次世代のアンチウィルス製品とはどうあるべきか
国立研究開発法人・情報通信研究機構(NICT)の調査によると、2016年に日本国内ネットワークに向けられたサイバー攻撃は1281億件。前年比2.4倍と急増しており、過去最高を記録した。この増加は一時的なものではなく、2020年のオリンピック・パラリンピックまで増加していくと見られている。さらなる警戒と対策が必要だ。
攻撃の多様化や高度化が進み、対策も進化していく必要がある。これまでのアンチウィルスあるいはエンドポイント対策製品は、一般的にパターンファイルと照合することで攻撃を検知する仕組みになっている。パターンファイルから既知の脅威かどうか調べてブロックするため、未知の脅威では防御しきれない。
これからのアンチウィルスはどうあるべきか。参考になるのが2016年にITセキュリティ教育機関となるSANS Instituteが発表した次世代型アンチウィルスの定義だ。それによると、次世代型アンチウィルスとは従来のアンチウィルスがしてきたような攻撃を防止することに加え、攻撃のコンテキストと可視化、クラウド分析と脅威インテリジェンスなどを加えたものになるという。攻撃の防止だけではなく、攻撃の背景や関連情報も把握できるものということだ。
一方、ガートナーは2017年1月にエンドポイントセキュリティ市場について将来予測を発表している。アンチウィルスなどエンドポイント防御のためのプラットフォームとなるEPP(Endpoint Protection Platform)市場と、脅威の検知と対応を行うEDR(Endpoint Detection & Response)市場が今後合流していくという。現在は別々の市場や製品だが、今後はEPPとEDRが統合されていくということ。先述したSAN Instituteの定義も合わせると、次世代型アンチウィルスとはEPP(防御)とEDR(検知と対応)の2要素を兼ねそなえたものになると考えられる。
EPPとEDRの2要素を持つカーボンブラック社「Cb Defense」
株式会社ネットワークバリューコンポネンツ プロダクトマーケティング部 佐藤佑樹氏は「現時点で次世代型アンチウィルスの要件を満たしているものはカーボンブラック社のCb Defenseのみ」と強調する。
株式会社ネットワークバリューコンポネンツ プロダクトマーケティング部 佐藤 佑樹氏
カーボンブラック社は日本ではなじみが少ないものの、実は海外では次世代エンドポイント市場を開拓した企業として実績と定評がある。2002年に設立したアプリケーション制御のBit9社がはじまりで、後にカーボンブラック社などの買収を経て成長してきた。2017年4月に日本オフィスをお披露目し、本格的に日本市場へと参入している。
カーボンブラック社の大きな特徴となるのが独自のクラウド「Cb Collective Defense Cloud」を保有していること。このクラウドにあらゆる情報を収集し、各種パートナーや専門家と情報を共有してエンドポイント防御に役立てている。このクラウドは防御の要であり、コミュニティのような役割も果たしている。
出所:株式会社ネットワークバリューコンポネンツ佐藤 佑樹氏、
Security Online Day 2017(主催:翔泳社)講演資料より[クリックすると図が拡大します]
佐藤氏はあらためてEPPとEDRを兼ねそなえた次世代型アンチウィルス「Cb Defense」の特徴を4つ挙げた。エンドポイントの全てのアクティビティを継続的に記録、マルウェアと非マルウェアの両方の攻撃を防ぐストリーミングプリベンション、検出した脅威に対してキルチェーンを可視化、検出から復旧までのセキュリティフローを一元化、これら4つとなる。
