TOP
コラム
「振る舞い検知」とは？未知の脅威対策に必要不可欠！

「振る舞い検知」とは？未知の脅威対策に必要不可欠！

2022.03.25

INDEX

コンピュータウイルス対策は「サイバー戦争」と言われる次元に突入

コンピュータウイルス対策には、セキュリティソフトを入れているから大丈夫、と安心している方も多いのではないでしょうか。実際にはセキュリティソフトも万能ではないため、何も知らないまま適当な製品を入れただけでは、万全な対策にはならないのが現実です。現在、コンピュータウイルスを通じて利益を得ようとするサイバー犯罪者達と、情報セキュリティを守る側との戦いは、もはや「サイバー戦争」と言われるほど熾烈な状態にあります。そんな中で経営の安定を図るために、ウイルス対策として導入するセキュリティソフトに「振る舞い検知」と呼ばれる機能が必要とされています。その理由はなぜなのでしょうか、そして振る舞い検知とはどのような機能なのでしょうか？

コンピュータウイルスは1日に数十万種も作られている

コンピュータウイルスは、コンピュータオタクあるいは凄腕ハッカーのような個人によって密かに作られているのをイメージするかもしれませんが、それは昔の話です。現在のサイバー犯罪は組織的な「闇ビジネス」化していて、ウイルス開発キットを作る者、そのキットでウイルスを作って販売する者、それを使ってサイバー攻撃を行う者、不正送金されたお金を回収する者など複数の専門家が分業する体制になっています。ウイルス開発キットを使うと、技術的な知識がなくても簡単にウイルスを作れてしまうため、ウイルス作者のすそ野は一気に広がってしまいました。また、「闇ビジネス」化により、それで金銭を得られる仕組みが整ったため、サイバー犯罪者側がウイルス作成に励む動機づけが生まれ、それに専念するようになり、急速に技術開発が進んでいます。その結果起きているのが、新種／亜種のコンピュータウイルスの爆発的な増加です。「新種」はまったく新しいもの、「亜種」は既存のウイルスに若干手を加えて変化させたものを指しますが、本記事では合わせて「新種」と呼びます。 2000年頃までは「1年に十万種」程度の新種ウイルスが発見されていましたが、現在そのペースは「1日に数十万種」に激増しています。セキュリティ対策ソフトもそのすべてに対応するのは困難な状況であり、PCがウイルスに感染する前に確実に発見・駆除するのは、難しくなりつつあるのが現実です。

「振る舞い検知」方式はプログラムの「動き」を元にウイルスと判断する

そのような新種ウイルス激増の時代に求められているのが、「まったく新しい未知のウイルスにも対応できるセキュリティ」です。そしてそのために開発されたのが「振る舞い検知」という技術で、ウイルスがPC内で動く際には正常なプログラムとは違う、ウイルス特有の動作をすることを手がかりに検知する方法です。たとえていうなら、小売店から商品を盗もうとする窃盗犯は店員や防犯カメラの位置を気にするもので、正規の客とは違った動きをします。そこで現在では、画像認識技術でそのような動きを検出し、警告を発する防犯カメラシステムも開発されています。コンピュータウイルスに対する「振る舞い検知」もこれに似ていて、プログラムが実際に動くときの動作、「振る舞い」からウイルスと判断します。

「振る舞い検知」がまったく未知のウイルスにでも対応できる理由とは？

セキュリティソフトがウイルスを検知する方法としては、パターンマッチ方式と呼ばれるものが最も歴史が古くスタンダードです。「振る舞い検知」方式は比較的新しい仕組みのため、ソフトによっては対応していないものもあります。パターンマッチ方式は、新しいウイルスを発見したらそれを解析して、その中の特徴的な「パターン」を登録しておき、ファイルを検査して同じパターンがあればウイルスと見なすという、いわば「指名手配リスト」型の方式です。「検査」は、PCにファイルが出入りするときの他に、PC内にすでに存在するファイルもすべて定期的に行われます。指名手配のパターンを集めたものをパターンファイルと言い、セキュリティソフトの開発元が提供します。すでに発見されて解析済みのウイルスについては非常に高い精度で検知できますが、新種のウイルスは発見できないという弱点があります。現在のウイルスは、このパターンマッチから逃れるために、検出される「パターン」の部分を分割したりウイルス本体を暗号化したりするなど、さまざまな方法を駆使しています。窃盗犯にたとえるなら、顔写真入り手配書が出回るようになったので、変装して手配を逃れるようなものです。しかし、窃盗犯が変装で顔を隠したとしても「商品を盗む」という動作そのものをやめることはできないように、ウイルスも外部のサーバーと通信したりファイルを暗号化したりといった、ウイルス動作そのものを取りやめることはできません。それが、「振る舞い検知」方式でまったく未知のウイルスにでも対応することができる理由です。

