次世代アンチウイルスは、アンチウイルス(AV)ソリューション機能が一歩前進したものと見なされており、人工知能(AI)や機械学習(ML)を組み込んだXDR(Extended Detection & Response)機能との組み合わせで既知のシグネチャベースの防止技術を活用するものです。高度な分析を活用して複数のテレメトリソースからのアラートを関連付けることで、実用的な脅威インテリジェンスを迅速に特定し、脅威をより素早く予測して阻止します。
NGAVは、システムやエンドポイントへの影響が少ないクラウドベースのソフトウェアの形式で展開され、組織や企業で一般的なタイプのAVとして採用が進んでいます。
XDRとNGAVが連携すると、いずれもネットワーク境界を保護し、脅威検知技術をネットワーク境界を越えて拡張することになります。EDRは、セキュリティ境界の内側にあるエンドポイントで発生します。悪意のある攻撃者が電話やノートパソコンなどのエンドポイントに到達する方法を見つける可能性は引き続きあるため、優れたEDRソリューションは最後の防御線となります。
ここでも、対象が広範なものと具体的なものとの比較となります。前述したように、最新のNGAVソリューションは、高度な分析を活用して、ネットワーク境界内およびネットワーク境界を超えた脅威を保護し、予測し、防御するよう設計されています。マルウェア対策ソリューションは主に、セキュリティ制御をバイパスするために構築されたマルウェアがないか、個々のシステムをスキャンするように設計されています。
NGAVは、マルウェアとファイルレス攻撃を検出して防止することで機能します。実行前の手法を活用し、悪意のある行為者が意図的に使用する、あるいは適切な認証を得た人物が無意識に使用する戦術、技術、手順(TTP)や悪意のある行動から保護します。NGAVソリューションが検知と防止の目標をどのように達成するかを詳しく見てみましょう。
GAVソリューションとサービスのプロバイダーは、通常、ネットワークシステムやエンドポイントのパフォーマンスを妨げないように、技術を迅速に立ち上げ、運用できるように設計しています。
NGAVについて議論するとき、依然として焦点となるのが最後の2文字「AV」です。「ウイルス対策」という用語が何十年にもわたってコンピューターを使用する社会の一部として使われてきたことから、現代のNGAVと従来のAVとの認識で異なる点について疑問を抱くのは当然と言えます。
AVは主に、エンドポイントの保護、時に大規模な重要インフラストラクチャの一部である影響を受けるデバイスの迅速な除去に重点を置いているため、影響を受けないデバイスに大きな混乱を引き起こす場合があります。これにより、企業は重大な財務的および評判上の損害を被る可能性があるのです。
NGAVは、こうした従来のAVプロセスを超えて、エンドポイントエコシステム全体にわたってファイルレスマルウェアを含む多様な攻撃をブロックします。NGAVの主な目標は、ネットワーク全体の重要なエンドポイントに到達する攻撃を検知し、阻止することであり、加えて、MLとAIの学習を通じて回避行為を阻止する上でも役立ちます。検知テクノロジーを増やしてもマルウェアやその他の脅威の問題は解決されません。むしろ重要なのは、攻撃者を防戦一方にする防止に重点を置いたよりスマートな検知です。
最後の重要な違いは、前述の「学習」の概念にあります。従来のAVはエンドポイントに負荷がかかる可能性があり、システム固有の動作に適応する機能はありません。今後もそれが変わることはないでしょう。他方、NGAVは、インストールされているエンドポイント、システム、ネットワークの過去の動作から学習します。このため、従来よりもはるかにキルチェーンの早い段階で回避行為を検出し、非常に効率的に脅威をブロックすることができます。
従来のAVと比較したNGAVの利点は数多くあり、組織のネットワーク検知および対応 (NDR)プログラムを加速させることに役立ちます。
企業やセキュリティ組織が現代の脅威に立ち向かうためには、NGAVの検知を回避するテクノロジーを悪用する、悪質な攻撃者に打ち勝つ必要があります。 これには、キルチェーンで既知および未知の脅威を早期にブロックしたり、エンドポイントやディープシステムへのアクセスを遮断したり、 ネットワークアクセス を完全に防いだりすることが含まれます。 従来のAVは通常、シグネチャベースの検出方法を使用しますが、NGAVはシグネチャベースの検出、AI、MLを組み合わせて、今日の攻撃者が使用するTTPを明らかにします。
前述したように、MLとAIは、保護対象のシステム内の特定の動作に適応する機能をNGAVソリューションに与えます。これにより、アナリストはエンドポイントとネットワークシステムをより深く理解し、差し迫った攻撃の兆候となるテレメトリに基づいて脅威から防御し、より優れた保護を設計できるようになります。
NGAVソリューションは通常、システムの動作を低下させず、セキュリティ担当者の生産性も低下させない軽量のアドオンテクノロジーとなるよう設計されています。通常、設置面積が小さいため、迅速に導入でき、重要な洞察を促進し、資産やプロセスの封じ込めの自動化などのアクションにより平均対応時間 (MTTR)の短縮が可能となります。
NGAVソリューションは、運用コストが低く、より効率的な脅威インテリジェンスと検知機能、包括的な対応範囲を備えるため、通常、技術スタック全体のさらなる統合を目指すセキュリティ専門家にとって理想的です。NGAVは、組織がすでに導入している既存の検知対応(D&R) ソリューションの付加価値として、セキュリティ慣行間のサイロの打破を加速することができます。これは、リソース不足に悩まされるセキュリティオペレーションセンター (SOC)にとって、生産性や効率性向上、成長の原動力となる可能性があります。
他のソリューションと同様、とりわけ名前に「次世代」という語が含まれる流行のソリューションを購入する場合には、さまざまな選択肢とベンダー候補があります。したがって、独自の環境に合わせてNGAVソリューションを調整できるソリューションを見つける方法を知っておくことが最善です。