セキュリティ

/

 

多層的な防御を作る!各マルウェア対策製品の役割と特徴

悪意をもってPCに侵入しさまざまな被害をもたらすマルウェアを防ぐためには、それに適した製品を導入する必要があります。しかしマルウェアの攻撃にも段階があり、段階によって適したマルウェア対策製品は異なります。

今回は、マルウェアによる攻撃の段階や、それに対応するための製品の種類についてご紹介します。

攻撃の各段階におけるマルウェア対策

マルウェア対策

マルウェアによる攻撃の流れを見てみると、いくつかの段階に分かれていることが分かります。マルウェア対策の各製品は攻撃のいずれかの段階でブロックなどの対処を行い、PCがマルウェアに侵されないように動作します。

マルウェアによるネットワークやPCへの侵入が行われる段階では、一般的なセキュリティ対策ソフトが使用されます。このような製品は「EPP」あるいは「NGAV」と呼ばれます。この段階では侵入しただけでまだ感染はしていないので、ここでブロックできればPCの被害をゼロに抑えることが可能です。

マルウェアの侵入後、具体的に悪意のある行動を起こす「感染」を防ぐ製品もあります。この段階で防御を行う製品については、後ほど詳しくご紹介します。

マルウェアは感染後、PCのデータを破壊する、情報を入手する、操作を乗っ取るなどの侵害を行います。この段階で動作し、被害を最小限に抑えるための製品もあります。このような製品は「EDR」と呼ばれます。

マルウェアによる侵害を受けた後、できるだけ元の状態を復元するために使用されるのがバックアップ製品です。情報が外部へ流出するような被害は取り戻せませんが、データのバックアップを取っていれば被害前の状態のPCを復元することができます。

マルウェア対策の製品別:長所と短所

アンチウイルス

前の項目にて登場したEPP、NGAV、EDRについて、それぞれの長所と短所をご紹介します。

EPP

EPP(Endpoint Protection Platform)は、「エンドポイント保護プラットフォーム」と訳される製品で、エンドポイント(PC)をネットワークの水際で保護します。これに対応する製品は従来のセキュリティ対策ソフトで、企業だけでなく個人のPCにも広く導入されています。

EPPの長所は、既知の攻撃に対して高い防御性能を発揮する点にあります。すでに発見されているマルウェアに関してはEPPがネットワークの水際でブロックするため、PCに侵入することができません。また、PC内のセキュリティスキャンやメールサーバーの監視などの機能も製品ごとに充実しており、これひとつでさまざまなセキュリティリスクに対応できるという長所もあります。

EPPの短所は、未知の攻撃に対してはなすすべがないという点にあります。EPPはマルウェアの情報を記した「シグニチャ」と呼ばれるデータを使用するため、登場したばかりのマルウェアや新種のマルウェアは素通りさせてしまいます。近年は次々に新しいマルウェアが作られているため、EPPだけでは対処できないケースが増えてきています。

NGAV

NGAV(Next Generation Anti Virus)は、「次世代ウィルス対策」と訳される製品で、EPPの強化版と言えます。NGEPP(Next Generation Endpoint Protection Platform)と呼ばれることもあります。なお、広く導入されているセキュリティ対策ソフトは徐々に機能が強化されており、NGAVとしての機能も有するようになっています。

NGAVの長所は、「振る舞い検知」などの高度な機能によりある程度未知のマルウェアにも対応できる点にあります。振る舞い検知は、ソフトウェアがPC内で行う動作を監視し、怪しいと判断した場合にブロックする機能です。マルウェアそのものではなく動作を監視するため、未知のマルウェアでもある程度の対処ができます。

NGAVの短所は、それでもすべてのマルウェアに対応できるとは言えず、侵入を許すケースがある点にあります。また、振る舞いを監視するという特徴上、安全なソフトウェアをマルウェアだと誤検知する可能性もあります。

EDR

EDR(Endpoint Detection and Response)は、「エンドポイントの検知と対処」を意味し、マルウェアがPC内に感染した後の対処を行います。

EDRの長所は、マルウェアによる侵害が行われてしまっても、その内容を検知してすぐさま対処できる点にあります。セキュリティ対策をすり抜けてしまったマルウェアによる被害を最小限に抑えることが可能です。

EDRの短所は、あくまでEDRが行うのは脅威の検知までで、製品がそのままブロックまで行ってくれるわけではない点にあります。脅威を検知し、その内容を把握したら、セキュリティ担当者が目で見て適切な対応を選択する必要があるため、社内に専門チームを置くか外部サービスを利用する必要があります。

感染後・侵害前に防御を行う「AppGuard」

マルウェアの侵入前に防ぐのがEPPやNGAV、マルウェアによる感染後に侵害を抑えるのがEDRの役割だとしたら、マルウェアの侵入後に感染しないよう防御するのが「OSプロテクト型」の製品です。2019年9月現在では、大興電子通信が提供している「AppGuard」のみがこの領域のマルウェア対策を行えます。

