最終更新日:2023-11-24
セキュリティ強化のために振る舞い検知の導入を検討している方へ。振る舞い検知とは何か、仕組みや特徴をふまえて解説し、おすすめのサービスを2タイプに分けて紹介します。
振る舞い検知(Behavioral Detection)とは、ウイルス対策ソフトなどで用いられる技術のこと。コンピューターのシステムやネットワークにおいて、通常の振る舞いから逸脱した挙動を検知するシステムです。
ウイルスなどによる外部攻撃から端末やネットワークを保護する場合、従来はマルウェアなどの攻撃パターンを事前に登録しておいて、それに一致するものを検出するシグネチャベース(パターンマッチング)が一般的でした。しかし、この場合、「新しい攻撃に対応できない」「絶えず更新し続けないといけない」といった課題が挙げられていました。
振る舞い検知なら、過去のパターンにとらわれず、「いつもはアクセスのないはずの端末から、サーバーに大量のアクセスがあった」など、プログラムの通常と異なる振る舞いに注目することで、未知の攻撃にも迅速に察知・対処することができます。近年、サイバー攻撃が多様化・専門的になるに連れて、注目を集めています。
従来のセキュリティと異なる、振る舞い検知の特徴として以下の3つが挙げられます。
通常の操作や通信パターンをモニタリングして、正常な振る舞いのベースライン(基準の閾値)を作成。その基準から外れた行動を異常な振る舞いとして検知するため、未知の脅威も検知できます。
AI技術などによるマシンラーニングや、統計的な解析技術を使用して、通常の活動では見られない、異常な振る舞いを自動的に検知します。
リアルタイムでシステムやネットワークを監視し、異常な振る舞いが検知されたら即座に通知します。そのため、アプリやシステムの脆弱性を狙う「ゼロデイ攻撃」への対策としても有用です。ただし、疑わしいものを予測判断するので、問題のない振る舞いを誤検知してしまう可能性や、反対に危険なマルウェアを取り逃がしてしまう可能性もある点については留意しておきましょう。
本記事では、振る舞い検知の仕組みや特徴などを、おすすめの製品を交えながらわかりやすく紹介していきます。
振る舞い検知製品をお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
“振る舞い検知製品”の 一括資料ダウンロードする(無料)
検知対象となる振る舞いは、製品によって様々ですが、主に以下のようなものがあります。
未知のマルウェアやウイルスの侵入・実行と思われる振る舞いを検知します。たとえば、通常の振る舞いと比較して、異なる時間帯や曜日のアクセスや、重要情報の大量ダウンロードなどが発生すると、異常な状態としてアラートを発出します。また、パスワードの総当り攻撃や不正なユーザー認証といった不正なアクセス試行なども、異常な振る舞いとして検知します。
ネットワーク上での通信パターンやデータの流れにおける、異常な振る舞いを検知します。たとえば、「過去平均より1週間のDL数が急激に増えている」「初めてサーバー方面から外部へのデータ送信が行われた」など、ネットワーク上の異常なアクティビティを捉えることで、外部からの脅威に対抗します。
ユーザーが通常とは大きく外れた行動をとった場合を検知します。たとえば、メールの送受信であれば、メールが相手方のメールサーバーに到達しない、メールの配信が遅延する、相手方の迷惑メールフィルターによってメールがブロックされるといった異常なSMTPインフラを検知します。
また、メール文面の言葉遣いや今までにない話題などを検知できる製品も。管理者クラスのユーザーや、上位の権限を与えられたユーザーの異常なアクセスや操作を検知して、不正なデータアクセス、不正な権限の変更などにも対抗します。個人情報や機密情報の持ち出し、誤送信など内部統制に有効です。
振る舞い検知製品の主な監視方法としては、以下のような方法が挙げられます。
「エンドポイント」とは、ネットワークに接続されている末端の機器、つまりPCやスマホなどのモバイル端末機器のことを指します。エンドポイント機器にセキュリティ対策ツールをインストールして、リアルタイムで振る舞いを検知する仕組みです。
ファイアウォールやIDS/IDPなどのネットワーク機器が振る舞い検知機能を搭載して、リアルタイムで振る舞いを検知する方法です。
様々な機器のログを収集・分析して、不審な行動を検知する方法。主に、SIEM/UEBA製品に搭載されている検知方法です。
また、振る舞い検知を強化するために、以下のような機能を搭載する製品もあります。
