次世代アンチウイルス(NGAV)とは
次世代アンチウイルス ソリューションは、攻撃者の TTP(Tactics:戦術、Techniques:技術、Procedures:手順)を監視し、それらに対応することで、既知および未知のあらゆる種類の攻撃を防止します。
次世代アンチウイルス(NGAV)の定義
次世代アンチウイルスは、従来のアンチウイルス ソフトウェアを、高度なレベルの新しいエンドポイント セキュリティ保護に引き上げるものです。既知のファイルベースのマルウェア シグネチャやヒューリスティックを超える、システム中心のクラウドベース アプローチです。機械学習と人工知能による予測分析を使用し、さらに脅威インテリジェンスと組み合わせることによって、以下のことを行います。
- マルウェア攻撃やファイルレス非マルウェア攻撃を検知および防止する
- 未知のソースからの悪意ある振る舞いや TTP を特定する
- 包括的なエンドポイント データを収集および分析して侵入経路を特定する
- これまで検知できなかった新たな脅威に対応する

ハイブリッド環境向けの脅威ハンティングとインシデント レスポンス

VMware Security の概要
従来のアンチウイルス ソフトウェアが機能しなくなった理由
最近の攻撃者は、組織のネットワーク境界セキュリティのどこにギャップや弱点があるか正確に把握しており、従来のアンチウイルス ソフトウェアを容易に回避して侵入してきます。そうした攻撃者は高度に開発されたツールを扱い、以下のものを活用して脆弱性に狙いを定めます。
- メモリベースの攻撃
- PowerShell スクリプト言語
- リモート ログイン
- マクロベースの攻撃
また、従来のアンチウイルスは、シグネチャ ファイルや定義ベースの脅威にのみ焦点を合わせているため、システムに対して新しいファイルを実行しない最近の脅威から上記のような環境を防御することはできません。
一方、NGAV では、ファイル、プロセス、アプリケーション、ネットワーク接続などのイベントに注目し、アクションまたはイベント ストリームがそれぞれの領域においてどのように関連しているかを調べます。イベント ストリームを分析することで、悪意のある意図、振る舞い、およびアクティビティを特定でき、特定後には攻撃者をブロックすることができます。
MLB(Major League Baseball)、NHL(National Hockey League)など、主要なスポーツ組織のようなエンタープライズでは、個々のネットワークを標的にした攻撃が増えているため、このタイプのアプローチはますます重要になっています。攻撃は多段階で行われ、パーソナライズされており、リスクは著しく高くなっているうえ、アンチウイルス ソリューションで阻止できる可能性はありません。
EDR:NGAV に必要な基盤
『2017 Market Guide for Endpoint Detection and Response Solutions』によれば、Gartner は現時点で EDR(Endpoint Detection and Response)を基本的なセキュリティ機能としてみなしています。EDR を NGAV と組み合わせることで、企業は疑わしいアクティビティや不正なアクティビティをより正確に特定し、それらの振る舞いの多くを徹底的に防ぎ、悪意のある高度な脅威にこれまで以上に迅速かつ適切に対応して修正できるようになります。
従来のアンチウイルスをすり抜ける脅威を NGAV ソリューションが特定できるように、EDR では包括的なデータ収集アプローチを提供します。これにより、環境の全体像を対象とした機械学習、予測分析、および振る舞いの監視が可能になります。これらのテクノロジーはいずれも、企業がイベントを監視して疑わしいパターンを特定し、管理者やレスポンス担当者が活用しやすいように攻撃を可視化するために役立ちます。
EDR によって、ファイル、レジストリ、ネットワークのごくわずかな変化が検出しやすくなり、日常的なアクティビティの中に埋もれた悪意のあるアクティビティをセキュリティ チームが発見するのに役立ちます。さらに、EDR は、特定された脅威を対応者が封じ込め、これまでに見たことがなく、EDR がなければほとんどの NGAV ソリューションをすり抜けてしまう新しい攻撃をブロックするのにも役立ちます。
2017 年に報告された 1 か月あたりのサイバー攻撃の増加率は 328% です。
業界の動向:攻撃者とセキュリティ ソリューションの競争
Ponemon Institute の「State of Endpoint Security」レポートでは、以下のような調査結果が報告されています。
アンチウイルス ソフトウェア企業は、同様の製品を提供するベンダーとの開発競争はもとより、悪質な攻撃者とも真っ向から競争しています。この激しい接戦では、攻撃者が切り札を持っています。
また、このレポートでは、エンドポイント攻撃によって侵害を受けた経験のある組織のうち、77% の組織はその攻撃がファイルレス攻撃かエクスプロイトであったと回答したとも述べられています。
明らかに、アンチウイルス ソフトウェアは劣勢です。
解決策:クラウドでの NGAV と EDR の融合
企業が NGAV と EDR を融合させたソリューションの効果を最大限に引き出すには、クラウドとその優れたコンピューティング パワー、無制限のスケーラビリティ、管理の容易さを活用する必要があります。エンドポイント セキュリティをクラウドに移行することで、事後対応型ではなく、ビッグデータと強力な分析機能を組み合わせたプロアクティブなアプローチを実現することができ、非常に危険性の高い最新の攻撃に対抗するうえで役立ちます。
たとえば、クラウドではストリーミング分析が可能であり、エンドポイントの正常なアクティビティと異常なアクティビティを監視して、フィルタリングされていない任意のエンドポイントの履歴データと比較できます。クラウドを活用して、これらのイベント ストリームを分析し正常と考えられるイベント ストリームと比較することで、攻撃を検知するだけでなく、これまで検出されたことのない脅威を予測するグローバルな脅威監視システムを構築できます。この強力なアプローチは、従来のアンチウイルス ソリューションでは決して実現できません。
クラウドの NGAV は、エンドポイントとの双方向の通信も実現します。これにより、フィルタリングされていないすべてのエンドポイント データを監視して、企業を高度な攻撃からプロアクティブに保護する予測分析に活用できるようになります。
クラウドはさらに、以前からほとんどの企業がほかのエンタープライズ ソフトウェアによって実現しているインフラストラクチャのメリット(シンプルでコストの低い運用、迅速な展開、最新の革新的なテクノロジーなど)を備えています。
アンチウイルス ソリューションで悪意ある脅威を阻止できると考えている組織の割合は 31% に過ぎません。
関連するソリューションおよび製品
vRealize Operations
IT 運用管理の自動化
Anywhere Workspace ソリューション
従業員が場所を問わず働けるように、セキュアかつスムーズな体験を提供
Horizon
仮想デスクトップ(VDI)と仮想アプリケーションのためのセキュアなプラットフォーム