侵入前の防止策はもう古い?アンチウィルスソフトからEDRへ

2014年、アンチウィルスソフトの大手シマンテックのVice Presidentは、「アンチウィルスソフトは死んだ」と言いました。この言葉について、自分で自分たちのことを馬鹿にした話だと語られてしまっていることもありますが、実はそうではありません。ウィルス対策の在り方が変わっていくということを示唆する発言だったのです。その新しいウィルス対策に適しているのがEDRです。

なぜアンチウィルスソフトは死んだのか?

アンチウィルスソフトは死んだ、と言った理由としては、それまでのアンチウィルスソフトでは、もう45%程度しか、ウィルスを検知できないと言われています。

なぜかと言うと、これまでのアンチウィルスソフトは、シグネチャー検知という対策だったからです。簡単に言えば、世界のどこかで発見されたウィルスに対し、いち早くブラックリストに登録することで、ブラックリストに引っかかるウィルスの侵入を阻止するという対策です。

しかし、昨今では、ハッカー側の技術の向上により、簡単に新種や亜種のウィルスを生み出せるようになってしまい、現在世の中に出回っているウィルスの半分以上は、新種のウィルスになってきているのではないかと言われています。

ブラックリストに登録されているウィルスを見つけて侵入を阻止する能力がどんなに高くても、ブラックリストに載っていない初犯のウィルスでは、止める手立てがないということです。

検知率99%とは何か?

でも、市販されているウィルス対策ソフトには、検知率が”99%”とか、”99.99%”とか、ほとんどのウィルスを阻止できると記載されているではないか、ということもよく疑問を持つ方もいるかもしれません。

この数字はもちろん嘘ではありません。検知率テストを行う機関によって、これまで発見されてきたウィルスを利用して実験が行われ、実際に99%のような検知率を出しています。

しかし、よく考えてみてください。検知率テストに利用されるようなウィルスですから、どこかしらですでに発見されているウィルスなのです。これが検知率99%のカラクリです。

「既に存在が認知されているウィルス」に対しては、ほぼ確実に阻止できる、という証拠です。ただ、一方で、やはり「既に存在を認知されているウィルス」に対する対策にしかなっていないのです。先で述べた通り、新種のウィルスが増加する現代においては、十分な対策とはいいがたい状業になっています。

ウィルス対策は侵入阻止から、侵入後の検知&対応の時代へ

では、どのように対策をすればいいのでしょうか?侵入前の阻止が難しくなった今、注目されているのは、侵入後のウィルスを検知し、ウィルスの被害が最小限に収まるように対応する対策です。

では、どのようにウィルスが侵入した後に検知できるのでしょうか?それが、EDR、Endpoint Detection and Responseの出番です。サイバーリーズン、サイランス、クラウドストライク、センチネルワンなどがそれにあたり、各端末内でのシステムの動きなどを監視し続け、ウィルスの挙動と思われるような動きをいち早く検知し、アラートを上げるシステムです。

もう、ウィルスの侵入は防ぎきれない、という概念のもと、侵入後の被害を最小限に抑えることに繋がります。

EDRのメリット&デメリット

EDRのメリットとしては、シグネチャー検知に頼らず、システム内での動きを追跡するため、新種のウィルスに対しても対応できます。

また、最近では、ファイルレスマルウェアと呼ばれる、アンチウィルスソフトでは検知が難しいマルウェアの存在も大きくなっていますが、ファイルレスマルウェアに対しても一定の対策になるでしょう。

ただ、EDRのデメリットとしては、自社の正常なシステムなのか、予測されない悪意あるプログラムなのかの判断が素人には難しいため、どうしてもセキュリティの専属チームがいたり、十分な規模の情シス担当者がいる組織でないと運用しきれない、というネックもありました。

AIで中小企業でも運用できるようになったEDR、センチネルワン

しかし、こういった状況も改善されつつあります。EDRに対して、AIを活用する動きは、各セキュリティ会社が熱心に取り組んでいる分野であり、徐々に確立されてきています。

その中でも、AI技術において秀でているのが、2019年、Forbesが格付けするAI50で14位選出されているセンチネルワン(SentinelOne)です。セキュリティソフトメーカーだけで見れば、トップでもあります。

このようなAI技術の革新と、EDRへの導入が進んでいるため、中小企業にとっても、EDRを導入し本格的なセキュリティ対策をとることも難しくなってきています。

EDRならForbesのAI50にも選ばれた世界最高峰の技術力を誇るセンチネルワン。1アカウントからの購入可能。無料トライアル実施中!

トライアル受付サイトはこちら