特集
» 2017年03月13日 10時00分 公開

IT導入完全ガイド:最新の標的型攻撃対策ツールの動向を探る (1/3)

アンチウイルス製品の導入だけでセキュリティ対策が万全な時代が再び来るのか。セキュリティ対策が困難さを増す時代、AI搭載のアンチウイルス製品の登場で対策はどう変わるのだろうか。

[土肥正弘,ドキュメント工房]

 最新の標的型攻撃(ランサムウェア脅威も含む)の前では、従来のセキュリティ対策は十分に攻撃を予防できない。被害を最小限に食い止めるにも、コストと人材不足がネックになる。そこで取りうる有効な対策は、ウイルス活動をエンドポイントで止めることと、インシデントレスポンスを最適に行う体制を社内に作ることになると考えられる。今回は、この2つの観点で最新ツールやソリューションを紹介する。

従来型アンチウイルスツールの限界と「検知率」の誤解

 先にエンドポイント型アンチウイルスツールの新動向を紹介するが、その前に従来型のアンチウイルス対策の何が問題なのかを整理しておこう。

 従来のアンチウイルスツールの基本は「パターンマッチング」技術であり、ウイルスのパターンをデータベース化し、それと検体との照合(マッチング)を高速に行うことでウイルス検知を行ってきた。しかしパターン未登録のウイルスが急増してきたことを背景に、2009年ごろから「振る舞い検知」と呼ばれる技術を搭載する製品が登場している。

 これは「ヒューリスティック型」とも呼ばれるが、既知の攻撃のパターンを分析して、パターンファイルになくても特徴をもとにウイルスか否かを判定する方法を取る。今ではメジャーなアンチウイルスツールには軒並みこの技術が搭載されるようになった。しかし、果たしてうまく機能しているかどうかは疑問だ。

 アンチウイルスツールのウイルス検知率は第三者機関が検証しており、メジャーな製品では少なくとも90%以上の検知率が証明されている。しかしその数字だけで優劣を判断するのは無理がある。

 なぜなら、最新の標的型攻撃に使用されるようなウイルスの検体は全体からすればごくわずかしか入手されていない。既知のウイルスに関してなら検知テストが有効だが、新種や亜種に対する検知率はそこに反映されにくい。また既知ウイルスについても時間とともに検知率が上がるので、検査のタイミングに結果が左右されるのも問題だ。現実的にはウイルスチェックをすり抜けたウイルスが多数の被害をもたらしている。

 そこで注目されるのが、そもそも振る舞い検知機能を前提に開発されたアンチウイルスツールと、人工知能(AI)を利用した新タイプのアンチウイルスツールだ。どちらもエンドポイント(PC)に導入して利用する。これらは、従来型のアンチウイルスツールで(振る舞い検知機能を搭載していても)検知できなかったウイルスを検知した実績が多数ある。

 ゲートウェイ対策の問題は、処理に時間がかけられないことだ。新種や亜種のウイルスを検知するために、サンドボックスと呼ばれるツールを介して仮想実行環境でコードを実行し、その振る舞いの特徴でウイルスか否かを判断する手法が一般化しているものの、判定までに時間がかかるので、いったんは怪しいファイルであっても内部ネットワークに通してしまう。

 2回目以降に同じウイルスが到達したら検知、隔離できるが、最初の1回が止められない。現在は1回限りの使い捨てウイルスが利用されることが多いため、感染予防には限度があり、むしろ攻撃監視・可視化のためのツールとしての側面が今は重要視されている。

 従来型のエンドポイント型アンチウイルスツールの最大の弱点は新種や亜種ウイルスに対応できないことだが、既知のウイルスが、例えばUSBメモリを介して侵入した場合などには効果的だ。しかしパターンファイルは常に更新しなくてはならず、運用負荷が高くなる。全システムで適時に更新できる組織はまれだ。1台でも更新漏れがあるとそこがセキュリティホールになる。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

ホワイトペーパーや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。