最終更新日:2023-11-30
自社を標的とした未知のマルウェアへの感染を防ぎ、情報資産を守りたいと考えている方へ。マルウェア検知のために使われる技術やツールの特徴と、それらを利用するマルウェア検知サービスの選び方を紹介します。
マルウェア検知とは、様々な経路から侵入や感染を試みるマルウェアをいち早く検知することで、感染を未然に防いだり、万一感染してしまった場合には被害を最小限に抑えられるようにしたりするための取り組みです。次項で説明するマルウェア対策のための技術や手法を複数組み合わせた「多層防御」により実現するのが一般的です。
具体的な対策の前に、まずマルウェアについてどのような種類があるのかを確認しておきたい方に向けて、簡単に説明しておきます。
マルウェアとは、ウイルスやワーム、トロイの木馬、スパイウェアなど、IT機器やネットワークに何らかの危害を加えることを目的として作られた悪意のあるプログラムの総称です。感染しても普段は何もせず、外部からの指令を受けたときだけ活動する「ボット」や、ユーザーのPC上に特定の広告を表示するのが目的の「アドウェア」といったプログラムもマルウェアに含まれます。
悪意のあるプログラムと聞くと、ユーザーがうっかり不正なソフトウェアをダウンロードして実行してしまうようなイメージを思い浮かべる人も多いかもしれません。しかし、侵入・感染経路はほかにもたくさんあります。不審なメールに添付されているファイルを開封したり、OSやサーバーソフトなどソフトウェアの脆弱性を突いて攻撃されたりすることでマルウェアに感染するケースもよくあります。Webブラウザに脆弱性がある場合には、特定のWebサイトにアクセスするだけでマルウェアに感染してしまうこともあります。
マルウェア検知に使えるセキュリティ技術や仕組みは様々ありますが、主なものとしては、以下に挙げる4つがあります。
ウイルス対策ソフトはマルウェアの特徴的なパターンをデータベースに登録しておき、ファイルにそのパターンが含まれているかどうかをチェックする方法でマルウェアを検知します。しかし、この方法ではデータベースに登録されていない新しいマルウェアや、PCの弱点をつくマルウェアなどを見逃してしまう可能性があります。
特に最近では、特定の企業や組織を狙った「標的型攻撃」というサイバー攻撃が増えています。厄介なことに、これらの攻撃はターゲットに合わせて作られたマルウェアを使用して行われることが多いので、一般的なウイルス対策ソフトで検知するのは困難です。更に、感染したシステム内のファイルを暗号化して使用不可能とし、解除のために身代金を要求する「ランサムウェア」を送り込んだりする手法も。
ウイルス対策ソフトは既知のマルウェアを防ぐために必要ですが、新しいマルウェアや標的型攻撃に対しては効果が限られます。そのため、マルウェア対策には多層防御の考え方が必要と言えるでしょう。
ファイアウォールやIDS/IPS(Intrusion Detection/Prevention System、侵入検知/防止システム)は、正当な通信だけを許可し、攻撃や侵入につながる不審な通信を遮断するためのセキュリティ機器ですが、マルウェア特有の通信パターンを識別してブロックするマルウェア検知・防御の目的でも利用できます。
ただし、ウイルス対策ソフトのようにファイルに含まれるマルウェアを検出したり駆除したり追跡したりする機能などはなく、あくまでも多層防御を実現するために使える技術・ツールの一要素という位置付けです。
これまで挙げたのが水際で感染を防ぐやり方なのに対し、EDR(Endpoint Detection and Response)は感染する前提で、その被害を最小限に抑えることを目的とした「感染拡大防止対策」です。近年、マルウェア技術が高度に進化し、すべてを防ぎ続けるのが困難になってきたことから、水際対策と合わせて利用されるようになっています。
具体的には、PCやサーバー、スマホ・タブレット端末など、ネットワークに接続されたエンドポイント(IT機器)上でプログラムの挙動やログデータを監視。マルウェアの感染をいち早く検知したら、異常のあったファイルを隔離したり、重要なファイルを保護したりして感染拡大を防止します。
未知のマルウェアであっても、「普段はほとんど見られないはずの社内サーバーへのアクセスが急増した=マルウェアに感染した」と言うように、振る舞いやプロセスから感染を判断して、PCからの通信を遮断するといった処理を迅速に行えるのが特徴です。
EDRについて詳細を知りたい方は「エンドポイントセキュリティ比較14選!EDR・EPP製品をタイプ分け」も参照ください。
