オンライン相談
セキュリティの脅威は日々進化しており、従来のセキュリティ対策だけでは対応しきれないケースも増えています。ここで注目されているのが「振る舞い検知」や「EDR」というセキュリティ技術です。振る舞い検知とEDRは、セキュリティ対策において重要な要素ですが、それぞれ異なる役割を果たしています。本記事では、振る舞い検知とEDRの違いや仕組みについて解説し、効果的なセキュリティ戦略の構築に役立てるポイントをご紹介します。
【1】振る舞い検知とは?
振る舞い検知とは、ウイルス対策ソフトに内蔵された機能の1つを表します。PCやネットワーク上のプログラムの活動、振る舞いを監視し、異常な動作や攻撃的なパターンをするマルウェアを事前に検出する仕組みです。
ウイルスが活動する前に検出する仕組みは、従来のウイルス対策ソフトにも内蔵されていましたが、振る舞い検知とは一体何が違うのでしょうか?
振る舞い検知と従来のウイルス対策ソフトの違い
従来のウイルス対策ソフトはシグネチャベース型(パターンマッチング)といい、既知の攻撃パターンを事前に登録しておくことで、それと一致するマルウェアを検出することができます。言い換えると、パターンを登録してないマルウェアが侵入しようとしてきたときに検知できないのです。一方、振る舞い検知は、プログラムの異常な活動や不審な動作を特定し検出するため、未知の脅威やゼロデイ攻撃にも対応できるとされています。
近年では従来のアンチウイルス対策に、振る舞い検知などの未知のウイルス対策機能を加えたものを、次世代型アンチウイルス「NGAV(Next Generation Anti-Virus)」と呼んでいます。
また、NGAVや従来のアンチウイルス対策などを含む、エンドポイントのセキュリティを総合的に管理するためのソリューションを「EPP(Endpoint Protection Platform)」と呼びます。
| 従来のアンチウイルス(AV) | 次世代型(NGAV) | |
|---|---|---|
| 検知方法 | シグネチャベース型(ファイルを用いたパターンマッチング型式) | ・AI型の機械学習 ・振る舞い検知 |
| 対策できる脅威 | 過去に検知済の既知のマルウェア | 未知・既知を問わない、あらゆるマルウェア |
振る舞い検知の仕組み
振る舞い検知では「静的ヒューリスティック法」と「動的ヒューリスティック法」の2つを組み合わせることで、マルウェア感染の対策をおこなっています。
「静的ヒューリスティック法」は、実際にプログラムやファイルを実行することなく、そのコードや構造、内容に基づいて評価を行います。静的ヒューリスティック法は、既知の脅威や攻撃パターンに対する検出効果が高い一方で、新たな攻撃や未知の脅威には対応できないという制約があります。そのため、静的ヒューリスティック法は、「動的ヒューリスティック法」と組み合わせて使用されることが一般的です。
「動的ヒューリスティック法」は、実際にプログラムを動かし、異常な活動や不審な動作を特定することでマルウェアかどうかを判断する方法です。動的ヒューリスティック法は、未知・既知の脅威に関わらず怪しい振る舞いをしたプログラムを検出します。この2つの方法を組み合わせることで多様化するマルウェアの特定が可能になります。
振る舞い検知は従来のセキュリティ対策では検出できなかった新たな攻撃手法や未知のマルウェアに対応するために重要な役割を果たしているのです。
【2】EDRとは?
一方、EDR(Endpoint Detection and Response)は、PCなどのデバイス(エンドポイント)に侵入したマルウェアの検出と対応を行うためのセキュリティソリューションです。
サイバー攻撃の方法は日々進化し、従来の対策をかいくぐる手法を編み出しています。その中でウイルスの侵入を完全に防ぐことはほぼ不可能であり、侵入してしまったウイルスの感染拡大を抑える手段として重要な役割をはたしているのがEDRです。
EDRの仕組み
EDRの仕組みは、エンドポイント上のイベントログ、ネットワークトラフィック、ファイルの挙動などからデータを収集し、機械学習や行動分析などの手法を活用することで、通常の挙動や異常な挙動を特定します。データ分析によって検知された異常な挙動は管理者に通知されます。管理者は更にログを精査し、原因や侵入元の特定を行い適切な対処をおこなうことでウイルス感染の被害拡大を防ぎます。
EDRは高度なデータ分析とリアルタイムな対応能力を備えているため、新たな脅威に対しても効果的なセキュリティ対策を提供します。
【3】振る舞い検知とEDRの違い
ここまで「振る舞い検知」と「EDR」について解説を述べてきました。振る舞い検知とEDR両者共に、エンドポイント上でのイベントや挙動を監視し、セキュリティインシデントに対して迅速な対応が可能なことから、未知の脅威や新たな攻撃手法に対して効果的なセキュリティ対策であることが分かります。
しかし、振る舞い検知を含むEPPとEDRはそれぞれ対応する場所や役割が異なります。
EDRは社内ネットワークに感染してから対応するのに対し、振る舞い検知を含むEPPはマルウェアへの感染を未然に防止することが目的です。
【4】まとめ 振る舞い検知とEDRの組み合わせ
振る舞い検知とEDRは、それぞれ独自の役割と機能を持っていますが、組み合わせることでより強力なセキュリティ対策を実現できます。振る舞い検知は未知の攻撃を検出する能力を持ち、EDRは感染した後のエンドポイント上で異常な挙動を監視するため、お互いの強みを活かすことでことで、より精度の高い検出とリアルタイムな対応が可能となります。また、振る舞い検知とEDRの組み合わせは、攻撃者が進化し続ける現代のセキュリティ脅威に対抗するために不可欠です。
昨今、標的型メール攻撃で多く利用されているEmotetや、プログラムのパッチ公開前にそのセキュリティホールを悪用して攻撃するゼロデイ攻撃に対しても、振る舞い検知、EDRともに有効です。
【5】おわりに 巧妙化するマルウェア対策には最新の技術の取り込みも重要
昨今は振る舞い検知機能などを備えた次世代型アンチウイルスNGAVや、EDRのほかにエンドポイントだけではなく、他サーバーやネットワークなどシステム全体のウイルス対策を行うXDR(Extended Detection and Response)といったキーワードも登場してきました。ITの普及により今や当たり前となりつつあるマルウェアによるPCのウイルス感染ですが、ウイルスを完全に防ぐことは難しいため、最新の技術やトレンドを取り入れながらセキュリティを強化していく事が重要になってきます。
<関連記事>
■振る舞い検知とは?巧妙化するマルウェア攻撃と対策法3選
