ランサムウェアや標的型攻撃によって、企業の機密情報が奪われ、業務が完全にストップしてしまう事態が日本国内でも相次いでいます。

USEN ICT Solutionsが運営する「サイバーセキュリティラボ」でも最新のインシデントニュースを発信していますが、ランサムウェアによる被害や、実際に情報が漏えいしたインシデントは多く確認されています。

ハイブリッドワークが定着し、働く場所の制約がなくなった一方で、企業のセキュリティリスクは複雑化しています。かつて主流だった「境界防御」は、オフィス外でのPC利用が前提の現在、その有効性を失いつつあり、実際に多くの企業でインシデントが発生しています。

このような背景から、攻撃の標的となるPCなどの「エンドポイント（端末）」そのものを保護する対策が、企業の重要課題となっています。

そこで今回は、セキュリティ対策の基本である「アンチウイルス」について、その仕組みから最新の「次世代型（NGAV）」への進化までを解説します。ぜひ参考にしてください。

<この記事でわかること>

アンチウイルスとは、一般的にPCやサーバーなどのデバイス（エンドポイント）をマルウェアの脅威から保護するためのソフトウェアを指します。「ウイルス対策ソフト」とも呼ばれます。

現代において、この言葉は単に「コンピュータウイルスを取り除く」という意味を超え、より広義な「マルウェア対策」を指す言葉として定着しています。厳密には「ウイルス」は、悪意のあるソフトウェア（マルウェア）の一種に過ぎません。しかし、一般的には以下の標的すべてを防御するツールを「アンチウイルス」と呼びます。

これら多種多様な脅威から、PCやサーバーといった「エンドポイント」を保護するのがアンチウイルスの役割です。

「エンドポイントを保護するソフト」という意味では、EDRもアンチウイルスのなかに含まれるかもしれませんが、ここでは「アンチウイルス＝従来型のウイルス対策ソフト」としては解説します。

アンチウイルスとEDR（Endpoint Detection and Response）は、どちらもエンドポイントセキュリティとして重要ですが、役割が明確に異なります。

どれほど高度なアンチウイルスであっても防御率100%はあり得ず、脅威が検知をすり抜けて侵入する可能性は常に残ります。 そのため、現代ではアンチウイルス（防御）とEDR（事後対応）をセットで導入し、万全の体制を築くことが法人セキュリティの最適解とされています。

ちなみに最近では、EDRに対応する形でアンチウイルスを「EPP（Endpoint Protection Platform）」と呼ぶこともあります。特に、法人向けの集中管理機能を持ち合わせているアンチウイルスをEPPと言い換えることが多いです。

「市販の個人向けソフトの方が安いし、それで十分では？」という疑問を抱く方も少なくありません。しかし、法人向け製品にはビジネスの安全性と継続性を担保するための特有の機能が備わっています。

個人向けは「各PCが自分で自分を守る」仕組みですが、法人向けは管理者が「どの社員のPCが感染したか」「最新の定義ファイルが適用されているか」をひとつの画面で把握できます。

「このソフトは実行禁止」「USBメモリの使用は制限」といったセキュリティルールを、全社員のPCに一括で適用できます。

法人向けは、後述する「振る舞い検知」や「AI解析」の精度が個人向けより高く設定されている場合が多いです。

障害発生時や感染疑いがある際、専任のエンジニアによる迅速な技術支援を受けられるのも法人向けならではのメリットです。

^{※これらの機能やサポート範囲は、一般的な法人向けエンドポイントセキュリティ製品を想定したものです。製品やプランによって利用できる機能の範囲やサポート内容は異なります。検討時には各製品の仕様を必ずご確認ください。}

アンチウイルスソフトが「これはウイルスだ」と判断するまでには、いくつかの異なる検知技術が組み合わされています。主に「パターンマッチング方式」「ヒューリスティック・ビヘイビア検知」「クラウド型検知」の3つのフェーズで構成されていることが一般的です。

それぞれの特徴を見ていきましょう。

最も伝統的で、現在も基本的な防御として用いられているのが「パターンマッチング方式」です。

これは、過去に見つかったウイルスの特徴的なデータをデータベースに登録し、スキャン対象のファイルと照合することで、一致した場合にウイルスと識別する仕組みです。

一度登録された「既知のウイルス」に対しては、100％に近い精度で、かつ非常に高速に検知・駆除が可能です。誤検知（無害なファイルをウイルスと間違えること）もほとんどありません。

登録されていない新種のウイルス（ゼロデイ）や、既存のウイルスのコードを一部書き換えた「亜種」には反応できません。毎日数十万個の新種が発生する現代では、この方式だけでは「後手に回る」ことになります。

パターンマッチングの弱点を補うために開発されたのが、この「振る舞い検知」です。

ヒューリスティック検知（静的解析）は、実行前のファイルを解析し、「このプログラムの構造は、過去のウイルスと作り方が似ているな」と予測して検知します。

ビヘイビア検知（動的解析）は、プログラムを実際に実行させてみて、「レジストリを勝手に書き換える」「大量のファイルを暗号化し始める」「外部の不審なサーバーに勝手に通信する」といった、ウイルス特有の「動き（振る舞い）」を見せた瞬間にブロックします。

データがまだ存在しない「未知のマルウェア」や、ファイルを持たない「ファイルレス攻撃」を検知できる可能性が格段に高まります。

「怪しい」という判断基準が難しいため、稀に正規のソフトをウイルスと誤認して止めてしまう（誤検知）ことがあります。

近年主流となっているのが、PC上のソフトだけでなく、クラウド上のデータベースと連携する仕組みです。

世界中で利用されているアンチウイルスソフトが、新種の疑いがあるファイルを見つけると、その情報を即座にベンダーのクラウドサーバーへ送信します。クラウド上の強力なAIや専門家がそれを解析し、即座に全ユーザーに「これは危険だ」という情報を共有します。

