マクニカ
APT/インシデントレスポンス 2023.07.03

NGAVとは?EDRとの相乗効果で、過酷なサイバー脅威に挑む!

3行でわかる本記事のサマリ

  • NGAVは次世代型アンチウイルスで、機械学習や振る舞い検知などの機能で従来の課題を解決する。
  • NGAV製品選定時は検知精度や対象OS、コスト面などを検討する必要があり、EDRとの連携も見据えた製品選定が望ましい。
  • NGAVだけでは攻撃後の対処に限界があるため、EDRと併用してセキュリティ強度を高めることが重要。

目次

  1. NGAVとは?
  2. NGAVの主な機能
  3. NGAV導入時に注意すべきこと
  4. まとめ

1. NGAVとは?

NGAVとは「Next Generation Anti-Virus」の略称であり、日本語では次世代型アンチウイルスと呼ばれるソリューションです。ただし、NGAVの定義が明確に定められているわけではなく、その定義や搭載機能については提供元となる各社によって異なる場合があり、注意が必要です。一般的には従来型アンチウイルスに加えて、機械学習や振る舞い検知といった機能が追加された製品がNGAVと呼ばれています。

さて、前述の通りNGAVは「次世代型」のアンチウイルスになりますので、NGAVについて理解を深めるためには、まず従来型のアンチウイルスについて理解をする必要があります。従来型のアンチウイルスでは、パターンマッチングと呼ばれる手法でマルウェアを検出していました。この方法では製品の提供ベンダーが発見したマルウェアについてのデータを蓄積し、そのデータを定義ファイルとしてユーザに提供します。この定義ファイルとスキャンしたユーザの端末情報を照合することで、端末側にマルウェアと合致するものが無いかを確認するのがパターンマッチングの手法になります。これらの従来型アンチウイルスはその特性から「既知」の脅威に対しては対処ができる一方で、例えば以下のような課題があります。

① 「未知」の脅威、例えば新たに出回ったマルウェアには対応ができない
②  非マルウェアの攻撃(ファイルレス攻撃)に関しては検知できない

上記の2点については、どちらも従来型アンチウイルスの限界を示しています。攻撃者側の進化に伴い、様々な未知のマルウェアが使用されていることや、OSやアプリケーションの有する正規の機能を悪用したファイルレス攻撃といった手法が増えている現状では、残念ながらパターンマッチングでは攻撃に対応ができません。NGAVはこのような従来型のアンチウイルスの課題を解決し、お客様の端末を脅威から守るための製品として設計、活用されています。

NGAV とは?_1.png

2. NGAVの主な機能

前述の通りNGAVは従来型アンチウイルス(=パターンマッチング)の手法が持つ課題を解決するために生まれてきたソリューションです。そのため、従来型アンチウイルスが有するパターンマッチングの機能に加えて以下のような機能を持ち、更なる検知力向上を実現しています。

  • 機械学習
    収集した膨大なデータの中から、たとえば過去の攻撃との類似点を見出すなどマルウェアの特徴を抽出し、攻撃を受けたと疑われる可能性がある情報を分析し、攻撃の防御に活用します。
  • 振る舞い検知
    パターンマッチングでは登録された情報と合致するものを検出しますが、振る舞い検知では疑わしい動作や振る舞いといった内容を確認して脅威を検出します。そのため、過去に合致するような情報がなくとも、脅威に対応することが可能です。

これらの機能により、従来型のアンチウイルスの課題であった未知のマルウェアやファイルレス攻撃に対しても対応が可能となっています。

EDRとの違い

ここまで、NGAVとはなにかという観点で紹介をしてきましたが、ここからはお客様からもよくご質問をいただくNGAVとEDRの違いについて解説していきます。こちらについては端的に"目的の違い"という観点でご説明が可能です。

NGAV とは?_2.png

  • NGAV:攻撃を未然に防ぐ
    上図に記載の通り、NGAV製品はマルウェアを進入させないことを目的とした製品です。既知の攻撃はもちろん、振る舞い検知等の機能を活用し、未知の攻撃に対してもお客様の環境を守ります。
  • EDR:攻撃を受けた後の対処を行う
    EDRは攻撃を100%防御できないということを前提とした製品です。侵入を検知し、侵入後の調査を行い問題に対処することで、被害の拡大を阻止することを目的としている製品です。詳細については弊社ブログの別記事でもご紹介しておりますので、ぜひ併せてご確認ください。

※参考:「EDR」とは?EDRの基本や導入メリット、選定ポイントをご紹介
https://mnb.macnica.co.jp/2023/03/XDR/EDR.html

ここでは、NGAVとEDRはそれぞれ事前対策と事後対策という別の目的を実現する製品であるということをご理解いただければと思います。後ほど、NGAVとEDRそれぞれの活用方法についても触れていきます。

3. NGAV導入時に注意すべきこと

ここまで説明してきた通り、NGAVはセキュリティ強化を行う上で必須な製品といえますが、それゆえ多くの製品が存在しています。ここからは製品選定時に考えるべきポイントについて紹介していきます。

