高度なマルウェア対策とは？その概要と重要性

従来のマルウェア対策は、旧来のシグネチャベースのアプローチに依存していましたが、先進的なマルウェア対策では、人工知能（AI）や機械学習（ML）、行動検知を取り入れた多層的なアプローチを活用しています。行動検知とは、あるエンティティの行動を観察することで、そのエンティティが攻撃するかどうかを判断する技術です。また、高度なマルウェア保護ソリューションでは、承認されたエンティティを許可する技術であるホワイトリストやアローリストとエンティティのリストをブロックするブロックリストが使用されます。

高度なマルウェア対策のポイントは、多層的なアプローチにあります。これにより、マルウェアがシステムを攻撃する可能性を大幅に減らすことができます。なぜなら、マルウェアが1つの保護層を通過しても、別の検出層がそれを阻止する可能性が高くなるからです。これは、高度なマルウェア保護におけるマルチレイヤーアプローチの仕組みの一例です。

• 検知の最初のレベルは許可リストです。最初の検知レベルは許可リストで、ファイルが許可リストに載っていれば脅威にはなりません。
• 次のレベルの検知は、ブロックリストです。マルウェア保護機能が特定のマルウェアを最初に検出した場合、システムはそのファイルのハッシュをブロックリストに追加します。ブロックリストに登録されると、そのマルウェアはシステムに感染できなくなります。
• マルウェアがホワイトリストとブロックリストを通過した場合は、AI、ML、およびそのタイプのマルウェアに対する書き込み行動検知により、保護をさらに強化します。

挙動検知とは、ファイル内のコードを見るだけではなく、コードの挙動を見ることです。例えば、ファイルによって操作されているWindowsのレジストリキー、他のファイルの作成状況、ファイル生成プロセスの確認、ネットワークをスキャンして他の利用可能なシステムを探したり、外部システムへの接続を探したりします。これらの動作の中には、ファイルがコマンド&コントロールサーバーからの指示を求めていることを示すものもあります。

同時に、高度なマルウェア対策では、検知エンジンに投入されたデータをもとに学習され、継続的に再学習されるAIやMLモデルに基づいて判断を行います。このプロセスは、モデルが適切に動作しているか、既存および新規の脅威に対応しているか、誤検知を排除しているかを、ソフトウェアプロバイダーに勤める人間が監視しています。

ハッシュやコードスニペットだけに頼る従来のマルウェア対策は、マルウェアの進化が非常に速いため、無意味なものになっています。このような手法では、新しいマルウェアやゼロデイ攻撃を捕捉することはできません。その代わり、高度なマルウェア対策では既存の動作を見ているため、新しいものを検出できる可能性が高く、クラス最高のマルウェア対策を実現できます。

現在、マルウェア対策ソリューションには、マルウェアの攻撃に対する検知、予防、対応を組み合わせて実行するさまざまな種類があります。例えば、以下のようなものがあります。

• 検知のみ：従来のマルウェア対策ソフトは、シグネチャやヒューリスティックに頼ってマルウェアを検知していました。残念ながら、攻撃者はAIやMLを使って、従来のソリューションでは検知できないような、より高度なマルウェアを日々開発しています。アンチマルウェア単体では、トロイの木馬や基本的なマルウェアのバックドアにしか目を向けていないため、クリプトマイニングやランサムウェアを検知できません。
• 検知と防止：高度なエンドポイントアンチマルウェアは、ファイルアクセスやファイルの挙動を監視することで多層的なアプローチを行い、AI、ML、行動検知を用いてマルウェアを特定し、阻止します。高度なマルウェア対策では、プロセスの停止、暗号化されたファイルの自動復元、ファイルの隔離などにより、ゼロデイ攻撃やランサムウェアを阻止することができます。
• 検知、防止、応答：エンドポイント検出・応答（EDR）システムは、マルウェアを検出し、マルウェアの活動を記録し、ネットワーク上でのマルウェアの拡散に関するすべての疑わしいイベントを特定・記述したレポートを生成します。EDRシステムでは、効果的な調査と修復を行うために、通常、何らかの手作業による分析が必要となります。また、EDRシステムはアナリストのチームを必要とするため、一般的には大企業で利用されています。XDR（Extended Detection and Response「拡張された検出と応答」）システムは、EDRシステムと同様の機能を提供しますが、エンドポイント、ネットワーク、クラウド、その他のソリューションなど、 複数の分野に焦点を当てています。

Acronis Cyber Protect Cloudは、高度なマルウェアを検知・予防し、修復・調査機能を提供し、データを総合的に保護する唯一のソリューションです。行動ベースとシグネチャベースのアンチマルウェア、エンドポイント保護管理、バックアップ、ディザスタリカバリを1つのソリューションにまとめています。単一のコンソールと単一のエージェントを備えたAcronis Cyber Protect Cloudは、比類のない統合と自動化を実現し、複雑さを軽減して生産性を向上させ、運用コストを削減します。そのユニークな機能の一部をご紹介します。

高度なセキュリティ

• 機械学習とAIベースの技術を用いて、新興・新種のマルウェアを防止する次世代アンチマルウェア
• 顧客のデータ保護に影響を与える可能性のあるマルウェア、脆弱性、自然災害、その他の世界的な出来事について十分な情報を得られるよう、アクロニスのサイバープロテク ションオペレーションセンター（CPOC、Acronis Cyber Protection Center）からのグ ローバルな脅威の監視とスマートアラートにより、予防措置を講じることができます。
• デジタル証拠データを収集し、サイバー脅威から保護するために安全な場所に保管されているディスクレベルのバックアップに含め、今後の調査に利用することができるフォレンジックバックアップ

高度な管理

• Windows上のMicrosoft、およびサードパーティのソフトウェアのパッチ管理。お客様のデータを安全に保つためのパッチを簡単にスケジュールまたは手動で導入することができます。
• ML技術を使用したドライブヘルスモニターにより、ディスクの問題を予測し、お客様のデータ保護と稼働率向上のための予防措置を警告することが可能です。
• 自動またはオンデマンドのスキャンによるソフトウェアインベントリの収集で、お客様のソフトウェアインベントリを深く可視化します。
• お客様のシステムのイメージバックアップを作成し、パッチによってお客様のシステムが不安定になった場合でも簡単にリカバリできる、フェイルセーフパッチ機能です。

高度なバックアップ

• Microsoft Exchange、Microsoft SQL Server、Oracle DBMS リアルアプリケーションクラスター、SAP HANなど、20種類以上のワークロードを1つのコンソールで保護可能です。
• データ保護マップは、顧客のマシン上でのデータ配布を追跡し、ファイルの保護状態を監視し、収集したデータをコンプライアンスレポートの基礎として使用します。
• スケジュールされたバックアップの間に行われた顧客のデータ変更を失わないようにする継続的なデータ保護です。

高度なディザスタリカバリ

• お客様の本番環境をクラウド上で立ち上げる方法を定義した指示書であるランブックを用いたディザスタリカバリ・オーケストレーションを提供し、あらゆるデバイス、あらゆるインシデントから、お客様のアプリケーション、システム、データを迅速かつ確実にリカバリーします。

Acronis Cyber Protect Cloudを使用すると、顧客のエンドポイントを複数のレイヤーで保護し、データ、アプリケーション、システムが常に利用可能で保護されていることを保証し、何が起こってもデータやシステムを最短で復旧できるようになります。