従来のパターンファイルのように「数時間に一度の更新」を待つ必要がなく、数分・数秒単位の最新情報を反映できます。また、重い処理をクラウド側で行うため、PC本体の動作が重くなりにくいという利点もあります。

多くの企業がアンチウイルスを導入しているにもかかわらず、サイバー攻撃による被害報告は後を絶ちません。従来のパターンマッチングを中心としたアンチウイルスが、現代において「盾」として機能しづらくなっている理由は、主に3つあります。

従来のアンチウイルスは、PCの中に保存された「ファイル」をスキャンしてウイルスを見つけます。しかし、近年急増しているのが「ファイルレス攻撃」です。

そもそもスキャン対象となる「悪意のあるファイル」がHDD内に存在しないため、従来のソフトには「調べる対象」が見えません。

かつて、新しいウイルスが作られるペースは人間が解析できる範囲内でした。しかし現在、攻撃者はAIを駆使して、既存のウイルスのコードを数秒ごとに書き換えた「亜種」を自動生成しています。

アンチウイルスベンダーがパターンファイルを作成してユーザーに配布するまでには、どうしても数時間から数日のタイムラグが生じます。AIによって1日に何十万、何百万と生成される亜種に対し、人間が作るデータベース更新では物理的に追いつくことが困難です。

現代の攻撃は、ウイルスを送り込む前段階として「ID・パスワードの奪取（フィッシング）」や「VPN機器の脆弱性」を執拗に狙います。

攻撃者が正規のIDを使ってネットワークに侵入し、正規のツールを操作している場合、アンチウイルスはそれを「正当な業務操作」とみなしてしまいます。ウイルスという「毒」が使われるのは、攻撃の最終段階（データの暗号化など）だけであり、それまでの潜入・探索フェーズではアンチウイルスは沈黙したままとなります。

サイバー攻撃がAIによって自動化・高速化される現在の環境において、企業の防御策としてスタンダードになりつつあるのがNGAV（Next Generation Anti-Virus）です。

NGAVは、従来のアンチウイルスが既知のウイルスを探すものだったのに対し、AIや機械学習、振る舞い分析を高度に組み合わせたセキュリティ製品です。

最大の特徴は、「それがウイルスである」という結論が出る前に、「その動きは危険である」と予測し、リアルタイムで悪意のある挙動（プロセス）を分析・遮断する点にあります。これにより、前章で述べた「ファイルレス攻撃」や「未知のマルウェア」に対抗することが可能になりました。

NGAVの技術的な仕組みや従来型との違いについて、より詳しく知りたい方は以下の記事をご覧ください。

NGAVへ移行することで、セキュリティ担当者は以下の恩恵を受けられます。

パターンファイルの更新を待たずに、未知の脅威を遮断できます。

クラウドベースの製品が多く、シグネチャ更新の手間や、スキャンによるPC動作の重延（パフォーマンス低下）が大幅に改善されます。

多くのNGAVには、ファイルの暗号化を検知した瞬間にプロセスを停止し、書き換えられたファイルをバックアップから即座に復元（ロールバック）する機能が備わっています。

市場には数多くの法人向けアンチウイルス製品が存在します。自社の運用体制やIT環境に適した製品を選ぶための、5つのチェックポイントを確認しましょう。

防御力が高いのは大前提ですが、同時に誤検知（正常なファイルをウイルスと判断すること）が少ない製品を選ばなければなりません。

自社で全ての検証を行うのは不可能なため、「AV-TEST」や「AV-Comparatives」といった第三者機関の評価を参照しましょう。これらの機関は、数千種類の最新マルウェアを用いたテスト結果を定期的に公開しています。

誤検知が多い製品を選定してしまうと、基幹システムの予期せぬ停止や、社内対応の急増による業務負担の増大など、実務面でのリスクを招く恐れがあります。

法人向け製品の最大のメリットは「一元管理」です。管理画面が使いにくいと、インシデント発生時の初動が遅れます。以下の点をチェックするようにしましょう。

「セキュリティソフトを入れたらPCが重くなった」という社員の不満は、生産性を低下させるだけでなく、勝手にソフトをオフにされるなどのリスクを招きます。以下の点をチェックするようにしましょう。

自社で利用しているOSのバージョンやデバイスの種類を網羅しているか確認が必要です。以下の点をチェックするようにしましょう。

「ウイルスに感染したかもしれない」という有事の際、どれだけ迅速かつ的確な支援を受けられるかが、被害を最小限に抑える鍵となります。また、企業の成長やリスクの変化に合わせて対策を強化できる「将来の拡張性」を見据えることも重要です。以下の点をチェックするようにしましょう。

「情シスマン」を運営するUSEN ICT Solutionsは、組織規模やセキュリティレベルに合わせた最適なエンドポイント対策をご提案しています。

AV-TEST の受賞歴もあるアンチウイルス「WithSecure」をエージェントとするマネージドのEPP／EDRサービスです。

エンドポイントのログをリアルタイムに収集・解析し、未知の脅威やサイバー攻撃の兆候をいち早く検知する、クラウド型の次世代エンドポイントセキュリティプラットフォームです。

エンドポイントだけでなく、多様なアプローチのセキュリティ対策をご提案可能です。「自社の対策が今のままで十分か不安」「どういった製品が適しているか判断できない」という方は、まずはお気軽にお問い合わせください。