アンチウィルスはMicrosoft Defenderで事足りる?
もう10月になろうというのに今日も真夏日だそうで、東京都心は89回目の真夏日だそうです。皆さんも今年の夏は特にきつかったのではないでしょうか?毎年この暑さを耐え凌ぐと思うと、夏が憂鬱になっちゃいますね。
ということで(どういうことなんでしょう)、今回はこの酷暑と同じくらい憂鬱なマルウェアとその対策ついて考えてみたいと思います。
※本ブログでは同シリーズを3回分けて寄稿します。2,3回目はエンジニアによる、よりテッキーなお話をお届け予定です。
目次[非表示]
テクノロジーの活用に善悪はない
さて、毎年酷くなる暑さのように、企業に対するサイバー攻撃も悪化の一途を辿っています。ニュースでも度々企業や病院などの被害が報じられ、一般的な話題となりました。そのほとんどにはマルウェアが用いられており、そのハードルは非常に低くなっています。
皆さん、1日に(平均で)いくつ未知マルウェアが作られているかご存知でしょうか。諸説はありますが、100万、80万、60万といった話があります。(ちなみにChatGPTに聞いてみたところ、日々変動するため具体的な数値は回答できません、だそうです)
いずれにしても多すぎると思いませんか?
なぜこんなに多いのか?その答えは、簡単に作れるから、という極めてシンプルな理由になります。
背景には、こうしたサービスが市場に出回っている、という事情が有ります。RaaS (Ransomware as a Service)などが代表例です。ちょっとお金を払えば知識がなくても簡単にランサムウェア攻撃が可能になります。これはもう恐怖です。
また、今後はChatGPTのような生成AIの悪用も増えてくると考えられています。いわゆるNGワードを回避するような問い方でAIに生成させるようなケースが見られ始めています。
Microsoft Defenderが止められるマルウェアを考えてみよう
さて、タイトルにもある通りここでMS Defenderの出番です。と言いたいところですが、現実は甘くありません。
ご存知の通りMicrosoft DefenderはMicrosoftが提供するアンチウィルスソフトになります。何と言ってもそのポイントはOS標準搭載であること(Windows10以降)。今まで別途購入していたものが、追加費用なしと言われたら、そっちの方がいいでしょ、となりますよね。
(ここがポイント!)
ですが、そもそもDefenser含め今までのアンチウィルスの多くはシグネチャタイプです。何が言いたいかというと、先ほど日々大量に作られているとお伝えした未知マルウェアについては、基本対応できません。素通りです。これは困ります。
シグネチャ型アンチウィルスの限界
こうしたシグネチャタイプに頼った対策は、限界がささやかれて久しい話でもあります。
一方でエンドポイントのアンチウィルス対策は今までもこれからも企業として確実に対処しなければならないもので、避けては通れません。
対処方法は大きく分けて3つです。
① 侵入されても感染させない
② 侵入、感染されても元に戻せればよい
③ 未知マルウェアでも侵入させない
①はEDR、②はバックアップというのがここでの解になります。長くなるので別の機会に触れたいと思いますが、様々記述がありますので興味がある方はググって(死語?)みてください。ともに、課題も少なくないということは申し上げておきます。
ということで、今回は③についてご紹介したいと思います。
ディープラーニングを使ったアンチウィルス
実は未知マルウェアを止めるために開発された「次世代型アンチウィルス」なるものは既にあり、市場に出てから年月が経過しています。AIにマルウェアを学習させることで、未知マルウェアでも予測して止めていこうという考え方のものです。
しかし精度に難が有りました。機械学習というAIの技術が主となりますが、誤検知/過検知が多かったり、回避されてしまうケースが見受けられ、結局はEDRに頼らざるを得ない現状もあります。
そんな中、今注目を浴びているのが『Deep Instinct』という製品です。名前から察する通りAIの中でも精度の高い、ディープラーニングという技術を使っています。
ディープラーニングについては多くの方が耳にしていると思います。今話題の(もう古いかも…)生成型AIでも利用され、囲碁や将棋(名人対AI)、画像解析など、利用範囲も徐々に広まってきています。
〇ディープラーニングと機械学習の違い
当然、精度の高さの裏返しとして、ディープラーニング環境の開発は非常にハードルが高いわけですが(だからこそまだ利用分野が限られています)、それ故に注目を浴びているとも言えそうです。
実際に日本でも導入顧客は右肩上がりで増えており、間もなく2,000社になろうかという勢いのようです。
まとめ:アンチウィルスはMicrosoft Defenderで事足りる?
タイトルに関する答えとしては、"事足りない"になります。これは決してMS Defenderの性能についてケチをつけているわけではありません。あくまでシグネチャ型アンチウィルスの代表例であり、同種の製品については同様のことが言えます。
そんなシグネチャ型アンチウィルスが対応できない未知マルウェアに、強く対抗できるのがDeep Instinctです。絶え間ない未知の攻撃から企業を守るひとつの解として、ご理解いただけますと幸いです。
次回は担当エンジニア寒川より、Deep InstinctとWindows Defenderのマルウェア検知比較に関するブログを投稿予定ですので、ご期待ください!
☆関連ブログ
Windows標準のアンチウィルスで企業セキュリティは守れる? ~実際にテストしてみた!~
長々とお読みいただいた皆様、ありがとうございました。本件に関してご質問等ございましたらお気軽にお問合せください。