サンドボックスは、不審なファイルやプログラムをソフトウェア的に隔離された「砂場」(仮想環境)の中に投入し、実際に開いたり動かしたりしてみてその振る舞いなどからマルウェアを検知するというものです。
既知のマルウェアはもちろん、「Emotet」(エモテット)のように感染後に追加で悪質なプログラムなどをダウンロードするタイプの未知のマルウェアも、サンドボックスなら実環境に影響を及ぼすことなく安全に安全に検知することができるのが特徴です。
最近ではAI技術を使って検知精度をより高めた次世代型サンドボックスなども登場していますが、サンドボックスを搭載したセキュリティ機器やシステムは比較的高価で気軽に導入できるものではありません。また、企業のシステムやネットワーク構成などによっては利用や導入が難しい、といった課題も挙げられているため注意が必要です。
サンドボックスの詳細を知りたい方は「サンドボックス製品の比較8選。セキュリティ強化に有効なのは?」も参照ください。
「マルウェア検知サービス」は、自社でマルウェア検知体制を組むのが難しい企業のために、マルウェア検知の仕組みを提供したり対策の支援を実施したりするサービスです。
高度なセキュリティ人材を多数抱えるセキュリティベンダーにアウトソーシングする形でマルウェア検知業務を委託できます。具体的にどういった仕組みや内容でマルウェアを検知するかはサービスごとに異なりますが、ウイルス対策ソフトなどをすり抜けてくる未知のマルウェアにも対応できるという点は共通しています。
マルウェア検知サービスは、たとえば以下のようなニーズを抱えた企業が利用するのに適しています。
マルウェア検知業務を完全にアウトソーシングする形で24時間365日の継続的な検知を依頼することももちろん可能ですが、料金が比較的高価ということもあり、1~3カ月程度の短期的な利用や、外部から攻撃を受けた恐れがある際などにスポットで利用するケースも多いようです。
マルウェア検知サービスをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
既に述べたように、マルウェア検知にはいくつもの技術や仕組みが利用でき、組み合わせ方なども考えると無数のバリエーションが考えられます。セキュリティベンダーによって利用する技術やツール、対象範囲などサービス内容は大きく異なります。
一例として、あるマルウェア検知サービスの場合、以下に示す4段階のステップでマルウェアを検知して分析を行います。
これらの分析・検知は、以下のような提供形態のもと実施されます。
また、単に設置したサンドボックス装置を通じてマルウェアを自動的に検知するだけでなく、検知したマルウェアについて同社のセキュリティエンジニアが知見に基づき危険度を判定して報告するなど、手動による調査や分析にもオプションで対応しています。サービスの提供期間についても、スポットでの検知から継続的な検知(1~3カ月単位での更新)まで柔軟に対応しています。
マルウェア検知サービスは、その提供形態により大きく「オンサイト型」と「リモート監視型」の二つのタイプに分けられます。
オンサイト型(スポット型あるいはワンショット型などとも呼ばれます)サービスは、セキュリティベンダーのセキュリティエンジニアやアナリストがサービス契約企業を訪問して、サーバーなどの調査対象機器や社内ネットワークにマルウェアが侵入していないかを直接調べるというものです。外部からの攻撃の兆候があったり、標的型攻撃のメールとおぼしき不審な添付ファイル付きメールが社内のユーザー宛てに届いたりした際に、1回限りで集中的にマルウェアを見つけたい場合などに利用されます。
リモート監視型サービスは、社内ネットワーク上にセキュリティベンダーが貸し出す専用のセキュリティ機器を設置あるいはPCなどにエージェントソフトを導入し、通信パターンや振る舞いなどからマルウェアの侵入を監視するというものです。疑いのある通信パターンなどが見つかった際には、即座にリモート(遠隔)で監視をしているセキュリティベンダーに通知が飛び、実際にマルウェアであると判断された場合は管理者に連絡が入ります。並行してセキュリティベンダー側ではマルウェアの解析が実施され、サービスによっては後日詳細なレポートなども提供されます。
ただし、多くのマルウェア検知サービスは、利用を希望する企業のシステムやネットワーク構成、規模、利用期間(スポット利用/短期や定期的な利用/ 24時間365日監視)などの要件に合わせて導入するセキュリティ機器の台数や構成、設定内容、監視体制などを決めるのが普通で、料金も含めて個別に細かく相談した上で導入するカスタムメイドのサービスとして提供されます。