PCへの侵入前にマルウェアを防いでしまうことが理想ですが、現状のEPPやNGAVではすべてのマルウェアに対応できるわけではありません。また、一度侵入を許してしまうと、EDRである程度の被害は防げてもすべての侵害を防ぐことは困難です。この間を埋めるのが、AppGuardの役割です。

AppGuardは、これまでのセキュリティ対策製品にはなかった全く新しい方法で各ソフトウェアの動作を監視します。これは振る舞い検知とは違い、各ソフトウェア自体をコンテナ化して保護しているため、正規の手順以外でなんらかの動作が行われるとソフトウェアが瞬時に隔離されてマルウェアによる侵害を防ぎます。

また、AppGuardは「ファイルレス攻撃」に対しても防御機能を発揮します。ファイルレス攻撃とは、マルウェアを使用しないサイバー攻撃のことで、PC内の正規のソフトウェアを乗っ取ることでなんらかの被害をもたらします。ファイルレス攻撃はマルウェアによる攻撃ではないためEPPやNGAVでの検出は難しく、EDRでも対策は困難です。AppGuardであれば各ソフトウェアの動作を監視しているため、ユーザーの操作とは違う手順が確認されればファイルレス攻撃であろうと瞬時にブロックします。

AppGuard自身のファイルサイズが軽い、という点も大きな特徴です。エンジンが約1MBという軽量設計で、スキャンも行わないため、十分なスペックのないPCでも軽々と動作します。これまでのセキュリティ対策ソフトのようにシグニチャなどの更新も必要なく、運用も非常に簡単です。

マルウェアの特徴を知り製品を導入することが大切

日々大量のマルウェアが作られている現在は、ひとつのマルウェア対策では不十分だとされています。どのようなサイバー攻撃にも対処できるよう、複数のセキュリティ対策を施し、ひとつが駄目でも次の製品が対応できるような状態を整えることが大切です。

今回ご紹介したマルウェア対策の製品はどれもそれぞれに役割があり、多層的な防御を構築することでPCの安全を確保することができます。また、厳密にはマルウェア対策に入らないためこの記事では詳しくご紹介していませんが、外部ストレージやPC内の機能を利用してデータや設定のバックアップを取っておくことも大切です。


マルウェアが動いても「感染させない」。
不正な動作をすべてシャットアウトする新型セキュリティ「AppGuard」については、下記よりご覧いただけます。

カタログ 製品の詳細


 

中須 寛人
この記事を監修した人
16年間、SIerやソフト開発会社でITソリューション営業として従事。
セキュリティおいては、主にエンドポイント、無害化、認証製品の経験を積み
大興電子通信に入社後は、さらに専門性を高め、セキュリティにおける幅広いニーズに答えていくための提案活動や企画プロモーションを展開。
お客さまと一緒に悩み、一緒に課題解決が出来る活動を心掛けている。
大興電子通信株式会社
ビジネスクエスト本部
ICTソリューション推進部
セキュリティビジネス課
中須 寛人

関連記事

  1. セキュリティ

    標的型攻撃とは?基本的な仕組みと対策方法を解説

    標的型攻撃とは、明確な目的を持って特定の標的(ターゲット)に対して…

  2. セキュリティ

    企業が陥る情報漏えいの原因とその防止方法とは

    情報管理において、常に細心の注意を払う必要があるのが情報漏えいです…

  3. セキュリティ

    ランサムウェア/マルウェアとは?セキュリティ担当が知るべき感染経路と対策方法

    ランサムウェアは悪意のあるソフトウェア(マルウェア)の一種です。2…

  4. 明日は自分が被害者!?メールを悪用したサイバー攻撃へのセキュリティ対策とは?

    セキュリティ

    明日は自分が被害者!?メールを悪用したサイバー攻撃へのセキュリティ対策とは?

    サイバー攻撃によるウイルス感染の原因の多くはメール経由とされていま…

  5. ゼロトラストとは?実現に向けたセキュリティ対策&実現のステップを解説

    セキュリティ

    ゼロトラストとは?実現に向けたセキュリティ対策&実現のステップを解説

    テレワークやリモートワークによって、働く環境はオフィスから自宅やサ…

  6. 多要素認証とは?メリットや二段階認証との違い、運用の注意点を解説

    セキュリティ

    多要素認証とは?メリットや二段階認証との違い、運用の注意点を解説

    昨今では従来のIDとパスワードによる認証から、高いセキュリティ強度…

人気記事ランキング

注目記事

業界別・部門から探す

業務から探す

トピックから探す

ホワイトペーパー

製品カタログ

  1. 新着記事やイベント情報。
    ホワイトペーパーのご案内等お役立ち情報を
    お届けします。
APPGURD

APP GUARD