悪意をもってPCに侵入しさまざまな被害をもたらすマルウェアを防ぐためには、それに適した製品を導入する必要があります。しかしマルウェアの攻撃にも段階があり、段階によって適したマルウェア対策製品は異なります。
今回は、マルウェアによる攻撃の段階や、それに対応するための製品の種類についてご紹介します。
ページコンテンツ
攻撃の各段階におけるマルウェア対策
マルウェアによる攻撃の流れを見てみると、いくつかの段階に分かれていることが分かります。マルウェア対策の各製品は攻撃のいずれかの段階でブロックなどの対処を行い、PCがマルウェアに侵されないように動作します。
マルウェアによるネットワークやPCへの侵入が行われる段階では、一般的なセキュリティ対策ソフトが使用されます。このような製品は「EPP」あるいは「NGAV」と呼ばれます。この段階では侵入しただけでまだ感染はしていないので、ここでブロックできればPCの被害をゼロに抑えることが可能です。
マルウェアの侵入後、具体的に悪意のある行動を起こす「感染」を防ぐ製品もあります。この段階で防御を行う製品については、後ほど詳しくご紹介します。
マルウェアは感染後、PCのデータを破壊する、情報を入手する、操作を乗っ取るなどの侵害を行います。この段階で動作し、被害を最小限に抑えるための製品もあります。このような製品は「EDR」と呼ばれます。
マルウェアによる侵害を受けた後、できるだけ元の状態を復元するために使用されるのがバックアップ製品です。情報が外部へ流出するような被害は取り戻せませんが、データのバックアップを取っていれば被害前の状態のPCを復元することができます。
マルウェア対策の製品別:長所と短所
前の項目にて登場したEPP、NGAV、EDRについて、それぞれの長所と短所をご紹介します。
EPP
EPP(Endpoint Protection Platform)は、「エンドポイント保護プラットフォーム」と訳される製品で、エンドポイント(PC)をネットワークの水際で保護します。これに対応する製品は従来のセキュリティ対策ソフトで、企業だけでなく個人のPCにも広く導入されています。
EPPの長所は、既知の攻撃に対して高い防御性能を発揮する点にあります。すでに発見されているマルウェアに関してはEPPがネットワークの水際でブロックするため、PCに侵入することができません。また、PC内のセキュリティスキャンやメールサーバーの監視などの機能も製品ごとに充実しており、これひとつでさまざまなセキュリティリスクに対応できるという長所もあります。
EPPの短所は、未知の攻撃に対してはなすすべがないという点にあります。EPPはマルウェアの情報を記した「シグニチャ」と呼ばれるデータを使用するため、登場したばかりのマルウェアや新種のマルウェアは素通りさせてしまいます。近年は次々に新しいマルウェアが作られているため、EPPだけでは対処できないケースが増えてきています。
NGAV
NGAV(Next Generation Anti Virus)は、「次世代ウィルス対策」と訳される製品で、EPPの強化版と言えます。NGEPP(Next Generation Endpoint Protection Platform)と呼ばれることもあります。なお、広く導入されているセキュリティ対策ソフトは徐々に機能が強化されており、NGAVとしての機能も有するようになっています。
NGAVの長所は、「振る舞い検知」などの高度な機能によりある程度未知のマルウェアにも対応できる点にあります。振る舞い検知は、ソフトウェアがPC内で行う動作を監視し、怪しいと判断した場合にブロックする機能です。マルウェアそのものではなく動作を監視するため、未知のマルウェアでもある程度の対処ができます。
NGAVの短所は、それでもすべてのマルウェアに対応できるとは言えず、侵入を許すケースがある点にあります。また、振る舞いを監視するという特徴上、安全なソフトウェアをマルウェアだと誤検知する可能性もあります。
EDR
EDR(Endpoint Detection and Response)は、「エンドポイントの検知と対処」を意味し、マルウェアがPC内に感染した後の対処を行います。
EDRの長所は、マルウェアによる侵害が行われてしまっても、その内容を検知してすぐさま対処できる点にあります。セキュリティ対策をすり抜けてしまったマルウェアによる被害を最小限に抑えることが可能です。
EDRの短所は、あくまでEDRが行うのは脅威の検知までで、製品がそのままブロックまで行ってくれるわけではない点にあります。脅威を検知し、その内容を把握したら、セキュリティ担当者が目で見て適切な対応を選択する必要があるため、社内に専門チームを置くか外部サービスを利用する必要があります。
感染後・侵害前に防御を行う「AppGuard」
マルウェアの侵入前に防ぐのがEPPやNGAV、マルウェアによる感染後に侵害を抑えるのがEDRの役割だとしたら、マルウェアの侵入後に感染しないよう防御するのが「OSプロテクト型」の製品です。2019年9月現在では、DAIKO XTECHが提供している「AppGuard」のみがこの領域のマルウェア対策を行えます。
PCへの侵入前にマルウェアを防いでしまうことが理想ですが、現状のEPPやNGAVではすべてのマルウェアに対応できるわけではありません。また、一度侵入を許してしまうと、EDRである程度の被害は防げてもすべての侵害を防ぐことは困難です。この間を埋めるのが、AppGuardの役割です。
AppGuardは、これまでのセキュリティ対策製品にはなかった全く新しい方法で各ソフトウェアの動作を監視します。これは振る舞い検知とは違い、各ソフトウェア自体をコンテナ化して保護しているため、正規の手順以外でなんらかの動作が行われるとソフトウェアが瞬時に隔離されてマルウェアによる侵害を防ぎます。
また、AppGuardは「ファイルレス攻撃」に対しても防御機能を発揮します。ファイルレス攻撃とは、マルウェアを使用しないサイバー攻撃のことで、PC内の正規のソフトウェアを乗っ取ることでなんらかの被害をもたらします。ファイルレス攻撃はマルウェアによる攻撃ではないためEPPやNGAVでの検出は難しく、EDRでも対策は困難です。AppGuardであれば各ソフトウェアの動作を監視しているため、ユーザーの操作とは違う手順が確認されればファイルレス攻撃であろうと瞬時にブロックします。
AppGuard自身のファイルサイズが軽い、という点も大きな特徴です。エンジンが約1MBという軽量設計で、スキャンも行わないため、十分なスペックのないPCでも軽々と動作します。これまでのセキュリティ対策ソフトのようにシグニチャなどの更新も必要なく、運用も非常に簡単です。
マルウェアの特徴を知り製品を導入することが大切
日々大量のマルウェアが作られている現在は、ひとつのマルウェア対策では不十分だとされています。どのようなサイバー攻撃にも対処できるよう、複数のセキュリティ対策を施し、ひとつが駄目でも次の製品が対応できるような状態を整えることが大切です。
今回ご紹介したマルウェア対策の製品はどれもそれぞれに役割があり、多層的な防御を構築することでPCの安全を確保することができます。また、厳密にはマルウェア対策に入らないためこの記事では詳しくご紹介していませんが、外部ストレージやPC内の機能を利用してデータや設定のバックアップを取っておくことも大切です。
マルウェアが動いても「感染させない」。
不正な動作をすべてシャットアウトする新型セキュリティ「AppGuard」については、下記よりご覧いただけます。