このため、オンサイトかリモートかといった話はあまり重要ではなく、どのようにマルウェアを検知したいのかという希望をベンダーに伝え、それが実現可能かどうかを確認することが重要です。サービス提供会社によっては、オンサイト型もリモート監視型も実施可能で、期間なども相談して決められるようになっています。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:Symantec Endpoint Security公式Webサイト)
エンドポイントに関する世界的なセキュリティ対策製品「Symantec Endpoint Protection(SEP)」のマルウェア対策機能に、防御機能を追加したサービス。社内外にあるデバイスをクラウドベースのセキュリティ管理コンソールで一元管理可能。
エンドポイントへの侵入・感染を防ぐためのEPP機能に長けたSymantec Endpoint Security Enterprise(SES-E)と、侵入・感染後の被害を最小限に食い止めるEDR 機能を搭載したSymantec Endpoint Security Complete(SES-C)の2つで構成。
SES-Cでは、エンドポイントの活動状況をみてイベントを検出する「フライトデータレコーダー機能」、機械学習等で分析して脅威を検知する「振る舞いフォレンジックス機能」、標的型攻撃と思われるような攻撃を検出し、専門アナリストがインシデントを分析してくれる「標的型クラウド分析機能」など多彩な機能を用いて、標的型攻撃を高精度で検出可能。攻撃の全体像や感染経路を可視化できる。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:SentinelOne公式Webサイト)
全世界で数千社が利用する、イスラエル発の自律型AIエンドポイントセキュリティプラットフォーム。対策実行型XDRによって、通常のパターンマッチングでは検知できないランサムウェアも悪意ある振る舞いとして検知。阻止するだけでなくファイル復元など修復も可能。管理コンソール集中型ではなく、マシン分散型のため、あらゆるロケーションや通信環境に対応できるのもポイント。
なお、同社では、標的型サイバー攻撃などに対抗するための「Cybereason」も合わせて提案可能。導入時の設定登録やインシデントの検知・対応などの運用代行などSOC(人的支援)も用意されており、状況に応じて最適解を提供してもらえるのも心強い。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:LANSCOPE公式Webサイト)
未知の高性能なマルウェアに対しても、高い検知率で対策できるアンチウイルスソリューション。用途に応じて選べる2つのAIアンチウイルスソフトと、安心の国内サポート体制が特徴。企業のセキュリティ対策にかかる負担を軽減する。
同社のIT資産管理ツール 「LANSCOPE」と連携したい場合やEDR要件への対応を希望する場合は「CylancePROTECT」、WindowsやMacOS、iOS、Androidなどの様々なOSや、EXE ファイルのほか、WordやExcel など幅広いファイルタイプに対応したい場合は「Deep Instinct」がおすすめ。いずれも定義ファイルを使わないため、シグネチャの更新は不要。運用時のCPU負荷も抑えることができる。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:Harmony Endpoint公式Webサイト)
サイバーセキュリティの領域では世界トップクラスを誇る同社が手掛けた総合エンドポイントセキュリティ。感染を防ぐためのセキュリティ対策から、感染後の対策・調査までオールインワンで対応可能。
たとえば、フィッシングサイトを検知した場合はフォームへの認証情報の入力をブロック。更にURLフィルタリング機能で有害なサイトへのアクセスを未然に防ぐこともできる。たとえ感染した場合でも「どのような経路でマルウェアが侵入して、どこまで感染したのか」を明らかにできるため早急な復旧・原因調査が期待できる。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:Jamf Protect公式Webサイト)
