更新日:2024年11月12日
セキュリティの脅威は日々進化しており、従来のセキュリティ対策だけでは対応しきれないケースも増えています。ここで注目されているのが「振る舞い検知」や「EDR」というセキュリティ技術です。振る舞い検知とEDRは、セキュリティ対策において重要な要素ですが、それぞれ異なる役割を果たしています。本記事では、振る舞い検知とEDRの違いや仕組みについて解説し、効果的なセキュリティ戦略の構築に役立てるポイントをご紹介します。
【1】振る舞い検知とは?
振る舞い検知とは、ウイルス対策ソフトに内蔵された機能の1つを表します。PCやネットワーク上のプログラムの活動、振る舞いを監視し、異常な動作や攻撃的なパターンをするマルウェアを事前に検出する仕組みです。
ウイルスが活動する前に検出する仕組みは、従来のウイルス対策ソフトにも内蔵されていましたが、振る舞い検知とは一体何が違うのでしょうか?
振る舞い検知と従来のウイルス対策ソフトの違い
従来のウイルス対策ソフトはシグネチャベース型(パターンマッチング)といい、既知の攻撃パターンを事前に登録しておくことで、それと一致するマルウェアを検出することができます。言い換えると、パターンを登録してないマルウェアが侵入しようとしてきたときに検知できないのです。一方、振る舞い検知は、プログラムの異常な活動や不審な動作を特定し検出するため、未知の脅威やゼロデイ攻撃にも対応できるとされています。
近年では従来のアンチウイルス対策に、振る舞い検知などの未知のウイルス対策機能を加えたものを、次世代型アンチウイルス「NGAV(Next Generation Anti-Virus)」と呼んでいます。
また、NGAVや従来のアンチウイルス対策などを含む、エンドポイントのセキュリティを総合的に管理するためのソリューションを「EPP(Endpoint Protection Platform)」と呼びます。
従来のアンチウイルス(AV) | 次世代型(NGAV) | |
---|---|---|
検知方法 | シグネチャベース型(ファイルを用いたパターンマッチング型式) | ・AI型の機械学習 ・振る舞い検知 |
対策できる脅威 | 過去に検知済の既知のマルウェア | 未知・既知を問わない、あらゆるマルウェア |
振る舞い検知の仕組み
振る舞い検知では「静的ヒューリスティック法」と「動的ヒューリスティック法」の2つを組み合わせることで、マルウェア感染の対策をおこなっています。
「静的ヒューリスティック法」は、実際にプログラムやファイルを実行することなく、そのコードや構造、内容に基づいて解析を行います。そのためプログラムが実行される前にウイルスかどうかを判断することができます。ただ、アルゴリズムに基づいた推定で行うため、従来のパターンマッチングより精度が劣る可能性があります。
「動的ヒューリスティック法」は、実際にプログラムを動かし、異常な活動や不審な動作を特定することでマルウェアかどうかを判断する方法です。実行させる際には、仮想環境であるサンドボックス内で行い、プログラムがファイルの暗号化や削除といった攻撃的なふるまいをすれば、それをウイルスと判断します。
一般的に、動的ヒューリスティックは、静的ヒューリスティックの補助的な役割と考えられています。そのため、この2つの方法を組み合わせることで多様化するマルウェアの特定が可能になります。
振る舞い検知は従来のセキュリティ対策では検出できなかった新たな攻撃手法や未知のマルウェアに対応するために重要な役割を果たしているのです。
【2】EDRとは?
一方、EDR(Endpoint Detection and Response)は、PCなどのデバイス(エンドポイント)に侵入したマルウェアの検出と対応を行うためのセキュリティソリューションです。
サイバー攻撃の方法は日々進化し、従来の対策をかいくぐる手法を編み出しています。その中でウイルスの侵入を完全に防ぐことはほぼ不可能であり、侵入してしまったウイルスの感染拡大を抑える手段として重要な役割をはたしているのがEDRです。
EDRの仕組み
EDRの仕組みは、エンドポイント上のイベントログ、ネットワークトラフィック、ファイルの挙動などからデータを収集し、機械学習や行動分析などの手法を活用することで、通常の挙動や異常な挙動を特定します。データ分析によって検知された異常な挙動は管理者に通知されます。管理者は更にログを精査し、原因や侵入元の特定を行い適切な対処をおこなうことでウイルス感染の被害拡大を防ぎます。
EDRは高度なデータ分析とリアルタイムな対応能力を備えているため、新たな脅威に対しても効果的なセキュリティ対策を提供します。
【3】振る舞い検知とEDRの違い
ここまで「振る舞い検知」と「EDR」について解説を述べてきました。振る舞い検知とEDR両者共に、エンドポイント上でのイベントや挙動を監視し、セキュリティインシデントに対して迅速な対応が可能なことから、未知の脅威や新たな攻撃手法に対して効果的なセキュリティ対策であることが分かります。
しかし、振る舞い検知を含むEPPとEDRはそれぞれ対応する場所や役割が異なります。
EDRは社内ネットワークに感染してから対応するのに対し、振る舞い検知を含むEPPはマルウェアへの感染を未然に防止することが目的です。
