NGAV(次世代型アンチウイルス)とは何か?従来のアンチウイルスとの違いを解説

2022年9月29日

NGAV(次世代型アンチウイルス)とは

次世代アンチウイルス「NGAV(Next Generation Anti-Virus)」は、マルウェアへの感染や悪意のあるプログラムからの攻撃を防ぐためのソフトウェアです。
アンチウイルス(AV:Antivirus)に関しては30年以上前から存在していますが、次世代アンチウイルス(NGAV)では従来型のアンチウイルスでは不可能であった未知のマルウェアの検出が可能となります。

従来型アンチウイルス(AV)の仕組みと次世代型アンチウイルス(NGAV)の誕生

アンチウイルスの歴史は古く、1980年代後半には各ベンダーがアンチウイルスを発売しています。
従来型のアンチウイルス(AV:Antivirus)ではパターンマッチング方式を採用しています。
パターンマッチング方式は文字通りマルウェアのパターン情報を解析し、確認できたデータ(シグネチャコード)を定義データベースに蓄積します。そして、蓄積されたシグネチャコードと同種のデータを持っていると疑われるファイルを「不正ファイル」として検出し、アンチウイルスが自動的に隔離または削除を行います。そのため、パターンマッチング方式を採用した従来型アンチウイルスが検出できるのは、過去に検出された実績のあるマルウェアのみとなり、未知のマルウェアに対しては効力を発揮できない欠点があります。
特に近年では、サイバー攻撃が巧妙化、複雑化してきており、従来型アンチウイルスによる検知を回避するための技術が盛り込まれたマルウェアも増えてきています。そのため、既知の不正なコードを検知するのではなく、マルウェアによる不正な動作を確認することでマルウェアの検出を行う「振る舞い検知」や「AI、機械学習」により検知を行う次世代型アンチウイルス(NGAV)が誕生しました。

次世代型アンチウイルス(NGAV)の主な機能

次世代型アンチウイルス(NGAV)の主な機能として、「振る舞い検知」「AI、機械学習」「サンドボックス」があります。それぞれの特徴を見てみましょう。

振る舞い検知

振る舞い検知ではファイルの構造やコードを見て不正ファイルだと判断するのではなく、ファイルの不正な動作、挙動といった振る舞いを確認することで不正であると判断します。
パターンマッチング方式では、定義データベースに定義されたプログラムであれば検知できますが、完全に黒かどうかが疑わしい「グレー」なプログラムは検知できません。
振る舞い検知ではプログラムの内容ではなく、プログラムの動きそのものを見て判断するため、疑わしい「グレー」なプログラムも検出することが可能です。

AI、機械学習

次世代型アンチウイルス(NGAV)では常にプロセスを監視しており、攻撃を受けた可能性のある情報を収集します。そして、収集した情報の解析結果により、これまで一度も確認されたことがないマルウェアを検出します。検出済みのマルウェアを解析し、定義データベースとの照合を行うパターンマッチング方式では、日々進化していくマルウェアをリアルタイムに検出することが困難ですが、AI、機械学習によりマルウェアの特徴を予測することで未知のマルウェアを高確率で検出することが可能となります。

サンドボックス

疑わしいものの不正なファイルだと断定できないプログラムの場合、実際にプログラムを実行して挙動を確認する必要があります。サンドボックス(Sandbox)と呼ばれる仮想環境を用意し、完全に閉じた環境上で疑わしいプログラムを実行し、動作を確認します。
振る舞い検知や機械学習では、不正と予測されたファイルであり実際に動きを確認したものではありません。そのため、正規のプログラムであっても誤って検出してしまう可能性があります。サンドボックスにてプログラムを実行できる環境を用意することで、検出の精度を高めることができます。

機械学習型と深層学習型の違い

次世代型アンチウイルス(NGAV)で採用されている人工知能(AI)は以下の2種類の学習型があります。

機械学習型(マシーンラーニング)

機械学習型では、人の手によって特徴を定義し、人工知能(AI)に学習、分析を行わせます。学習、分析による効率化といったメリットはありますが、1億個以上のルールを学習させようとすると精度が下がるというデメリットもあります。近年では1日あたり100万個以上のマルウェアが生成されていると言われており、機械学習型では未知のマルウェアを検知することには限界があります。

深層学習型(ディープラーニング)

深層学習型では、人工知能(AI)がマルウェア情報から高速で分析、学習を行い、マルウェアの特徴を抽出します。人工知能(AI)が自ら特徴を抽出して学習するため、日々生成される未知のマルウェアでも検知することが可能です。

これらのことから次世代型アンチウイルス(NGAV)で採用されている人工知能(AI)のなかでも深層学習型の方が優れていることが分かります。

次世代型アンチウイルス(NGAV)とEDR

次世代型アンチウイルス(NGAV)と混同しがちな製品として「EDR(Endpoint Detection and Response)」があります。EDRは、エンドポイントで常時監視し、異常や不審な挙動が発生した場合に通知、復旧を支援する事後対策の考え方に基づいた製品です。脅威の侵入を防御するのではなく、感染した場合に素早く復旧することを目的としています。反対に次世代型アンチウイルス(NGAV)は事前対策として脅威を侵入させないための対策となり、役割が異なります。そのため、NGAVとEDRを組み合わせることで、セキュリティ対策をより強固なものとすることができます。

関連

参考