もっと知りたい！ "ランサムウェア・Emotet　セキュリティ対策チェックリスト" はコチラ >>

すべての病気に効く薬はないように、振る舞い検知技術にも弱点がある

とはいえ、振る舞い検知も万能ではありません。パターンマッチ方式に比べると、「誤検知」という、正常なプログラムを誤ってウイルスと判断してしまうケースが増える傾向があります。原理的にウイルスを動作させてからでないと検出できないため、ランサムウェアのようにファイル暗号化やシステム破壊を起こす種類のウイルスではある程度被害が起きることは防げません。また、振る舞い検知方式では常時セキュリティ対策ソフトを動かし続ける必要があり、CPUやメモリの負荷も重くなります。

ウイルス対策分野でも進みつつある機械学習（AI）技術の応用

近年さまざまな分野で応用が進むAI、機械学習／人工知能系の技術は、当然セキュリティ対策の分野でも使われています。ウイルス検知というのは、プログラムをさまざまな側面から調べて、総合的に「ウイルスの疑いが高い／低い」という判断をする技術です。これはもともと「クラス分類」というAIの典型的な応用分野のひとつであり、以前から研究が進んでいます。振る舞い検知方式、パターンマッチ方式ともAI技術が利用されていますが、AIを応用してウイルス検出の精度を向上させるためには、大量のウイルス検体データが欠かせません。このため、ウイルス対策セキュリティソフトの性能は、いかに多種類のウイルス検体を入手し、解析できるかに大きく左右されます。

ウイルス対策手法の1つレピュテーション技術とは？

また、振る舞い検知で未知の脅威を強力に防ぎつつ誤検知を減らすためには、レピュテーションという技術が有効であることが知られています。レピュテーションとは「評判」を意味する言葉で、セキュリティソフトの検査対象のファイルやWebサイトに関する「評判」をクラウド上に蓄積してウイルス検知の手がかりとするのが、レピュテーション技術です。これによって、パターンマッチや振る舞い検知だけでは白黒をつけづらいグレーゾーンのウイルス判定を、より高精度で行うことができるようになります。

急激なDX推進でセキュリティが確保できていない場合の対応策

次に急激なDX推進でセキュリティが確保できていない場合の対応策について解説します。

「対岸の火事」「他人事」ではなく「自分事」としてセキュリティに取り組む

アナログなやり方で通用してきた業界や業種においても、デジタルへの変革に遅れをとるという焦りから、急激なDX推進に発展しています。そのため、アナログのままであれば無関係だったサイバー攻撃との関係性が生じてしまったのです。対岸の火事や他人事という認識のままでは、悪意のある第三者のサイバー攻撃を防ぐことはできません。前提として「サイバー攻撃はIT化やデジタル化に伴う弊害」であると認識し、自分事としてセキュリティに取り組むことが大切です。

取引先や顧客に間接的な被害を与えることを自覚する

サイバー攻撃は直接的に被害や損害を与える手法だけではありません。実際にサプライチェーン攻撃や標的型攻撃という手法によって、間接的に取引先や顧客に被害や損害を与える可能性が高くなるのです。例えば、「うちの会社には狙われるような情報はないだろう」と安易に考えてしまい、セキュリティを怠ったとします。セキュリティが甘いためにマルウェアに感染すれば、取引先や顧客に感染させてしまう恐れがあるのです。自社が被害や損害を与えた感染源となれば、当然、信用を失い、結果的に利益や売上、既存の顧客も失ってしまいます。取引先や顧客に被害や損害を与えてしまうことを自覚すること、同時にセキュリティに注力すること自体が、自社を守ることにつながると理解しておきましょう。

セキュリティに人材・お金・時間をしっかりと投資する

セキュリティの必要性や重要性を理解したら、次はセキュリティに投資する段階になります。「無料ソフトとかで、パソコン使える人に任せれば良いだろう」という意識ではセキュリティを確保することはできないので注意してください。セキュリティを確保し、強化するためには人材・お金・時間が必要です。セキュリティ製品への投資、セキュリティ基盤を維持運用するための人材への投資、情報システム部やセキュリティ担当がセキュリティに専念できる時間の確保などが挙げられます。直接的および間接的にサイバー攻撃による被害や損害を発生させないために、必須の投資であると理解して、しっかりとした計画・予算組み・維持運用することが大切です。

DX推進の前に、セキュリティを確保することを優先する

DX推進のためのIT技術やデジタル化に関するシステムやツール、ソフトウェア自体にもセキュリティ性が確保されるような仕組みはあります。しかし、人間が利用する以上、完璧なセキュリティを実現することは難しいのが現実です。なるべくなら、DX推進の前にシステム的なセキュリティ基盤、維持運用する人材を確保することを優先し、デジタル化やオンライン化に備えることをおすすめします。セキュリティを軽視したために、DX推進の弊害であるサイバー攻撃を招いてしまう可能性が高まることを忘れないようにしましょう。

セキュリティの不安から、DX推進を避けないことも重要

セキュリティに不安があると、DX推進をしなければ良いと考えてしまう可能性があります。しかし、「サイバー攻撃が怖いから、デジタル化はやめよう」と極端な結論に陥ってしまうのは危険です。なぜなら、前述したように業界や業種問わず、DX推進が注目される中、アナログなままではIT格差によって淘汰されてしまう可能性があるからです。実際に伝統産業のような業界、業種においても、WebマーケティングやECプラットフォームによるDX推進技術を利用したことで、需要と供給をつないで存続に結びついたケースも存在します。言い換えれば、DX推進ができず、新規顧客は販路拡大できずに存続できなかったケースもあるということです。企業や組織として存続するため、従業員とその家族を守るためにも、セキュリティを確保した上で、着実にDX推進することをおすすめします。