NGAV とは?_3.png

  • 検知精度
    NGAV製品の選定上何よりも重要なのはやはりマルウェアを進入させないこと、すなわち検知の精度にあるといえます。あたりまえですが、検知が大量に発生する状態では、本来必要でない切り分けの作業が発生し運用者の対応負荷が増加するほか、ヒューマンエラーの発生リスクも高まります。そのため製品選定時には検知精度について検討する必要がありますが、残念ながら机上の検証では確認できる限界があります。後悔のない製品選択をするためにも、事前にしっかりと評価、検証作業を行い、製品理解をしたうえで導入いただくことが重要となります。また、ポリシーのチューニングのしやすさも併せて確認すべきポイントです。
  • 対象範囲(OS)
    製品を選定する際、多くの製品はWindows端末を対象に製品が作られている点に留意しなくてはなりません。LinuxやMac端末への対応自体は可能な製品も多いですが、Windows端末に提供される機能と、サーバ、Mac端末で提供される機能に差異がある場合があります。Windows端末をメインで使っている場合でも、同時あるいは将来的にサーバ系への導入も検討している場合や、一部部門でMac端末を使っている場合等はそれらの対象全てに対してしっかりと対応できるかという点を実績も併せて確認することが重要です。
  • EDRを見据えた製品選定
    前段にて、NGAVの導入だけでなく、併せてEDR製品についても導入を検討することが望ましいと説明をしましたが、その際に重要となるのがEDRとの連携です。異なるベンダーのNGAVとEDRを併用すると隔離機能の競合などが発生し、上手く動作しない事象が発生することがあります。設定を調整することで併用は可能になりますが、製品の機能をフルに活用した状態ではないため、折角導入をしても100%活用できるといった状況にならないため注意が必要です。

NGAV、EDR導入のあるべき姿

前段のEDRとの違いや、NGAV導入時に注意するべき点で、NGAVとEDRを合わせて検討するべき必要性やその注意点について触れてきました。NGAVとEDRは目的が異なる製品である故に、どちらかを入れれば完璧であるといったことはありません。

いずれの製品も未導入の場合、基本的にはNGAVの導入からご検討いただくケースが多いかと思いますが、それぞれの製品だけを導入した場合については以下のような課題があります。

例① :NGAVだけを導入する場合
NGAV製品だけ導入いただく場合は、マルウェアの侵入を阻止すること自体は可能ですが、万が一マルウェアの侵入を許した場合のことを考えると、EDRの導入もご検討いただく必要があります。例えば攻撃を受けた際の影響範囲の特定といった調査をすることはNGAV製品だけでは困難ですし、マルウェアの削除、端末の隔離といった復旧作業を進める際にはユーザ端末側での作業が必要になることがあります。そのため、NGAV製品を導入いただき、攻撃をしっかりと防ぐことのできる体制を作っていただき、その次のステップ(もしくは同時のタイミング)でEDRを合わせて導入し、攻撃後の対処もできる状態にしていくことを推奨しております。

例②  :EDRだけ導入する場合 
EDRだけを導入いただいた場合は、従来NGAVで提供されるマルウェアの侵入阻止の仕組みが提供されませんので、EDR側で膨大な侵入後の検知が上がることになります。そうなると運用者の方は日々捌ききれないほどの膨大なアラートを対処することになり、本来対処するべき優先度の高い事象に手が回らなくなるリスクがあります。そのためEDRを十分に活用するためには、精度の高いNGAV製品を活用し、しっかりと攻撃を防いでいくことがセキュリティ強度を高める点で非常に重要となります。

上記の通りNGAVを検討する際は将来的なEDR導入を視野に入れた製品選定をすることが重要であり、一方でEDRを検討する際にはNGAVの精度についても併せて検討することが必要です。また、その際にNGAVとEDRを同じベンダー製品を使う場合と、別々の製品を合わせて使うパターンが想定されますが、それぞれの別の製品を利用する場合も注意が必要です。例えば以下の様な課題が考えられます。

‐ それぞれの製品のエージェントを端末に導入・更新等の管理をする運用負荷
‐ 別々のコンソールを確認する必要があり、製品別の知識を身に着ける工数
‐ NGAVとEDRの情報を突合するための仕組みづくりとその工数

弊社が取り扱うCrowdStrike製品では、NGAVからEDRまでを一貫して、同一のエージェント、コンソールで提供が可能であり上記の課題を解決したソリューションの展開が可能です。

また、総合的なセキュリティ対策として、NGAV・EDRに留まらない広範なセキュリティ対策を同じく、同一エージェント・コンソールでご提供可能なポートフォリオを有しているため、お客様のサイバーセキュリティ対策を一貫して提供することが出来ます。
詳しくは製品紹介ページにてご紹介してますので、ご確認下さい。

NGAV とは?_4.png▼NGAV製品の詳細はこちら
詳細はこちら.png

▼EDR製品の詳細はこちら
詳細はこちら.png

4. まとめ

  • NGAVは振る舞い検知や機械学習といった機能を搭載した次世代型アンチウイルス製品
  • 製品を選定する際は検知精度や対象OSによる機能差分を事前検証にて確認するべき
  • 事後対応を行うEDRとの連携を見据えた製品選定を行うことが重要

関連資料
▼【ホワイトペーパー】グローバルインシデント対策
グローバルインシデント.png

資料請求はこちら.png

▼お問い合わせ
クラウドストライク製品担当
フォーム:https://go.macnica.co.jp/CS-Inquiry-Form.html
メール :crowdstrike_info@macnica.co.jp
製品HP:https://www.macnica.co.jp/business/security/manufacturers/crowdstrike/

メルマガ登録バナー(セキュリティ).jpg

RSSで購読する
ランキング
カテゴリ
タグ
月別アーカイブ