過去に検知した不正ファイル・不正プログラムや通常の振る舞いパターンをAIに学習させて、ベースラインの作成や、異常な振る舞いの検知に活用します。たとえば「LANSCOPE サイバープロテクション」は、AIの機械学習で作成された数理モデルが、99%の確率でマルウェアをリアルタイムに検知します。
サンドボックスとは、未知のファイルやコードを安全な環境で実行するために隔離された仮想環境です。通常の領域に悪影響を及ぼさないサンドボックス内で不審なファイルやアプリケーションを実行して、振る舞いを監視・確認。悪意のある動作を検知すると、未知のマルウェアであると判定することができます。たとえば「Symantec Email security.cloud Service」は、サンドボックスでのファイル実行と、機械学習によって、高度な攻撃を検出します。
これらの仕組みを複数組み合わせた振る舞い検知製品が、多数開発されています。
振る舞い検知に対応している製品には、大きく分けて「エンドポイントセキュリティ型」と「ネットワークセキュリティ型」の2種類があります。また、リアルタイム検知には対応していないものの、「SIEM/UEBA製品」も不審な振る舞いの検知に活用できます。
エンドポイントの機器にソフトウェアをインストールして、不審な振る舞いを検知するタイプ。ウイルス対策ソフトの機能として「振る舞い検知」が搭載されているケースも多く、マルウェア対策やデバイス制御、パッチ管理、セキュリティインシデントの監視と対応といった、一般的なセキュリティ対策を導入したい場合に適しています。
エンドポイントセキュリティについては、「エンドポイントセキュリティ比較14選!EDR・EPP製品をタイプ分け」でも詳しくご紹介しています。
ネットワーク上に設置して不審な振る舞いを検知する監視ツールです。ネットワークセキュリティ製品の中にも、ファイアウォールやメールセキュリティサービスに搭載するタイプ、ネットワーク機器からの情報を収集・分析するタイプ、サンドボックスを活用するタイプなど様々な種類があります。
サンドボックス製品については、「サンドボックス製品の比較8選。セキュリティ強化に有効なのは?」でも詳しくご紹介しています。
SIEM製品とは、サーバーやネットワーク機器、システム、アプリケーションなどから様々なログやイベントデータを集約し、セキュリティ情報とイベントの管理を行なうことで、不審な振る舞いを検知・分析する製品です。また、UEBAはユーザーおよびエンティティの振る舞い分析を行なう製品です。
いずれもネットワークやシステムのログ、アクティビティ、アクセスパターンなどの情報を集約し、機械学習や行動モデリングを用いてユーザーの通常の振る舞いパターンを学習し、それらのデータに基づき、異常なアクティビティ、不正行為、内部脅威などを検知・識別します。
SIEM製品については、「SIEM製品の比較10選。機能やタイプ別の選び方」でも詳しくご紹介しています。
“振る舞い検知製品”の 一括資料ダウンロードする(無料)
(出所:LANSCOPE公式Webサイト)
AIアンチウイルスの開発に実績を持つ同社が提供するエンドポイントセキュリティ製品。国内導入実績が豊富な「CylancePROTECT」と、幅広いOS・ファイルに対応した「Deep Instinct」の2製品から、自社ニーズに合ったものを選べる。「CylancePROTECT」は、AIアンチウイルスによる「予測防御」という検知方式を採用。マルウェアが動作する前に、隔離、対策を実行できる。AI技術によりマルウェアの特徴を学習・分析することで99%以上の高い検知精度を実現。フルスキャンは初回のみでシグネチャ更新は不要という低負荷で、快適なパフォーマンスが得られる点も魅力だ。また、EDR製品である「CylanceOPTICS」と組み合わせてセキュリティを強化することもできる。
「Deep Instinct」は、AIによるディープラーニングを活用することで、未知のウイスルを予測・防御できる製品。Word、Excel、PDF、zipなど多様なマルウェアのファイルタイプに対応しており、複数の検知方法でエンドポイント上の多層防御を実現している。誤検知率は0.1%で、パターンファイルの更新もなしで使えるので管理ストレスの軽減にも貢献できるツール。
(出所:Symantec Endpoint Security公式Webサイト)
米国の半導体企業であるブロードコムが開発した、標的型攻撃対策にも有効な法人向けのエンドポイントセキュリティ。Windows、macOS、Linux、iOS、Androidのすべてに対応し、あらゆる端末で利用できる。また、1つのエージェントでアンチウイルスやEDR、NGAVといった様々な機能を使えるので、管理コストの軽減やリスク管理が可能に。