既知のマルウェアの起動を防ぎ、セキュリティイベントを可視化するMac特化型のエンドポイントセキュリティソリューション。AppleのエンドポイントセキュリティAPIやその他のmacOS/iOSネイティブフレームワークを使用することで、最新OSに即日対応。リリース当日から万全のサポートを受けることで、セキュアな環境を実現する。また、休止状態のマルウェアやMicrosoft Windowsに関連するマルウェアを除外してスキャンすることでPCの負荷を軽減し、ユーザーの生産性を担保しながらMac標的攻撃を検知・修復できるのも強みだ。
その他、ダッシュボード上にエンドポイントの健全性を表示することや、SIEMへのレポーティングなどにも対応可能。リスクの最小化も実現する。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:Heimdal セキュリティスイート公式Webサイト)
EPP・EDR、サンドボックス、eメールセキュリティなど、様々な機能を備えたセキュリティソリューション。組み合わせて利用するのはもちろん、「ここを強化したい」などの希望に応じて個別で導入することも可能。
マルウェアに関しては次世代アンチウイルスとランサムウェア暗号化防御機能を搭載。悪意のある動作を検知する仕組みのため、未知のマルウェアに対しても対策を取りやすい。疑わしいファイルはサンドボックスで検証可能。たとえ、侵入された場合でもマルウェアがファイルを暗号化しようとする試みを素早く特定して排除。感染拡大を最小限に食い止めてくれる。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:InfoCIC マルウェア検知サービス公式Webサイト)
サンドボックスを搭載した米FireEye社の統合セキュリティ機器「FireEye NXシリーズ」(Web MPS)と、標的型攻撃などを検知できるメールセキュリティソリューション「FireEye EXシリーズ」を利用して、Webやメール経由でのマルウェアの侵入を検知するサービス。Webのコンテンツやメール添付ファイルの形で入ってくるマルウェアをサンドボックス内で動的に解析して検知できる。
ログを分析し、マルウェアの疑いがあるファイルや、マルウェアの活動と考えられる通信を検出した場合、専用のポータルサイトや電子メールなどにより通知する。検出したマルウェアについては同社監視センターでの動的解析に加えてFireEye社での解析結果を合わせて報告。また、セキュリティ関連の情報や機器で検出したセキュリティインシデントの情報をまとめて月次レポートとして提供する。
(出所:モダンマルウェア検知公式Webサイト)
エージェントソフト導入型のマルウェア検知サービス。米Lastline社の検知技術と、ブロードバンドセキュリティが持つセキュリティ運用のノウハウや分析技術を組み合わせることにより、高精度にマルウェア検知を実現できることを売りとしている。
社内ネットワーク上で稼働するサービスエージェントでトラフィックを監視し、マルウェア特有の通信パターンをデータベースとの照合やその振る舞いなどから検知する。未知のマルウェアの可能性がある検体について、同社のクラウド基盤上にあるサンドボックスで分析する仕組みも用意している。同サンドボックスは、独自開発のエミュレータ方式によるシステムコールの検査にも対応しており、I/Oや通信内容のみを検査する一般的なサンドボックスと異なり、サンドボックスを回避するタイプのマルウェアに対しても有効性を発揮する。
(出所:マルウェア検知・対処支援サービス公式Webサイト)
専用のモニタリング装置を使った遠隔監視型のマルウェア検知サービス。トレンドマイクロの検知技術を使い、成りすましメールを用いた侵入や感染後の外部へのデータ送信など、通信の振る舞いをモニタリングすることで未知のマルウェアを検知する。
ルールベースのマルウェア検出に仮想環境を用いた動的解析を加えた多段解析により、マルウェアを含む多様な脅威を分析できる。検知した脅威の内容については、相関分析などを加えて管理者が判断/対処しやすい形で報告する。発見したマルウェアの駆除支援なども実施。
(出所:新種マルウェア対策支援サービス BitDam公式Webサイト)
ビデオ会議アプリやクラウドストレージ、クラウドメールを狙ったマルウェアに特化した検知サービス。これらのアプリの正常な実行フローを事前登録し、マルウェアの実行フローと比較するホワイトリスト方式により、既知・未知、種類を問わずマルウェアを検知できる。
