「ふるまい検知」というオプションはご存じでしょうか。大きく分類するとアンチウイルス対策の機能です。ただ従来のアンチウイルスソフトとは違い、PCに保存されたファイルの動きをみて「ウイルス」かそうでないかを判定します。
詳しくは、コラムの「振る舞い検知とは?巧妙化するマルウェア攻撃と対策法3選」も本コラムと合わせてお読みいただければと思います。
怪しい動きはまず止める!それが「ふるまい検知」
ISM CloudOneにふるまい検知オプションが追加され約7年。IT資産管理の基本機能の価格より少し高いこともあってかあまり人気のある機能ではありません。
「アンチウイルスソフトを入れているから大丈夫」と思われる管理者の方も多いのが実情です。ですが、昨今サイバー攻撃もとても巧妙化してきているため従来のアンチウイルスソフトだけでは対応しきれなくなっています。
また、ご検討いただいた企業様の中では「過検知」といった、運用上、手間がかかる場合もあり敬遠されたのも事実です。
※過検知・・・ウイルスではないソフトウェアをウイルスとふるまい検知が判断し停止させてしまうこと。
なぜ「過検知」なのか
では、なぜ「過検知」なのかといいますと「怪しい動きをしているものは、『まず止める』」というコンセプトで作られているサービスだからです。ふるまい検知から見るとこのISM CloudOneの動きも「怪しい」と考えられます。なぜならばPCの様々な情報を収集し、Webにアップロードするわけですから、情報搾取を目的としたソフトに見えなくもないのです。
ですが、ふるまい検知はISM CloudOneは安全なサービスであり、マルウェアではないと覚えさせているので検知・停止することはありません。
この様に怪しい動きをしているファイルを瞬時に見つけ、まず動きを止める事でウイルス感染からPCを守る事を第一としています。
従来製品との違いを具体例
ふるまい検知をお客様にご説明する際のたとえとして、「従来のアンチウイルスソフトは“指名手配犯の写真をPCに記憶してマルウェアが入ってきたら指名手配写真と見比べ、同じであれば確保する”といったパターンマッチング型ですが、ふるまい検知はこれらの製品と大きく違い、“ファイルの振る舞いを5つのエンジンで調べ、怪しいと判定したら止める”事ができます。パターンマッチング型の場合常に新しい指名手配写真が必要ですが、今の状況では写真が間に合わないというケースがあり、ふるまい検知のような最終的にエンドポイントで判断できる事が重要になってきています。」と話したりします。
詳細はこちらの記事をご参照いただきたいのですが、指名手配していないマルウェアも検知・隔離できるのがふるまい検知です。
多少のコストで「未然に防ぐ」事を重要視
現在、企業に求められているセキュリティ対策は、どのアクセスも信用せず、マルウェアは侵入してくるものとして準備・対応をするために「あらゆるログを収集し、危険を可視化し、対処する事」です。
それに対してふるまい検知は、マルウェア感染を未然に防ぐ事をとても大切にしています。
なぜならば前述したセキュリティ対策は、EDRやXDRと呼ばれ、これに対応していくには、専任の高度なスキルをもった人材も必要ですしそれなりのコストが掛かります。
どの企業でもセキュリティ対策に多額の費用をかけられるわけではないため、マルウェア感染を「未然に防ぐ」ふるまい検知の様な機能が必要とされるのだと思います。
このページの最初の方にも書きましたが、ふるまい検知は基本機能より少し高い費用が必要です。また他の機能と比べると特に高く見えてしまうかもしれません。EPP(Endpoint Protection Platform)と言われる従来のアンチウイルスソフトよりも少し高いというケースもあるかもしれません。
ですので、パターンマッチング型のEPPと次世代アンチウイルス製品といわれるふるまい検知のようなサービスの両方を利用するとなると、かなりインパクトのある金額になってしまいます。
そこで私たちが推奨している方法としては、パターンマッチング型のアンチウイルスソフトをWindowsに標準で搭載されている「Microsft Defender(以前はWindows Defenderという名称でした)」にすることで費用を掛けず、投資するのは、このふるまい検知オプションにしていただきセキュリティレベルをあげていただく事になります。
「Windows Defender」は管理者主導の一元管理ができないという点もありますが、こちらに関しても弊社のサービスで補うことができますのでご安心いただけます。
マルウェア判定
我々がご提供するふるまい検知のメリットがもう1つあります。それがマルウェアの判定をいただいている費用内で行うことができるという点です。
ふるまい検知機能は、株式会社FFRIセキュリティの「Yarai」という製品のOEMになります。ですので、セキュリティの専門のFFRIセキュリティ様で判定を行っていただくことが可能なのです。振る舞い型のアンチウイルスソフトはYaraiだけでなく他にも多くありますが、他社サービスのほとんどがマルウェアの白黒判定に別途費用が必要という設定になっています。
日々様々なマルウェアがばら撒かれている中、「本当にこれはマルウェアではないのか それとも マルウェアなのか」判断がつかないというケースも出てきます。ですが、ふるまい検知であればこの判定を自社ですることなく専門の会社にお任せすることができかつ、追加費用も掛からないため非常にご利用いただきやすいオプションではないかと思います。
まとめ
説明することがありすぎるふるまい検知機能ですが、少しでもご興味を持っていただければ嬉しいです。
三大アンチウイルスソフトだけでなく、AIを使ったNGAV(Next Generation Anti-Virus)をはじめふるまい検知の競合サービスも数多くあります。その様な状況下で管理者の皆様が次のセキュリティ対策をと考えたときにこのコラムを思い出していただければ幸いです。
今回紹介したふるまい検知も30日間の無料トライアルのご用意がありますのでぜひお試しください。
