機械学習も取り入れてウイルス対策！NGAVとは？

はい、こんにちは。松井真也です。『ゼロトラスト用語辞典シリーズ』と題してブログを更新しております

今回のテーマは、「NGAV」（Next-Generation Antivirus）です。エンドポイントのセキュリティについては、EDRなどをこれまで見てきました。が、実はこれだけではありません。違う立ち入りからのセキュリティがあるのです！用語が多すぎの「ゼロトラスト」の世界ですが、それぞれのシステムの違いに焦点をあてて詳細に迫りたいと思います！

早速見てみましょう！

NGAVとは？

NGAV（次世代アンチウイルス）は、その名前のとおり、「ウィルス対策ソフトの一種」であることに間違いありません。ただ、NG（次世代）とあるとおり、従来型のウィルス対策ソフトとは異なります。（ちなみにITの世界で「NG」とつくと、「Next Generation」（次世代）の意味になることが多いです。NGFW（次世代ファイアウォール）とかね。）

どこらへんが違うのかというと、コンピュータウイルスを検知・駆除するために様々な新しい手法を取り入れているところです。

皆さんがイメージする従来のアンチウイルスソフトは、「パターンマッチング法」（後述）という手法を利用してきました。これは既知のウィルスに対する対策です。

この手法でもかなりウィルスに対して力を発揮するのですが、NGAVはこの手法に加えて、未知のウイルスやその亜種にも柔軟に対処するための技術を持っています。

従来型アンチウイルス対策の限界

上述の「パターンマッチング法」は、既知のウイルスの特徴的なプログラムコード（シグネチャ）をパターンファイルとして蓄積し、審査対象のファイルに一致するパターンが存在するかを調べる手法です。

この手法では、既知のウイルスは確実に検知できますが、新種や亜種のウイルスを検知するためにはパターンの更新を待たなければなりません。

それだけではありません。例えば、メモリ上で動作し、OSやアプリケーションに搭載されている正規の機能を悪用するファイルレスマルウェアの場合、そもそもファイル自体が存在しないため、パターンマッチングでは検知できません。このような新しい脅威に対処するために、NGAVが必要とされるようになりました。

一歩進んだウィルス対策

では、「パターンマッチング法」以外にどんな機能があるのか迫っていきましょう！

大きく２つあります。「静的ヒューリスティック法」と「動的ヒューリスティック法（ビヘイビア法）」です。

１）静的ヒューリスティック法

静的ヒューリスティック法では、既知のウイルスの特徴的なプログラムの挙動を登録し、それに似た挙動を行うコードを疑わしいと判断します。

ウィルス定義ファイル（パターンファイル）のハッシュ値と完全に一致しなくても、バイナリーデータを分析して検知できるんです。

「ヒューリティック」というのは「経験則」のことです。経験に基づき人が「特徴的なプログラムの挙動」を定義します。これで検知できる基準は増えますが、それでも限りがあります。

２）動的ヒューリスティック法（ビヘイビア法）

そこで、NGAVで利用される「ビヘイビア法」の登場です。AI（人工知能）や機械学習によってウィルスに特徴的なパターンを抽出します。セキュリティ専門家が手作業でおこなうよりも、はるかに多くの判定基準を生み出すことができます。

これにより、新種や亜種のウイルスが現れても、攻撃手法が既知のウイルスに似ていれば検知できる可能性が高まります。

機械学習を使うあたり、まさに次世代感がありますね！

NGAVとEDRは何が違う？

NGAVは、エンドポイントのセキュリティ対策の一環として有効です。が、他にもいくつかのソリューションがありましたよね？どう違うのでしょうか？

NGAVは、主に事前対策として機能し、脅威の侵入を防ぐことに重点を置いています。一方、EDR（Endpoint Detection and Response）は、侵入後の対策を重視し、マルウェア感染後の迅速な復旧を支援します。ちょっと力点が違うのですが、サービスとしては両方をカバーしていることも多いでしょう。

はい、本日はここまで！今回は、次世代のウィルス対策「NGAV」についてご紹介しました！