エンドポイントセキュリティにおいて、従来のアンチウイルス製品に代わり注目を集めているのが、NGAV（次世代型アンチウイルス）です。
従来型との違いや、NGAVの機能、さらには製品を選ぶ上でのポイントについて解説します。
セキュリティ担当者の方は、ぜひ参考にしてください。

NGAVとは？

エンドポイントセキュリティの分野で最近注目を集めているNGAVとは、Next-Generation Antivirusの略であり、次世代型のアンチウイルスソリューションのことを指します。
従来のアンチウイルスソフトウェアが、悪意のあるプログラムを検知して対処するのに対して、NGAVは、マルウェアが起こす異常な動きを監視することによって、ゼロデイ攻撃などの未知の脅威にも対応できます。

NGAVの歴史

NGAVは、2010年代半ばに、エンドポイントセキュリティにおいて最も効果的なアンチウイルス技術を探していたセキュリティ企業によって開発されました。
開発元が、従来のアンチウイルスがもはや十分な保護を提供できないことに気づき、マルウェアが起こす挙動を分析することによって、より高度な脅威を検知する方法を模索したことがきっかけです。

NGAVの機能

NGAVは、従来のアンチウイルスに比べて、以下のような機能を備えています。

挙動検知

NGAVは、従来のアンチウイルスのように事前に定義されたパターンに基づく検知だけではなく、マルウェアが起こす挙動を監視して異常を検知できます。
これによって、未知の脅威にも対処できるようになります。

機械学習（マシンラーニング）

NGAVは、機械学習（マシンラーニング）を活用して、異常な挙動を分析することができます。
また、学習することで、従来の定義ベースの検出方法では検知できなかった新種の攻撃や脅威の検知も可能です。

ゼロデイ攻撃対策

NGAVは、ゼロデイ攻撃に対しても効果的な対策を提供します。
従来の定義ベースの検出方法では検知できなかった攻撃に対しても、挙動検知やマシンラーニングによって、迅速かつ正確に検知できます。

分析とレポート

NGAVは、エンドポイントにおけるセキュリティ状態を分析して、異常を検知した場合には、詳細なレポートを生成します。
これによって、セキュリティ担当者は、より早く正確な判断を下し、適切な対処を行うことができます。

NGAVとEDR、EPPの違い

NGAVは、EDR（Endpoint Detection & Response）やEPP（Endpoint Protection Platform）といった、他のエンドポイントセキュリティ製品と比較されることがあります。
以下では、NGAV、EDR、EPP、DLP（Data Loss Prevention）の特徴、目的、注意点、主な製品を比較してみました。

NGAV

• 特徴
  AI技術や挙動検知技術を活用した製品
• 目的
  エンドポイントに対する未知の脅威の検知と駆除
• 注意点
  高度な脅威に対応するための専門知識が必要
• 主な製品
  CrowdStrike Falcon、Carbon Black CB Defense、CylancePROTECTなど

EDR

• 特徴
  エンドポイントでの異常挙動を検知し、レスポンスを行うことに特化した製品
• 目的
  未知の脅威を検知し、迅速な対処を行うこと
• 注意点
  脅威の検知と対処には時間がかかる場合がある
• 主な製品
  Carbon Black, CrowdStrike Falcon Endpoint Protection, FireEye Endpoint Securityなど

EPP

• 特徴
  高度な検知レベルを備えた製品
• 目的
  未知の脅威の検知と駆除
• 注意点
  処理速度が遅い場合がある
• 主な製品
  Symantec Endpoint Protection、McAfee Endpoint Security、Trend Micro Apex Oneなど

DLP

• 特徴
  データの利用や転送を監視する製品
• 目的
  企業の重要情報の脱失防止
• 注意点
  社内の情報共有や業務の効率化を妨げることがある
• 主な製品
  Symantec Data Loss Prevention、McAfee DLP Endpointなど

NGAV製品の選び方のポイント

NGAVを導入する際には、以下のポイントに注意して製品選びを行うことが重要です。

検知手法の選択肢

NGAV製品には、様々な検知手法があります。
例えば、シグネチャ、ヒューリスティック、機械学習、ディープラーニングなどです。
自社のセキュリティニーズに合わせた検知手法を採用している製品を選びましょう。

運用管理のしやすさ

NGAV製品は、セキュリティ対策の一環として導入することが多いため、運用管理のしやすさも重要です。
セキュリティ担当者が効率的に運用できる機能やアラート通知、レポート機能などがある製品を選びましょう。

対応環境の柔軟性

NGAV製品を導入する企業は、規模や業種によって異なります。
そのため、クラウド型やオンプレミス型、サブスクリプション型など、自社の環境に合わせて選べる製品を選ぶことが重要です。

まとめ

NGAVは、従来型アンチウイルス製品と比較して、高度な脅威対策が可能な製品です。
より効果的なセキュリティ対策が可能にするために、NGAVを導入する際は、検知技術の種類や管理性、柔軟性などを考慮して製品を選びましょう。
SMSデータテックでは「CrowdStrike Falcon Endpoint Protection」を提供しています。マルウェアの検知と防御だけでなく、EDRやリスク評価、脆弱性評価など、多様なセキュリティ機能を備えているため、統合的なセキュリティ対策を行えます。