【4】まとめ 振る舞い検知とEDRの組み合わせ
振る舞い検知とEDRは、それぞれ独自の役割と機能を持っていますが、組み合わせることでより強力なセキュリティ対策を実現できます。振る舞い検知は未知の攻撃を検出する能力を持ち、EDRは感染した後のエンドポイント上で異常な挙動を監視するため、お互いの強みを活かすことでことで、より精度の高い検出とリアルタイムな対応が可能となります。また、振る舞い検知とEDRの組み合わせは、攻撃者が進化し続ける現代のセキュリティ脅威に対抗するために不可欠です。
昨今、標的型メール攻撃で多く利用されているEmotetや、プログラムのパッチ公開前にそのセキュリティホールを悪用して攻撃するゼロデイ攻撃に対しても、振る舞い検知、EDRともに有効です。
【5】振る舞い検知がサイバーセキュリティにおいて重要である理由
振る舞い検知は、システムやネットワーク上で発生する異常な動作や挙動をリアルタイムで検知し、攻撃の兆候を早期に発見することができます。この章では、具体的な事例を元に振る舞い検知がサイバーセキュリティ対策においていかに重要であるかを説明します。
ランサムウェア攻撃を未然に防ぐ
まず、ランサムウェアの事例を考えてみましょう。ランサムウェアは、ユーザーのファイルを暗号化し、その解除のために金銭を要求する悪質な攻撃です。従来のウイルス対策ソフトは、既知のマルウェアパターンを元に検出しますが、未知のランサムウェアや攻撃者がカスタマイズした新種のマルウェアには対応できない場合があります。
振る舞い検知は、システム内で突然大量のファイルが暗号化される、ネットワークの通信量が急増するなどの異常な挙動を検知し、すぐにアラートを上げます。この早期警告により、被害を最小限に抑え、ファイルが完全に暗号化される前にシステム管理者が対策を講じることができます。
内部不正の検出と防止
振る舞い検知は、外部からの攻撃だけでなく、内部の不正行為にも有効です。例えば、大手企業での事例ですが、ある社員が権限を持たないデータベースにアクセスしようとする試みを振る舞い検知が捉えました。この異常な動作をきっかけに調査が行われ、社内のデータ漏洩計画が未然に発見されました。
このような内部不正は、通常のセキュリティ対策では見逃される可能性が高いですが、振る舞い検知は通常の業務プロセスから逸脱した行動を自動的に識別し、管理者に通知するため、早期発見に繋がります。
APT攻撃への対処
高度持続型脅威(APT)攻撃は、長期間にわたって標的に対して巧妙に行われるサイバー攻撃の一種です。APT攻撃は、攻撃者が内部に侵入してもすぐに大きな被害を与えるわけではなく、徐々に情報収集やシステムへの影響を与えるため、従来のセキュリティツールだけでは発見が難しいとされています。
振る舞い検知を導入していたある企業では、数ヶ月間にわたって不審なシステム操作や通信が少しずつ増加していることが検知されました。振る舞い検知システムは、これらの一見無害に見える挙動を「異常」として判定し、調査が行われた結果、APT攻撃の進行が発見されました。最終的に、企業は重大な情報漏洩を防ぐことができました。
ゼロデイ攻撃に対する防御
ゼロデイ攻撃は、セキュリティパッチが未公開または未適用の脆弱性を狙った攻撃で、従来のシグネチャベースのセキュリティ対策では対応が困難です。これに対し、振る舞い検知は未知の脅威に対してもシステムやネットワーク上の異常な挙動を監視し、早期に警告を発することができます。
ある金融機関では、従来のセキュリティソフトでは検出できなかった新しい脆弱性を突いた攻撃が行われましたが、振る舞い検知が異常なネットワーク通信を発見し、早期に対処したことで、大規模な顧客データの流出を防ぐことができました。この事例は、未知の脅威に対する振る舞い検知の有効性を示しています。
振る舞い検知の未来
振る舞い検知は、従来のシグネチャベースのセキュリティ対策とは異なり、未知の攻撃にも対応できる柔軟性を持っています。そのため、今後もサイバーセキュリティ分野での重要性はさらに高まっていくでしょう。AIや機械学習技術との組み合わせにより、異常な挙動をより正確に検知できるようになると期待されています。
最後に、振る舞い検知は万能ではなく、他のセキュリティ対策と併用することが重要です。総合的なセキュリティ戦略の一環として、振る舞い検知を活用することで、企業や組織はサイバー攻撃に対する防御力を飛躍的に向上させることができます。
【6】まとめ 巧妙化するマルウェア対策には最新の技術の取り込みも重要
昨今は振る舞い検知機能などを備えた次世代型アンチウイルスNGAVや、EDRのほかにエンドポイントだけではなく、他サーバーやネットワークなどシステム全体のウイルス対策を行うXDR(Extended Detection and Response)といったキーワードも登場してきました。ITの普及により今や当たり前となりつつあるマルウェアによるPCのウイルス感染ですが、ウイルスを完全に防ぐことは難しいため、最新の技術やトレンドを取り入れながらセキュリティを強化していく事が重要になってきます。
<関連記事>
■振る舞い検知とは?巧妙化するマルウェア攻撃と対策法3選