振る舞い検知とは?未知のウイルスを発見・阻止する方法
業務においてインターネットを利用する機会が増えており、ビジネスとインターネットとの親和性は高いものとなっています。そのなかで、今後さらに注視する必要があるのが、日々新たに生まれるコンピュータウイルスなどの脅威です。この記事では、新たな未知のウイルスによる脅威からコンピュータや大事なデータを守るセキュリティ対策「振る舞い検知」についてご紹介します。
目次
振る舞い検知とは?
振る舞い検知とは、アンチウイルスソフトなどがウイルスを発見する方法の1つで、新たな未知のウイルスによる脅威に対しても有効性が期待できる方法とされています。
「振る舞い」を「検知」するという名称のとおり、特定のプログラムが「不審な振る舞い」をしているかどうかを検知します。その上で予測される脅威に備え、PCやサーバーを保護することで被害を未然に防ぐ方法です。
この方法を取り入れることで、日々新たに生み出されているといわれる「未知のウイルス」への対策にも有効とされています。
アンチウイルスソフトなどがウイルスを発見する方法
アンチウイルスソフトは、さまざまな方法で脅威をもたらすウイルスを検知し、PCが被害を受けないよう脅威の種類に応じて駆除や隔離、警告などの対処を行っています。ここでは、アンチウイルスソフトがウイルスを発見する方法について、従来のものから最新のものまでをひと通りおさらいしていきます。
パターンマッチング
従来、古くより多くのアンチウイルスソフトで導入が図られている非常にスタンダードな方法です。ウイルスパターンなどの定義情報をデータベース化したものを活用し、それと各プログラムを照合します。その結果、パターンに合致したプログラムをウイルスと識別し判定を行うという方法です。
この方法は従来あるウイルスには有効ですが、そこから派生した新たなウイルスやまったくの新型ウイルスにはパターンに合致しないため有効性が期待できない場合があります。顔認証に例えると、「データベースに登録済みの顔データにそっくりだが、ほくろの位置が少しだけずれている」ことで別人として判別されてしまうような状況が生まれる可能性があるのです。
既存のウイルスには確実な対処ができ誤検知の可能性も低いのですが、未知の脅威への対応は困難です。
ヒューリスティック
ウイルスのような不審なプログラムの動作には、一定の特徴があります。この方法ではウイルス特有の挙動の特徴に合致するプログラムを、脅威であると判定します。脅威が疑われるプログラムを実行させることなく、それらの不審な動作を分析して検知を行えるため、未知の新しいウイルスや既存ウイルスの亜種などにも対応が可能な方法です。
ただし、「ある程度正しく判定できる」という意味を持つ「ヒューリスティック」と名付けられていることからも分かるように、脅威にあたらないプログラムを誤検知する可能性も指摘されてきました。しかし近年では精度が向上したため、誤検知の可能性も少なくなっているといわれています。
振る舞い検知(ビヘイビア)
ヒューリスティックはプログラムを動作させずに検知を行う方法ですが、ビヘイビアではプログラムを実行し、振る舞い(ビヘイビア)から脅威を判断する方法です。この方法が「振る舞い検知」で、「動的ヒューリスティック」とも呼ばれます。
なお、この方法における動作確認は実際の環境下ではなく、「サンドボックス」と呼ばれる仮想環境で実行します。
なお、過去に発見されたウイルスに近い動作を行うプログラムに反応する特性上、有害ではないプログラムを誤検知してしまう可能性も指摘されています。
以下に、ウイルス検知のためのおもな3つの方法とその特徴を表にまとめました。こちらも、ぜひご参考にしてください。
振る舞い検知はEDRと組み合わせることでより効果的に対策が取れる
ここまでは、振る舞い検知というウイルス検知方法の概要をご説明しましたが、同じく近年注目されているウイルス検知方法に「EDR」があります。
EDRとは
EDRとは「Endpoint Detection and Response」の略称です。PCやサーバーの「エンドポイント」でプログラムの動作などを監視し、その動きによってウイルスの感染を検知し、情報収集・調査や感染PCの遠隔隔離などの対処を行うことで、リスクを最小限に抑えるものです。なおエンドポイントとは、通信ネットワークの終着点にあたる各種端末です。具体的には、エンドユーザーが操作するPCやスマートフォン、タブレットなどの機器を指します。
近年EDRが注目され、導入が推奨される背景として、サイバー攻撃が年々巧妙化し、既存のセキュリティ対策だけで被害拡大を抑えることが困難になっている点があります。
EDRはウイルスなどの検知にとどまらず、万一感染し被害を受けた際もすばやく対応して受ける被害を少なく抑える目的があります。サイバー攻撃を受けてしまった場合の被害の極小化とサイバー攻撃による被害の事後対策コストを低減する対策として、EDRが普及しています。
ウイルス対策には総合的な視点が必要
ウイルスなどは日々進化し、新しい脅威が生み出されています。しかし既存のマルウェア検知方法には各々デメリットがあり、完璧に被害を防げるものは存在しません。このため、さまざまな対処法を組み合わせることで多層防御を実行し、総合的な対策をとることが重要です。
ただし中小企業の場合、社内外ネットワークの構成を正確に把握できていないことも少なくありません。企業によっては唐突に大がかりな仕組みを設けるより、「振る舞い検知+EDR」を組み合わせた対策を各PCに行うことから始める方が効率的な場合もあります。振る舞い検知によるウイルスの入り口対策、侵入後ウイルスが万一侵入し検出された後の対応をEDRにて行うことでより確実に脅威への対処を行えます。
自社の状況に合わせて、ネットワークの規模や保有端末の台数などを考慮し、段階的にセキュリティ性を高めていくことも一案でしょう。
ALSOKのセキュリティでウイルスの脅威から守る
セキュリティ対策を行う上で重要なポイントは、「運用」です。セキュリティソフトや機器を導入したものの、運用を行う人員がおらず、リスクや脅威を検知しても対処ができなければ意味がありません。そこでALSOKでは、インシデント対応を自動化するEDRを提供しています。
「ALSOK EDRサービス」は、AIによって脅威を検知し、復旧までを自動で行うことができます。
また、ALSOKによる24時間365日のサポートを受けることができます。
ALSOKの関連商品
まとめ
振る舞い検知はプログラムの動作を監視することで、不審な動きをしているなど、ウイルスの特徴を持ったものを脅威と判断します。この仕組みにより、振る舞い検知により未知のウイルスが検知できる可能性もあるとされています。ただし、どのようなウイルス対策であっても100%脅威を回避できるものではないことを認識しておくことは必要です。各企業のネットワーク規模や端末数を考慮し、適した最新のセキュリティ対策を取り入れることで、無差別に行われる場合もあるサイバー攻撃に備えておきましょう。