企業にとってセキュリティ対策は重要な経営課題のひとつですが、近年、サイバー攻撃の手法は高度化・多様化しており、従来のセキュリティ対策だけでは新たな脅威に対処しきれないケースも増えています。そこで注目されているのが「振る舞い検知」とよばれる技術と「EDR」というソリューションです。

本記事では、振る舞い検知はどのようなセキュリティリスクを低減できるのか、基本的な仕組みを解説するとともに、EDRとの違いや両者を組み合わせることの重要性・メリットについても詳しく解説します。

振る舞い検知とは

振る舞い検知とは、コンピューター上で実行されるプログラムや操作の動きを常時監視し、いつもと違う不自然な動きがあったときにそれを検知しマルウェアの侵入を防ぐための仕組みです。

不審な挙動を検知するための基本的な仕組みと、2つの検知方法の違いを解説します。

振る舞い検知の基本的な仕組み

パターンとして登録されていない不審な挙動を検知すると聞くと、内部でどのように判断しているのか疑問に感じる方も多いのではないでしょうか。振る舞い検知の基本的な仕組みは以下の通りです。

  • データ収集:ファイル操作やネットワーク接続、レジストリ変更などのイベントをログとして収集
  • 正常動作のモデル化:業務などの操作における振る舞いを機械学習やルールで定義し、どの動きが正常かを学習
  • 異常検出:収集したログを常時解析し、正常動作から外れた動きを「不審」と判定

異常検出のパターンはさまざまですが、たとえば業務時間外における大量のファイル送信や、外部サーバーとの通信などが挙げられます。

また、システムによっては、異常を検出した後に企業のポリシーに応じて該当プロセスの隔離や、該当ホストのネットワーク切断、管理者への通知などを自動で実行する場合もあります。

不正なプログラムを検知する仕組み

不正なプログラムがコンピュータに侵入してきた場合、以下の2つの方法で検知します。

静的ヒューリスティック法

静的ヒューリスティック法とは、プログラムを実行せずにファイルの特徴や内部構造を分析し、不審な兆候を検出する手法です。コンピュータ上で実行しないため安全性が高く、初期段階で悪意あるファイルをふるい分ける役割を果たします。

一方で、複雑なコードでプログラムが組まれていると検知が難しいという欠点もあります。

生成AIは、すでに多様な領域で活用事例が増えつつあります。ここでは代表的な事例を、業界別に一つずつ紹介します。

動的ヒューリスティック法

動的ヒューリスティック法とは、安全性が保たれた仮想環境やサンドボックス上でプログラムを実行し、その振る舞いを解析する手法です。静的ヒューリスティック法では検知が難しい複雑なマルウェアの検出も可能で、高い精度を誇ります。

一方で、システムに大きな負荷がかかるほか、プログラムの挙動によっては誤検出のリスクもゼロではありません。

振る舞い検知の対象となる範囲・挙動

振る舞い検知では具体的にどのような異常を検出できるのでしょうか。対象となる範囲や具体的な挙動について解説します。

未知のマルウェア・ゼロデイ攻撃

従来のウイルス対策ソフトは、あらかじめ登録されたファイルのパターンやシグネチャに基づいて既知の脅威を探し出しますが、未知のマルウェアまでは防ぎ切ることができません。

これに対し、振る舞い検知ではパターンに登録されていない不審なファイルやプログラムがあれば即座に検知できるため、未知のマルウェアやゼロデイ攻撃にも対応できます。

不自然なネットワーク通信

振る舞い検知では、ネットワーク通信のパターンやデータの送受信なども検知の対象となります。たとえば、業務時間外や深夜に外部サーバーへ大量のデータが送信されていたり、特定のサーバーから短時間に大量の通信が行われていたりした場合、不審な通信と判断・検知されます。

ユーザーによる不審な挙動

セキュリティリスクは外部からのサイバー攻撃にとどまらず、内部の関係者による不正のリスクもあり、振る舞い検知ではこのような不審な挙動も検知の対象となります。たとえば、一般権限であるはずのユーザーに対し突然管理者権限が付与されたり、権限が付与されていないにもかかわらず複数回パスワードを入力するなどして不正なアクセスを試みようとする行動は異常と判断されます。

大量のファイル操作

通常の業務では行われない短時間での集中したファイル更新や暗号化の動きを検知します。たとえば、ランサムウェアに感染すると数分間で数千単位のファイルを次々に暗号化し、拡張子を変更するケースがあります。振る舞い検知では、ファイルシステムへのアクセス頻度や書き込みバイト数、ファイル拡張子変更の連続有無などをモニタリングし、一定のレベルを超えると異常と判断します。

振る舞い検知のニーズが高まった理由

振る舞い検知のニーズが急速に高まっている理由として、近年、標的型攻撃やランサムウェア攻撃の手口が高度化・多様化していることが挙げられます。特にゼロデイ攻撃による被害は深刻であり、シグネチャや既知のパターンのみに対応した従来のウイルス対策ソフトだけでは未知の脅威を防ぎきれません。

実際に、2019年には大手暗号資産取引所をターゲットにWebブラウザの脆弱性を突いたゼロデイ攻撃と標的型攻撃が確認されたほか、2020年代に入ってからも多くの企業がターゲットとなり個人情報が流出する被害が出ています。

さらに、近年ではリモートワークの普及に伴い、多様なデバイスが社内外から企業のネットワークに接続されるようになりました。その結果、従来のネットワーク運用のままでは対処しきれず、エンドポイントごとに動作を監視する必要性も出てきました。

