振る舞い検知とは？
仕組みやEDRとの違い、メリット・デメリットを解説

振る舞い検知とは、プログラムの不審な挙動を機械学習の技術を活用・検知してウイルスの発生による被害を未然に防ぐための仕組みです。

デバイスがマルウェアに感染すると、情報漏えいやランサムウェアによる身代金要求などといった被害につながります。しかし、振る舞い検知を備えたアンチウイルス製品を利用することによりマルウェアの対策が講じられ、これらの被害を防ぐことが可能となります。

新たなセキュリティ対策として振る舞い検知に期待が寄せられている理由は、従来の方法では対策が難しかった未知の脆弱性を突いて来るマルウェアにも対応可能なためです。

振る舞い検知は、ベースラインの作成やマシンラーニング、リアルタイム検知などを特徴としています。通常の操作や通信のパターンから正常な振る舞いに対する基準（ベースライン）を作成し、この基準から逸脱した振る舞いを異常として検出するという一連の流れが基本的な仕組みです。

AI（人工知能）技術を取り入れたマシンラーニングでは統計的に振る舞いを解析し、異常と正常の有意差を認識します。また、リアルタイムでシステムを監視しているため、異常な振る舞いを検知すると即座にユーザーへ通知可能です。

パターンマッチングは、初期のアンチウイルスソフトから採用されているマルウェア検知手法です。振る舞い検知の特徴を理解するうえで、このパターンマッチングとの違いについて把握すると理解しやすいでしょう。

パターンマッチングでは、過去に検出されたマルウェアのデータパターンを登録し、不審なプログラムと同一のデータパターンを検索します。このデータパターンを収集したファイルのことを「パターンファイル」と呼びます。

パターンマッチングでは、パターンさえ登録されていれば高い精度でマルウェアを検出可能です。しかし、未知のマルウェアには対応できないという難点があります。また、パターンファイルを逐一更新しなければならないことや、データパターンの更新にタイムラグがあることもデメリットといえるでしょう。

一方の振る舞い検知は誤検知の場合もありますが、未知のマルウェアにも対応可能です。新種または亜種のマルウェアが続々と作られている状況を考慮すると、振る舞い検知はより有効性の高い対策です。

EDR（Endpoint Detection and Response）は、PC端末などのデバイスに対してマルウェアの侵入前から侵入後の動きを検知して、駆除やシステム復旧などを行うためのセキュリティソリューションです。

EDRも振る舞い検知と同様に、プログラムの異常な挙動を検知して管理者に通知する機能が備わっています。通知を受けた管理者が侵入経路などを調べ、早急に対処することによって、マルウェアの感染拡大などを防ぐことが可能です。高度なデータ分析とリアルタイムの対応により、マルウェアの駆除やシステムの復旧を図れるのがEDRの特徴です。

振る舞い検知とEDRの違いはその目的にあります。振る舞い検知はマルウェアの侵入を未然に防ぐことを目的としていますが、EDRの目的はマルウェア侵入後の被害を最小限に抑えることです。

近年は企業のICTシステムやWebサイトを標的としたサイバー攻撃が巧妙化しているため、マルウェアの侵入を完全に防ぐことはできないといわれています。そのため、マルウェアの侵入を防ぐ振る舞い検知と、侵入後の感染拡大を防ぐEDRを組み合わせて対策を講じることが必要不可欠です。

振る舞い検知のニーズが高まっている背景には、ICT環境の複雑化にともなうサイバー攻撃の多様化や高度化があります。近年の高度化したサイバー攻撃に、従来のパターンマッチング方式によるサイバーセキュリティ対策では対応が困難です。

先述のとおり、パターンマッチングは既知のマルウェアが持つデータパターンを登録し、不審なプログラムと比較して確かめる方法です。しかし、新たに作り出されるマルウェアは1日100万個以上ともいわれており、パターンマッチングではこれらの新種のマルウェアに対抗できません。そこで、振る舞い検知の必要性が叫ばれています。