上記ホワイトリスト方式によるマルウェア検知の仕組みに加えて、主にEmotet対策としてメールで受信したマルウェアを検知し、ユーザーに届く前に削除する機能なども備える(パスワード付きZIPファイルにも一部対応)。対応するアプリ/サービスはZoomやTeams、OneDrive、SharePoint、Google Workspaceなど。
ひとたび侵入され感染を許してしまうと企業に甚大な損害をもたらすマルウェアの感染被害を防ぐには、ウイルス対策ソフトをはじめとする各種セキュリティツールや技術を組み合わせた多層防御が欠かせません。しかし、最近では標的型攻撃をはじめとする攻撃技術の進化により、多層防御の仕組みをくぐり抜けて未知のマルウェアに感染するリスクが高まってきており、感染を未然に防ぎ切ることが困難になりつつあります。
このため、マルウェア対策としては、多層防御の仕組みを使って侵入や感染を極力食い止めつつ、万一感染した場合はいち早くこれを検知して被害を最小限に食い止めることが重要です。マルウェア検知サービスは、高度なセキュリティ知識を有するセキュリティエンジニアによる監視と運用の下、サンドボックスなど最新のセキュリティ技術とツールを駆使して未知のものも含むマルウェアを高精度に検知する仕組みを提供します。特に高度なセキュリティ知識を持つ人材が不足している企業にとって、マルウェア検知サービスは導入を検討してみる価値が十分あると言えるでしょう。
ただし、利用に当たっては、自社のどんなシステムや情報を守りたいのかといった監視対象や適用範囲、スポットでの利用か、それとも24時間365日の監視をしたいのかといった期間などについて、ある程度方針を固めた上でベンダーに見積もりや相談をすることをお勧めします。比較的高価なサービスだけに、むやみやたらに監視対象を増やしても、コストがかさむだけでそれに見合う効果が得られない可能性が高まるからです。
また、万一マルウェアに感染した後のアクションプランについても、ベンダー任せにせず、少なくとも大枠は自社であらかじめ策定しておくとよいでしょう。本記事の内容がマルウェア検知サービス導入の検討に少しでもお役に立てれば幸いです。
マルウェア検知サービスをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
Symantec Endpoint Security|インタビュー掲載
EPP・EDRに先進防御を備えたエンドポイントセキュリティサービス。クラウド管理で社内外にあるPC やモバイルデバイスを一括管理可能(オンプレミスとのハイブリッ...
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
全世界で数千社が利用する自律型AIエンドポイントセキュリティプラットフォーム。ツール提供だけでなく、導入時の設定支援、導入後の運用代行も対応可能。社内に専門人材...
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
導入実績1,600社以上。用途に応じて選べる2つのAIアンチウイルスソフトと安心の国内サポート体制が特徴のセキュリティ対策サービス。定義ファイルを使わないため、...
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
EPPとEDRを兼ね備えた総合セキュリティ。脅威対策や不正アクセス防止等の感染を未然に防ぐ対策から、感染後の対策・調査までHarmony Endpointひとつ...
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
EDRとEPPを兼ね備えたMac特化型のエンドポイントセキュリティ製品。あらゆるマルウェアの起動を防ぎ、セキュリティイベントを可視化。Mac標的攻撃を効果的に検...
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
100ライセンス〜向けのクラウド型サイバーセキュリティ製品群。統合化されたAI技術により、ランサムウェア、外部脅威、内部脅威、電子メールの侵害を含む、あらゆるサ...
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
このページの内容をシェアする
アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。
サービスの導入検討状況を教えてください。
ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。