エンドポイントの活動状況を見てイベントを検知する「フライトデーターレコーダー機能」、機械学習などで分析して脅威を検知する「振る舞いフォレンジックス機能」といった機能を搭載。更に、クラウドベースで標的型攻撃と思われる攻撃を検出し、脅威調査アナリストがインシデントを分析にかける「標的型クラウド分析機能」も。また、組織内の権限を守るAD脅威保護機能も搭載されており、管理の権限乗っ取りといった脅威にも対応可能だ。
(出所:Harmony Endpoint公式Webサイト)
アンチランサムウェア機能、フィッシングサイトへのアクセスをリアルタイムで検知・ブロックするZero-Phishing機能、認証情報の窃取防止機能など、包括的なエンドポイント保護を実現するための機能がそろうセキュリティソリューション。60種類以上の脅威対策エンジンと人工知能を活用することで、業界最高水準の検知率を達成している。
6つのセキュリティ製品を1つに統合し、調達・運用・管理を容易にするワンストップのソリューションとして提供。攻撃を検知してから調査・復旧作業の90%を自動化しているため、人的コストを抑えて迅速な復旧ができるのも魅力だ。オンプレミスとクラウドの2タイプから選べて、組織固有のセキュリティ要件とコンプライアンス要件に対応可能な優れた柔軟性・カスタマイズ性を有している。加えて、優れたコストパフォーマンスにも定評あり。
(出所:Heimdal セキュリティスイート公式Webサイト)
予防、検出、eメール防御など多様な機能を備えた、100ライセンス〜向けのクラウド型セキュリティプラットフォーム。エンドポイントにエージェントをインストールするだけでウイルススキャンを実施。悪意のある動作を検知することで、既知のマルウェアだけでなく、未知のマルウェアにも有効。たとえ侵入された場合でもファイルを暗号化しようとする試みを監視して、防御してくれるのも心強い。
複数あるモジュールのうち、自社で課題に感じている部分を組み合わせて導入するのはもちろん、他社製品とも連携して、稼働状況を同一のダッシュボードで可視化できるのもポイント。
“振る舞い検知製品”の 一括資料ダウンロードする(無料)
(出所:Cisco Secure Network Analytics公式Webサイト)
米国の大手コンピューターネットワーク機器開発会社・Ciscoシステムズが開発した、ネットワークセキュリティ型の振る舞い検知製品。ネットワーク内の異常な振る舞いを検知する「振る舞いモデリング機能」、機械学習で脅威を検出する「マルチレイヤ機械学習機能」などを搭載。更に、同社が誇るセキュリティ専門家チームによる、脅威の判定・検出サービスも提供し
ている。加えて、エクスプロイト攻撃、C&Cサーバー通信による遠隔操作、ラテラルムーブメント(横断的侵害)、DDoS攻撃などの検知にも対応。オンプレミスとクラウドの両方に対応しており、あらゆる事業規模をカバーしているのもメリットの一つ。
(出所:FortiGuard公式Webサイト)
ファイアウォール型のネットワークセキュリティ製品で、AIを活用した協調型の保護により、リアルタイムで脅威に対抗するツール。コンテナファイアウォール、仮想ファイアウォール、アプライアンスといった様々なフォームファクタに対して詳細な可視性とセキュリティを提供。一貫性あるセキュリティポリシーを、ネットワーク、エンドポイント、クラウドのハイブリッド環境のユーザーとアプリケーションに適用することで脆弱性を解消する。
また、動的なアプリケーションポリシーやフィルタリングレベルの防御などによって、スマートで効果的な制御を可能にし、企業への攻撃対象領域を縮小させる効果も期待できる。
(出所:Palo Alto Networks PAシリーズ公式Webサイト)
高度なセキュリティ機能、トラフィックの可視化機能、アプリケーションの制御機能、脅威の検出・防御機能などを組み合わせた次世代ファイアウォール(NGFW)。一般社員のSNSへのアクセスをブロックし、特定部署の閲覧のみ許可するなど、トラフィック内のアプリケーションを識別し可視化・制御できるのが特徴だ。また、振る舞いをベースとしたメカニズムを用いて、ボットネットの検知に対応。トラフィックログやスレットログのしきい値チェックを行い、基準を超えた通信を行った端末をボットに感染した可能性があると見なし、感染疑いのある機器をリストアップする。
更に、クラウド型のセキュリティサービスとして、「DNSセキュリティ」「エンタープライズデータ損失防止」「IoTセキュリティ」「SaaSセキュリティ」といった機能も提供。日本国内の販売パートナー・日立ソリューションズから同サービスを導入すれば、PAシリーズを熟知した専門家によるサポートが受けられる。