現代社会におけるセキュリティ対策において、パターンマッチング方式を補う方法として注目されている方法が振る舞い検知です。

振る舞い検知の仕組みは大きく「静的ヒューリスティック法」と「動的ヒューリスティック法」の2種類に分けられます。ここからは、それぞれの仕組みについて解説します。

静的ヒューリスティック法は、プログラムを実行させずにコードを読み取り、既知のマルウェアと比較することによってマルウェアを検知する方法です。プログラムの特徴から実行した場合の動作を予測し、実際にはプログラムを動かすわけではないため「静的」と呼ばれています。動的ヒューリスティック法に比べてシステムへの負荷が小さいことが特徴です。

ちなみに、本来「ヒューリスティック法」はパターンマッチング以外の検知方法を指す言葉です。

動的ヒューリスティック法は、実際にプログラムを実行させたうえでその挙動からマルウェアを検知する方法です。プログラムを実行する際、安全性を考慮して「サンドボックス」と呼ばれる仮想環境を使用する場合もあります。

実際の振る舞い検知では、静的ヒューリスティック法と動的ヒューリスティック法を組み合わせてマルウェアを検知することが一般的です。まずはシステム負荷の小さい静的ヒューリスティック法でコードを調べ、疑わしいものを動的ヒューリスティック法で確かめるという流れです。

なお、静的ヒューリスティック法を「ヒューリスティック法」、動的ヒューリスティック法を「ビヘイビア法」と呼ぶ場合もあります。

振る舞い検知の対象となるのは、未知のマルウェアやネットワーク、ユーザーの異常な行動などです。ここからは、振る舞い検知の対象について詳しく紹介します。

振る舞い検知では、未知のマルウェアやウイルスの脅威を早期に検出することができます。データパターンがないマルウェアに関してはパターンマッチング方式では検出できないため、振る舞い検知によってマルウェアを判定し、侵入を阻止することが重要です。

ソフトウェアやシステムの開発元は最新のマルウェアに対抗するためにセキュリティパッチを配布していますが、ゼロデイ攻撃などの手法による被害も出ています。ゼロデイ攻撃とは、セキュリティパッチが配布される前に実行されるサイバー攻撃のことです。

このように、データパターンのアップデートでは対応できないサイバー攻撃への対処法としても振る舞い検知は効果的です。

振る舞い検知では、ネットワーク上の通信パターンやデータの流れなども検知対象となります。特定ファイルのダウンロード数が異常に増えている場合など、振る舞い検知のネットワーク監視によっていち早く不審な通信を検出することが可能です。未確認のサーバーとの通信が短期間に増加している場合なども検知の対象となります。

DDoS攻撃やパスワードの総当たり攻撃などが行われると、多くの場合ごく短期間で通信量が増加します。振る舞い検知は、これらのサイバー攻撃をいち早く察知するうえでも役に立つでしょう。

振る舞い検知は、ユーザーが通常とは大きく異なる行動をした際にも反応する場合があります。例えば、不正な権限の変更や、権限のない社員による不正なデータアクセスなども振る舞い検知の対象です。

これらの異常な行動を検知することにより、社員によるお客さまのデータ流出など、内部不正の検出や防止にも効果的です。また、メールの配信が遅延するなどといったSMTPの異常もいち早く検知します。

振る舞い検知には、従来のパターンマッチングにはないメリットが備わっており、時代の変化にともなってその必要性も高まっています。ここからは、振る舞い検知における3つのメリットについて紹介します。

振る舞い検知のメリットとして、パターンマッチング方式では検出できない未知のマルウェアにも対応可能なことが挙げられます。

パターンから外れた亜種や変異種のマルウェアも検出可能な振る舞い検知は、ゼロデイ攻撃の脅威にも対抗できる手法として注目が集まっています。サイバー攻撃が重大な損失につながる恐れもあるため、セキュリティ対策が十分ではないと感じている場合には、通常のウイルス対策に加え、振る舞い検知の活用を検討しましょう。

マルウェアなどをリアルタイムで検知可能なことも振る舞い検知の大きなメリットです。振る舞い検知が不審なプログラムを検知した段階ですぐにユーザーへ通知するため、脅威が侵入した際でも初動対応が早くなるといった効果が期待できます。