こうした背景から、動的に不審な振る舞いを捉える検知技術へのニーズが飛躍的に高まっているのです。

EDRとは?振る舞い検知との違い

振る舞い検知と並び、企業のセキュリティ対策として近年注目されているソリューションに「EDR」があります。EDRとは「Endpoint Detection and Response」の略称で、振る舞い検知を中核に検知後の対応までを包括的に提供するソリューションです。振る舞い検知とEDRはたびたび混同されやすいですが、両者の違いは以下の通りです。

  • 振る舞い検知:不自然な挙動を検知しマルウェアの侵入・感染を未然に防ぐ
  • EDR:マルウェアに感染した後の被害を最小限に食い止める

具体的には、EDRは以下の方法によって被害を抑えています。

  1. 侵害範囲の特定:不審なプログラムやファイルがどの端末で、いつ、どのように動いたのかを詳細に追跡
  2. プログラムの停止・ファイル削除:疑わしいプログラムを即時停止し、感染したファイルを自動で削除
  3. ネットワーク切断:強制的にインターネットや社内ネットワークから該当端末を隔離
  4. サンドボックス分析:感染したファイルを安全な仮想環境(サンドボックス)に送り、攻撃手法やマルウェアの特性を分析
  5. 管理画面でのダッシュボード表示・レポート生成:一連の対応履歴や検知レポートを自動生成

EDRを導入することで単に脅威を検出するだけでなく、“いつ・どこで・何が”起きたのかを正確に把握できることはもちろん、問題のあるプログラムやファイルの迅速な封じ込めとその後の対応までをワンストップで実現します。これにより、被害を最小限に留め、再発防止策の立案までを円滑に行えます。

コスト削減

生成AIは、人件費や外部委託費の抑制に直結するコスト削減効果が高い施策です。

これまで数日かかっていた企画書やプレゼン資料の作成が数時間で完了し、専門スタッフの外注に頼っていた翻訳や文章校正も、社内で対応可能になるでしょう。

また、24時間稼働するチャットボットを導入すれば、顧客対応の稼働人員を減らし、スケーラビリティの高い運用が実現するでしょう。

EDRと振る舞い検知の組み合わせが重要な理由

「不正なプログラムを検知する仕組み」の中でもご紹介した通り、振る舞い検知はすべての脅威を検出できるとは限らず、プログラムの種類や特性によってはコンピュータへの侵入を許してしまうケースもあります。万が一に備え、被害を最小限に抑えるためにも振る舞い検知とEDRの併用が重要です。

リアルタイムでの検知からその後の対応までを迅速化

振る舞い検知によって不審な挙動が判定されると、EDRによって瞬時に該当端末をネットワークから切り離したり、問題のプログラムを停止したりできます。

EDRを導入していない場合、検知から原因の調査、および対応までのプロセスを手動に頼らざるを得ませんが、振る舞い検知とEDRを組み合わせることで対応スピードが飛躍的に向上します。

インシデントの正確な把握と原因追跡

EDRは振る舞い検知によって収集したログを一元的に管理できます。これにより、たとえばインシデントの発生時刻や影響範囲を時系列で可視化し、どのプログラムやファイルが関与したかなど、インシデントの全体像を迅速かつ正確に把握できます。

運用負荷の軽減

振る舞い検知のみの場合、不審な挙動を検知した際には個別のルールに基づき手動で対応しなければなりません。EDRを併用することで、あらかじめ定義したルールに従ってネットワーク隔離やプログラムの削除、メール通知などを自動化できます。

セキュリティ担当者が24時間待機しなくても、一定の対応をシステム任せにできるため人的コストと運用負荷が大幅に軽減します。特に昨今では多くの企業が人手不足に頭を悩ませていますが、このような課題もEDRによって解決できます。

EDRと振る舞い検知の導入にあたって押さえておきたいポイント

EDRと振る舞い検知を効果的に導入・運用するには、以下のポイントを念頭に準備を整えることが大切です。

既存システムとの統合に問題がないか

ウイルス対策ソフトやファイアウォールなど、すでに導入されているセキュリティ対策ソリューションとの統合に問題がないかを検証しておきましょう。システムの仕様によっては組み合わせが難しいケースや、統合後にさまざまな不具合が生じる可能性もあります。

ポリシーの策定

どのような振る舞いをアラートの対象とするか、具体的な閾値(システムの運用時間帯、ファイルの送受信数など)や重大度を定義しておきます。そのうえで、万が一インシデントが発生した際の自動隔離や管理者承認のフロー、緊急時のエスカレーション先なども決めておきましょう。

トライアル運用

本番運用の前にまずは一部の端末や部署で試験的に運用し、誤検知やシステムへの影響を確認しておきます。閾値の設定によっては不要なアラートが頻繁に発出されることもあるため、必要に応じて除外リストなども調整し不要な通知を減らすことが大切です。

振る舞い検知とEDRの併用は高度化・多様化するサイバー攻撃の有効な防御策

サイバー攻撃の手法は年々巧妙化しており、既存のセキュリティ対策ソリューションだけでは防ぎきれないケースも増えています。特に未知のマルウェアやゼロデイ攻撃は企業がターゲットとなるケースも多いことから、あらゆるリスクを考慮し対策を講じておかなければなりません。

振る舞い検知とEDRは新たな脅威を防ぎ、被害を最小限に食い止めるために有効なソリューションであるため、両者を組み合わせて導入を検討してみましょう。

EDR導入 選び方ガイドのダウンロードは
こちらをクリック

【セキュリティガイドシリーズ #01】EDR導入 選び方ガイド