取り始める中、今一度エンドポイントでのセキュリティ対策が重要な理由を振り返り、NGAVの有効性について解説していきます。
※1 NGAV・・・Next Generation Antivirus(次世代型アンチウイルス)
※2 EDR・・・Endpoint Detection and Response(エンドポイントでの検出と対応)
Contents
1.エンドポイントでのセキュリティ対策が重要な理由
エンドポイントとは、終点・末端を意味します。
IT用語では、通信回線やネットワークの末端に接続された端末やコンピューターなどの機器のことで、企業内でのエンドポイントとは、サーバーやPC、仮想デスクトップなど社内のネットワークに接続できる末端機器を指します。
エンドポイントの脆弱性を突かれる
昨今、エンドポイントの脆弱性を突いたサイバー攻撃が次々と企業に仕掛けられ、マルウェアに感染させる攻撃手法が多様化し始めました。さらにマルウェアも検知をすり抜けるために進化し続け、新種のマルウェアも流行しています。
エンドポイントの脆弱性とは、ハードウェアやソフトウェアの設計や実装にある弱点(セキュリティホール・バグ)のことです。攻撃者はその弱点(セキュリティホール・バグ)を悪用し、マルウェアに感染させます。そしてマルウェアに感染したエンドポイントのPCなどが、社内のネットワークに接続したタイミングで企業内にマルウェアを侵入させ、他のエンドポイントにも感染を広げます。
例えば、標的型攻撃と呼ばれる、特定の組織から機密情報等を盗むことを目的とした攻撃手法の発生です。この攻撃はメールの添付ファイルやリンクにマルウェアを組み込み、ビジネスメールを装って組織へ送られます。それらを開かせることで感染させ、システムに侵入したマルウェアが感染を拡大し、企業の機密情報や顧客の個人情報などを盗み出すという手法です。
過去の被害では、財務省でのウイルス感染による情報流出や外務省ネットワークからの情報流出、さらに2015年には日本年金機構に標的型攻撃が仕掛けられ、125万件以上の個人情報を流出してしまったという被害がニュースとなりました。
また、2015年頃から企業や公的機関などを標的にした事例が増え始め、2017年には多くの企業や公的機関を攻撃したランサムウェア「WannaCry」が世界中で流行し、ニュースでも広く報じられました。
ランサムウェア(Ransomware)とは、「身代金要求型」のマルウェアです。ランサムウェアは企業のコンピューターに感染した後、機密情報や顧客情報などを勝手に暗号化して閲覧不可能にし、暗号の“解除”と引き換えに金銭の支払いを要求します。
※ランサムウェア(Ransomware)・・・「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語で、「身代金要求型」のマルウェア
働き方の多様化により「境界防御型」の限界
新型コロナウイルスや働き方改革による働き方の多様化により、エンドポイントであるPCを社外に持ち出し、自宅や外出先から社内ネットワークに接続して働くケースが増えました。
こうした環境の変化により、ネットワークの外部と内部の境目で対策をする「境界防御型」のセキュリティモデルではエンドポイントの安全性を十分に担保することができなくなってきました。
そのため、エンドポイント端末自体をサイバー攻撃から守ることがより一層重要になってきていると言えます。
2.今さら聞けない!NGAVとは?
NGAV(次世代型アンチウイルス)とは、パターンマッチング方式に依存しない、人工知能(AI)技術を採用した次世代型のエンドポイント保護ソリューションです。
人工知能(AI)技術を採用していることにより、未知のマルウェアに対しても不正な動きを検知できるという特長があります。
NGAVの誕生|パターンマッチング方式の限界
パターンマッチング方式だと、攻撃手法の多様化や日々生まれるマルウェアに対して、パターンファイルの生成が間に合わず、未知のマルウェアがすり抜けて入ってきてしまうという問題が発生しました。
このような問題への解決策の1つとしてNGAV(次世代型アンチウイルス)が誕生しました。
※パターンマッチング方式とは、マルウェアなどの不正プログラムに関する情報を蓄積したデータベース(「パターンファイル」や「定義ファイル」と言われています)を参照して、検査対象とマッチさせマルウェアを検知する方式です。
人工知能(AI)によるマルウェア検知方法
常にプロセスを監視し、マルウェアの特徴を人工知能(AI)が解析します。
マルウェアの脅威情報を収集・解析し、特徴を抽出するため、これまで一度も確認されたことがない新種のマルウェアでもリアルタイムで検知することができます。
日々生まれてくる未知のマルウェアの侵入を防ぎ、皆様の大切な情報を守ることができます。
3.機械学習型と深層学習型の違い
NGAV(次世代型アンチウイルス)で採用されている人工知能(AI)は2種類あります。
ここでは2つの技術の違いを比較していきます。
①機械学習型(マシーンラーニング)
②深層学習型(ディープラーニング)
①機械学習型(マシーンラーニング)
機械学習型とは、人間が特徴を定義し、人工知能(AI)に学習・分析させています。
学習・分析の効率化を図るといったメリットはありますが、1億個以上のルールを覚えようとすると精度が下がるというデメリットがあります。
今では、1日あたり100万個以上のマルウェアが生成されているため、機械学習型で未知のマルウェアを検知するには限界があると言われています。
②深層学習型(ディープラーニング)
深層学習型とは、人工知能(AI)が大量のマルウェア情報から高速で学習・分析してマルウェアの特徴(属性や規則性など)を抽出します。
人工知能(AI)自ら特徴を抽出して学習を重ねていくので、ルールに限りがありません。
そのため、日々生成される未知のマルウェアでも検知することができます。
このようにNGAV(次世代型アンチウイルス)に搭載されている人工知能(AI)の中でも、機械学習型より深層学習型が優れていることが分かります。
4.まとめ
エンドポイントでの環境が大きく変化する中、企業に対するサイバー攻撃が多様化し、被害件数もますます増えてきています。
そのため、企業はエンドポイントでのセキュリティ対策をレベルアップさせていく必要があります。
これからのエンドポイントセキュリティ対策としてNGAV(次世代型アンチウイルス)がオススメです。
「Sophos Intercept X」は、従来型アンチウイルス機能も搭載しているNGAV(次世代型アンチウイルス)です。NGAV(次世代型アンチウイルス)の人工知能の中でも深層学習型を採用しており、多様化したサイバー攻撃からエンドポイントを多層防御できる製品です。
さらにEDR機能を搭載しているモデルもございますので、よりセキュリティを強固にしたいお客様にオススメできる製品です。
エンドポイントセキュリティでの課題に対して、新たな取り組みをご検討されている企業様は
ぜひ「Sophos Intercept X」にご相談下さい。