(出所:Symantec Email security.cloud Service公式Webサイト)
メールセキュリティに特化した、クラウド型のゲートウェイセキュリティサービス。多層防御システムと独自の防衛手段「Skeptic」によって、スパム検知率99.99997%を実現する。標的型攻撃、ランサムウェア、ビジネスメール詐欺など、電子メールを使った多種多様なサイバー攻撃からの防御が可能だ。
たとえば、URLリンクの検査を複数回に分けて行なうことで、配信時には安全なサイトを見せて後ほど書き換えるといった時間差攻撃に対応できるほか、添付ファイルなどをサンドボックス内で実行して脅威を検知する「サンドボックスCYNIC機能」といった機能がそろう。導入時にはメールサーバーやファイアウォールの設定を変更するだけ、導入後も管理者用ポータルサイトから簡単に一元管理できるなど、導入・運用コストが抑えられるのも魅力。
通常の振る舞いから外れた挙動を検知する「振る舞い検知」によって、現状のセキュリティ対策を強化できると思った方は多いのではないでしょうか。最後に、本記事で紹介した重要なポイントまとめます。
振る舞い検知の主な特徴として以下の3つがあり、未知の不正ファイル・不正プログラムからシステムやネットワークを保護します。
また、検知対象となる振る舞いは、主に以下の3つ。これらのアクティビティを捉えることで外部からの脅威に対抗します。
エンドポイントセキュリティ対策として、 EDR(Endpoint Detection and Response)というソリューションもあります。振る舞い検知が未知の攻撃を検出するのに対し、EDRはPC・スマホ・サーバーといったデバイスの状態・通信内容を監視して、異常な挙動を検知・通知します。また、マルウェアなどの侵入を検出すると、感染端末の隔離や、収集データをもとにした調査・分析、原因と成るファイルの駆除・復旧までカバーしているのも特徴です。EDR製品の1機能として、振る舞い検知が搭載されていることも。
自社の事業規模、システムおよびネットワーク環境に応じて、最適なものを選択することが大切です。本記事で紹介したエンドポイントセキュリティ型製品とネットワークセキュリティ型製品の特徴を参考に、自社に最適なソリューションの導入を検討してみてください。
振る舞い検知製品をお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
“振る舞い検知製品”の 一括資料ダウンロードする(無料)
エムオーテックス株式会社
導入実績1,600社以上。用途に応じて選べる2つのAIアンチウイルスソフトと安心の国内サポート体制が特徴のセキュリティ対策サービス。定義ファイルを使わないため、...
Symantec Endpoint Security|インタビュー掲載
SB C&S株式会社
EPP・EDRに先進防御を備えたエンドポイントセキュリティサービス。クラウド管理で社内外にあるPC やモバイルデバイスを一括管理可能(オンプレミスとのハイブリッ...
チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
EPPとEDRを兼ね備えた総合セキュリティ。脅威対策や不正アクセス防止等の感染を未然に防ぐ対策から、感染後の対策・調査までHarmony Endpointひとつ...
ジュピターテクノロジー株式会社
100ライセンス〜向けのクラウド型サイバーセキュリティ製品群。統合化されたAI技術により、ランサムウェア、外部脅威、内部脅威、電子メールの侵害を含む、あらゆるサ...
Symantec Email security.cloud Service(ESS)
SB C&S株式会社
世界売上シェア No.1のクラウド型メールセキュリティサービス。民間最大級の圧倒的なデータ量で高い検知率を実現し、Emotetや標的型攻撃、ランサムウェアなどの...
記事をシェア
<重要なお知らせ> サイトリニューアルに伴い、初回ログインにはパスワードの再設定が必要です。
アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。
パスワード再設定依頼の自動メールを送信しました。
メール文のURLより、パスワード再登録のお手続きをお願いします。
ご入力いただいたメールアドレスに誤りがあった場合がございます。
お手数おかけしますが、再度ご入力をお試しください。
ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。
サービスの導入検討状況を教えて下さい。
本資料に含まれる企業(社)よりご案内を差し上げる場合があります。
