振る舞い分析とは？

悪質なアクティビティを示す振る舞い

普段と異なるタイミングのイベント、異常なアクションのシーケンス、データ移動の増加などは、環境内での悪意のあるアクティビティの兆候のごく一部にすぎません。進行中の攻撃の特定につながる可能性がある、通常と異なる振る舞いの例は、次のとおりです。

• 一見無害なファイル内のリンクがメモリにロードされたあと、機密データを探索して攻撃者に送信するスクリプトがリモートでロードされる。
  
  
• 脆弱性を標的とするために、すでにインストールされているアプリケーション（Microsoft Word、Flash、Adobe PDF Reader、Web ブラウザー、JavaScript など）に悪意のあるコードが挿入され、それから悪意あるコードが実行される。
  
  
• 一般的に信頼性が高いと考えられているネイティブ システム ツール（Microsoft Windows Management Instrumentation（WMI）や、Microsoft PowerShell スクリプト言語など）を悪用して、スクリプトがリモートで実行される。

業界の動向：振る舞い分析は「必須の」機能

2016 年初頭に、SANS Institute は『Using Analytics to Predict Future Attacks and Breaches』と題したホワイトペーパーで、振る舞い分析の重要性を認めていました。この資料の結論には、「より高度なデータ分析プラットフォームを活用して、より多くのさまざまな種類のデータを収集し、ネットワーク脅威の可視性を高め、検出と対応のアクションを自動化することで、セキュリティ チームは現在および将来においてこのような課題に対処できる」と記されています。

当時から見た「将来」は現在ですが、2018 年の時点で、振る舞い分析は高度なエンドポイント セキュリティの基本的要件として不可欠な機能となっていました。実際 Gartner は、『Magic Quadrant for Endpoint Protection Platform』レポートのなかで、機械学習と振る舞い監視を「概念先行型」と「リーダー」に位置づけられる企業の強みとみなしています。レポートではまた、「2018 年と 2019 年には、概念先行型およびリーダーと位置付けられるベンダーのほとんどが、[Endpoint Detection and Response] 機能から収集したデータを使用して、顧客のニーズに合わせた実用的なガイダンスやアドバイスを提供するようになると見込まれる」とも記しています。

2017 年のセキュリティ侵害の 17% は、ヒューマン エラー（意図的な悪意ではない）に起因していました。

解決策：クラウドの導入

企業が振る舞い分析の効果を最大限に引き出すには、クラウドおよびクラウドの優れたコンピューティング パワー、無制限のスケーラビリティ、管理の容易さを活用する必要があります。クラウドで提供される、ビッグデータと強力な分析機能を組み合わせたプロアクティブなアプローチは、非常に危険性の高い最新の攻撃に対抗するうえで役立ちます。

たとえば、クラウドではストリーミング分析が可能であり、エンドポイントの正常なアクティビティと異常なアクティビティを監視して、フィルタリングされていない任意のエンドポイントの履歴データと比較できます。クラウドを活用して、これらのイベント ストリームを分析し正常と考えられるイベント ストリームと比較することで、攻撃を検知するだけでなく、これまで検出されたことのない脅威を予測するグローバルな脅威監視システムを構築できます。

この強力なアプローチは、シグネチャベースの従来のアンチウイルス ソリューションでは困難でしたが、次世代アンチウイルス（NGAV）ソフトウェアでは可能です。

クラウドの NGAV は、エンドポイントとの双方向の通信を実現します。これにより、フィルタリングされていないすべてのエンドポイント データを監視して、企業を高度な攻撃からプロアクティブに保護する予測分析に活用できるようになります。

クラウドはさらに、以前からほとんどの企業がほかのエンタープライズ ソフトウェアによって享受しているインフラストラクチャのメリット（シンプルでコストの低い運用、迅速な展開、最新の革新的なテクノロジーなど）を備えています。