各種IT技術やデジタル化に対応できるセキュリティ製品を選ぶ

システム的なセキュリティ基盤を構築するには、セキュリティ製品の導入が必要不可欠です。同時に、各種IT技術やデジタル化に対応できるセキュリティ製品を選ぶことで、さらにセキュリティ強化につながります。また、セキュリティ人材の雇用・育成を進めるためにも、システム的なセキュリティ基盤を構築しておく必要があります。「セキュリティ人材がいれば何とかなる」という精神論や根性論ではセキュリティ性は確保できないと覚えておきましょう。

「振る舞い検知」とともにおすすめしたいセキュリティ関連の技術や仕組み

次に振る舞い検知とともにおすすめしたいセキュリティ関連の技術や仕組みをご紹介します。

エンドポイントセキュリティ

エンドポイントセキュリティとは、企業や組織で従業員が利用する端末（デバイス）のセキュリティ性を高める考え方や仕組み、技術です。エンドポイントのセキュリティ性を高めることで、マルウェアに感染したり、不正操作および内部不正を防ぐことにつながります。例えば、当社の提供する「AssetView Vplus（エンドポイントセキュリティ）」では、振る舞い検知とともに、パターンファイルマッチングやヒューリスティック分析などの仕組みを導入することで、高い確率でマルウェアおよび不正操作を検知することが可能です。

VPNセキュア・不正PC遮断

VPNセキュアとは、社内や組織内のネットワークをVPNで利用する際のセキュリティを強化できる仕組みです。不正PC遮断とは、許可していないデバイスをネットワークに接続させない仕組みであり、悪意のある第三者による乗っ取りやなりすましを防ぐことができます。前項のエンドポイントセキュリティと組み合わせることで、デバイス自体のセキュリティとネットワークのセキュリティの強化につながり、外部からのサイバー攻撃による被害や損害を受けにくくなるでしょう。

PC操作ログ管理・メール監視/分析・画面操作録画・Webフィルタリング

外部からのサイバー攻撃だけでなく、内部不正への対策として、PC操作ログ管理・メール監視/分析・画面操作録画・Webフィルタリングがあります。デバイスを利用する際の作業や業務を監視・管理することで、さらにセキュリティを強化できるのです。これらは従業員が内部不正を起こしにくくなるだけでなく、うっかりミスやヒューマンエラーによるセキュリティインシデントの防止にもつながります。同時に透明性を確保できるようになるため、従業員が安心・安全に作業や業務に集中できるのも利点です。

PC更新管理・デバイス制御

セキュリティ対策の基本であるPC更新管理もサイバー攻撃への抑止につながります。OSやソフトウェアを最新の状態に保つことで、脆弱性やセキュリティホールを狙ったサイバー攻撃を防止する効果が得られるのが理由です。いわゆるIT資産管理という考え方、仕組みでもあり、ソフトウェアとハードウェアの両面からデバイスのセキュリティを高めることでもあります。同時にデバイスを制御する仕組みがあれば、情報システム部やセキュリティ担当がその都度、席を離れることなく、遠隔（リモート）でデバイスを管理できるようになるのでおすすめです。

ファイル暗号化・個人情報検索

企業や組織における事業活動で生じた情報を、資産とみなす考え方である「情報資産管理」についても知っておきましょう。日頃からファイル暗号化によって機密情報や個人情報を暗号化しておけば、情報漏えいや内部不正、データ改ざんによる被害および損害の抑止力になります。同時に、データの利便性を損ねず、安全性を確保する方法に個人情報検索というものがあります。個人情報を含むデータについて、いつ・どこで・だれが・何をした、という情報が把握できるようになるため、内部不正やうっかりミス、ヒューマンエラーとともに、なりすましや乗っ取りへの対策にもつながるでしょう。

まとめ：ウイルス対策はさまざまなセキュリティ技術の総合力が問われる分野

コンピュータウイルスがこの世に登場したのは数十年前ですが、2000年以後の10数年間で、サイバーセキュリティに関する環境は劇的な変化を遂げました。機密情報の入手や脅迫を通じて不正な利益を狙うサイバー犯罪は、高度な技術を駆使する専門家がゆるやかにつながった組織的な犯罪と化しています。それに対抗するためには、守る側もPCを未知の脅威から防ぐ「振る舞い検知」を含むさまざまなセキュリティ技術を駆使していかなければなりません。ウイルス対策はセキュリティの総合力が問われる分野なのです。おすすめした各種セキュリティ技術については、当社の提供する「AssetViewシリーズ」で実現可能であり、セキュリティの総合力を高めることが可能ですので、ぜひともこの機会にご相談、お問い合わせください。

もっと知りたい！ "ランサムウェア・Emotet　セキュリティ対策チェックリスト" はコチラ >>