防御だけじゃない！検知と対応も可能な次世代型アンチウィルス「Cb Defense」とは？

　実際にマルウェア対策というと従来のアンチウィルスの延長となるため、既知のマクロや実行ファイルなどのファイルベースの脅威に対して防御する。しかし「Cb Defense」では全てのアクティビティを監視し、その流れで未知のファイルベースの脅威や、ファイルレスな防御まで可能な「ストリーミングプリベンション」を実装している。佐藤氏はストリーミングプリベンションについて「従来のように点ではなく線で防御します」と表現する。 　

　子どものいたずらを脅威としてイメージしてみよう。手にクレヨンを持ち、塗り絵をしている。一通り塗り終えて、テーブルの上にはもう紙がない。まだ塗り絵で遊びたいという表情をしている。子どもは周囲に目を向ける。そしてクレヨンを手に白い壁に向かい歩き出す。……ここまで来たら、保護者なら「次はクレヨンで壁に描く」と察知して子どもの動きを止めるだろう。これが流れで動きを追うということだ。 　

　従来型マルウェア対策だとあらかじめ脅威を定義し、脅威かどうかを検知する。子どもの例なら「クレヨンではなく“ナイフ”を持っている」又は「子どもではなく“指名手配された悪人”である」などだ。一方、ストリーミングプリベンションは脅威ではない通常のアクティビティも含めてずっと監視しているため、保護者が子どもの動きを止められるように事前に脅威の兆候を検知して攻撃をリアルタイムに防御できる。

　より具体的に言うとストリーミングプリベンションではリアルタイムセンサーでWebの閲覧やPowerShell起動などの情報を常に収集し、各イベントにタグ付けをして、相関分析を行うことで脅威にスコアをつける。これをリアルタイムで処理していく。閾値を超えたところで脅威とみなし、実際の攻撃が発動する前に防御できる。そのため「Cb Defense」では従来のシグネチャを用いた防御に加え、ストリーミングプリベンションで未知の脅威も防御できる。

防御だけではない！検知から復旧までの対応もできる

　次に脅威の検知と対応を行うEDR機能について見ていこう。ガートナーの定義によるとEDRに必要な要素は次の4つの流れとなる。脅威の「検知」、端末の隔離など「封じ込め」、全エンドポイントを対象に影響範囲の「調査」、攻撃を受けた端末の「復旧」を支援する。「Cb Defense」はこれらの全てのEDR機能が実装されている。

　「Cb Defense」の管理者画面ではイベントごとにスコアが表示されており、どのような脅威が現在進行形で起きているかを監視できる。イベントはドリルダウンで詳細を確認できるようになっており、エンドポイントにてどのようなアクティビティが行われたかを時系列で把握したり、タグからどのような攻撃かを調査できる。 　

　最後に佐藤氏は「Cb Defenseではこれまで防御しきれなかった未知の脅威への対策ができることに加えて、万が一すり抜けてしまった攻撃に対して検知から復旧までの対応も可能となります。これからはEPPとEDRの両方の機能を兼ねそなえた製品が必要になります。Cb DefenseはEPPとEDRの両方を実現可能な唯一の、真の次世代アンチウィルス製品です」と特徴を強調した。