次世代アンチウイルスとは

従来のアンチウイルスは、既知のマルウェアや脅威に対してその攻撃を防止することでエンドポイントを守っています。現在もほとんどの企業・組織においてセキュリティ対策の一つとしてアンチウイルスが利用されています。

なぜ次世代アンチウイルスが必要なのか？

これまでは、ファイアウォールやサンドボックスなどで防御された社内ネットワークに対して、境界を越えて中に入り込もうとする脅威を検知して防止することで、クライアントPCなどのエンドポイントを保護してきました。
しかし、今日ではクラウドサービスやモバイル機器の利用により社内ネットワークの外にあるエンドポイントが増加しています。これからは社内を守るセキュリティに加え、個々のエンドポイントを守る対策が必要となってきます。

左：従来のエンドポイント環境。ファイアウォールなどの内部にあるため、脅威から防御できる
右：今日のエンドポイント環境。ネットワークの外にあるエンドポイントを経由して、検知を回避して侵入

また、最近ではマクロやアプリケーションの脆弱性、Windows PowerShellなどを利用した「非マルウェア」による攻撃が増えています。サイバー攻撃の53%に非マルウェアが利用されており※、2016年には97%の組織が非マルウェアによる攻撃を受けているという報告もあります。
※Verizon Data Breach Report, 2016

従来のシグニチャーベースのアンチウイルスはウィルスやマルウェアの特徴を照合して駆除を行いますが、この方法では非マルウェアによる攻撃には対応できず、脅威の侵入や攻撃なども可視化できないため、情報漏えいなどのセキュリティ事故につながったり、対応方法が分からず、時間や人的工数などのさまざまなコストがかかるなど、重大なリスクにつながる可能性があります。

このような攻撃は、2010年以降では50台以下の小規模ネットワークを対象にしたケースが全体の75%を占めています。これらの攻撃に対してはシグネチャが検知できるしきい値に満たないために、検知できずそのまま攻撃されてしまいます。

これらのことから、マルウェアと非マルウェア対策を同時に実現できる「次世代アンチウイルス」が必要とされてきているのです。

次世代アンチウイルスの定義とは？

ITセキュリテイ調査会社SANS Instituteによると、「次世代アンチウイルス対策」とは、以下のように定義されています。

マルウェアを防止
非マルウェアの攻撃を防止
検知とレスポンス
コンテキストと可視化
クラウド分析と脅威インテリジェンス
軽量かつ簡易

これらすべてを網羅しているのがCarbon BlackのCB Defenseです。

全ての攻撃を防止する

CB Defenseの特許技術「Streaming Prevention」は、イベントストリーム処理を利用してエンドポイントから上がってくる大量のイベントデータにTTPs（Tactics・戦術）（Techniques・手法）(Procedures・手順)の観点でタグ付けを行います。すべてのイベントに対してエンドポイントに影響があるかどうかをリアルタイムに分析・判断することで、マルウェア・非マルウェア両方からの攻撃をブロックします。

全ての脅威を検出

CB Defenseは、検知とレスポンスの機能がエンドポイントのセキュリティインシデントに関するすべてのアクティビティをリアルタイムに記録・把握し、対策を実施します。マルウェアがブロックされると攻撃の発生状況に関する詳細情報を入手できます。これにより事前に行動を分析し、悪用の可能性や脅威レベルについて、管理者に詳細情報を提供します。