振る舞い検知には、パターンファイル更新などの手間がかからない利点もあります。従来のパターンマッチングでは、マルウェアのデータを記録したパターンファイルを常に最新の状態に保つ必要がありました。データの更新が遅れると、新たに登場したマルウェアの侵入を防げなくなるためです。

一方、プログラムの挙動から不正を検知する振る舞い検知ではパターンファイルの更新が不要です。更新を怠ったことによる検出漏れなどといったリスクがなくなるため、管理者の手間を省けます。

振る舞い検知を導入する際は、いくつかのポイントに気を付ける必要があります。ここからは、振る舞い検知の3つのデメリットについて紹介します。

振る舞い検知の動的ヒューリスティック法では、不審なプログラムを実行することによってマルウェアの検知を行います。機器やデバイスが持つ本来の用途以外で実行されるプログラムのため、システムに負荷がかかりやすい点には注意が必要です。

振る舞い検知を導入した結果、システムに必要以上の負荷がかかり、パフォーマンスが低下する場合もあります。そのため、振る舞い検知はシステムの処理能力に対して無理なく稼働できるツールを選ぶことが大切です。

振る舞い検知を利用するうえで気を付けておきたいことが誤検知の可能性です。パターンマッチングでは既存のパターンに合致するプログラムを探すため、高い精度でマルウェアを検出できます。一方、振る舞い検知は未知のマルウェアにも対応しようとするツールで、不正ではないプログラムも誤ってマルウェアと判断してしまう場合があります。

過剰な検知によって不要なアラートが頻発したり、システムが一定期間使用不能となったりする場合もあるため、注意が必要です。

マルウェアの種類によっては、振る舞い検知でも検出できない場合があります。例えば、プログラムを実行する際に姿を隠す「ステルスマルウェア」は、振る舞い検知で検出することが困難です。また、長期にわたってシステム内に潜伏するバックドア型マルウェアなども検知が困難なタイプとして挙げられます。

これらのマルウェアについては、EDRを併用する、AI機能など別のアプローチを備えたアンチウイルスソフトを選ぶなどといった対策を講じることが重要です。

振る舞い検知対応のツールは「エンドポイントセキュリティ型」と「ネットワークセキュリティ型」の2種類に大きく分けられます。ここでは、それぞれの特徴について紹介します。

エンドポイントセキュリティ型は、ソフトウェアをエンドポイントのデバイスや機器にインストールするタイプです。システムやネットワークにマルウェアが侵入する際、多くの場合はこれらのデバイスがその入り口です。そこで、エンドポイントで振る舞い検知を行い、セキュリティを強化することによりリスクの低減を図ります。

ネットワークセキュリティ型は、ネットワーク上のファイアウォールやネットワーク機器にツールを設置して不審な振る舞いを監視するタイプです。エンドポイントセキュリティ型では、入り口にツールを設置してマルウェアの侵入を阻止するのに対し、ネットワークセキュリティ型ではエンドポイントを突破して組織内ネットワークに侵入した脅威に対応します。

未知のマルウェアも検出可能な振る舞い検知は、高度化するサイバー攻撃への防御・対抗手段として注目を集めています。マルウェアの侵入だけでなく、各組織の内部不正やパスワードの総当たり攻撃なども検出可能で、パターンファイルを分析管理・更新する手間もかかりません。

サイバー攻撃が巧妙化する現代社会において、振る舞い検知を取り入れた最新のセキュリティサービスは欠かせないものといえます。そこで検討していただきたいサービスが、ドコモビジネスが提供する「VxGPlatform®」です。

「VxGPlatform®」は、ニューノーマルの時代において欠かせないネットワーク＆セキュリティ基盤をまるごと提供するマネージドセキュリティサービス（MSS）です。各種クラウドへの移行にともなうトラフィック増加にも柔軟に対応可能なネットワーク基盤を備えており、社内外問わずセキュリティレベルを一元的に維持運用できます。

振る舞い検知を活用してセキュリティを強化し、業務運用したい場合には、「VxGPlatform®」の導入をぜひご検討ください。