Next-Generation Antivirus

NGAV（Next-Generation Antivirus：次世代アンチウイルス）とは、従来のシグネチャベースのアンチウイルスに代わり、AI・機械学習、振る舞い分析、エクスプロイト防止などの先進技術を活用して、既知・未知のマルウェアや高度な攻撃を検知・ブロックするエンドポイント保護ソリューションです。従来型アンチウイルスがマルウェアの「指紋」であるシグネチャに依存していたのに対し、NGAVはファイルの特徴や実行時の振る舞いを多角的に分析します。

NGAVが登場した背景には、サイバー攻撃の急速な進化があります。毎日数十万種の新種マルウェアが発見される現在、シグネチャの更新だけでは対応が追いつきません。さらに、ファイルレスマルウェア（PowerShellやWMIなどのOS標準ツールを悪用する攻撃）や、ポリモーフィック型マルウェア（実行のたびにコードを変化させるマルウェア）は、シグネチャベースの検知を根本的に回避します。

NGAVは、クラウド上の機械学習モデルを活用してファイルの静的特徴（PE構造、文字列、インポート関数など）を分析するプリエクゼキューション検知と、実行時のプロセスの振る舞いを監視するランタイム検知を組み合わせることで、多層的な防御を実現します。代表的なNGAV製品にはCrowdStrike Falcon Prevent、SentinelOne Singularity、Carbon Black（VMware）などがあります。

従来型アンチウイルスとNGAVの違い

従来型アンチウイルスとNGAVの根本的な違いは検知アプローチにあります。

• シグネチャ依存度：従来型はシグネチャ（定義ファイル）に完全依存するが、NGAVはシグネチャを補助的に使用しつつ、ML・振る舞い分析が主軸
• 未知の脅威への対応：従来型はシグネチャが存在しない未知のマルウェアを検知できないが、NGAVは機械学習モデルにより未知の脅威を高精度で検知
• ファイルレス攻撃への対応：従来型はファイルスキャンが中心でファイルレス攻撃に脆弱だが、NGAVはメモリ上の挙動やスクリプト実行を監視
• 更新頻度：従来型は定期的なシグネチャ更新が必須だが、NGAVのMLモデルは少ない更新頻度でも高い検知精度を維持
• リソース消費：従来型はフルスキャン時にCPU・ディスクI/Oを大量消費するが、NGAVは軽量なエージェントでリアルタイム保護を実現

機械学習による検知の仕組み

NGAVの機械学習モデルは、数億個のマルウェアサンプルと正規ファイルのサンプルから特徴を学習します。静的分析では、実行ファイルのバイナリ構造（PEヘッダー、セクション情報、エントロピー）、文字列パターン、API呼び出しの傾向などの特徴量を抽出し、マルウェアかどうかをスコアリングします。

一方、動的分析（振る舞い分析）では、プロセスの実行時の挙動を監視します。例えば、プロセスがシステムディレクトリにファイルを書き込む、レジストリの自動起動キーを変更する、暗号化通信を確立する、といった一連の挙動パターンがマルウェアの特徴と一致した場合に検知・ブロックします。

エクスプロイト防止技術

NGAVの多くは、脆弱性を悪用するエクスプロイト攻撃を防止する機能を備えています。具体的には、バッファオーバーフロー攻撃の検知、ROP（Return-Oriented Programming）チェーンの阻止、DLLインジェクションの防止、プロセスホロウイング（Process Hollowing）の検知などがあります。

これらのエクスプロイト防止技術は、OSやアプリケーションのゼロデイ脆弱性が悪用された場合でも、攻撃の実行段階で阻止することができます。パッチ適用までの間の「防御の空白期間」をカバーする重要な機能です。

クラウドベースの脅威インテリジェンス

現代のNGAV製品は、クラウドベースの脅威インテリジェンスと密接に連携しています。エンドポイントで検知された未知のファイルはクラウド上のサンドボックスで即座に分析され、その結果がグローバルの全ユーザーに共有されます。これにより、ある組織で検知された新種のマルウェアが、数分以内に世界中のすべてのエンドポイントでブロック可能になります。

NGAVの限界とEDRとの補完関係

NGAVは「予防（Prevention）」に重点を置いたソリューションであり、すべての攻撃を防ぐことはできません。高度なAPT攻撃や、正規ツールを巧みに悪用するLiving Off the Land攻撃では、NGAVの防御を突破されるケースがあります。このため、NGAVによる予防層に加えて、EDRによる検知・対応層を組み合わせたEPP+EDR統合のアプローチが主流となっています。

• 01
  NGAVの全エンドポイントへの展開と最新状態の維持：すべてのPC、サーバー、仮想マシンにNGAVエージェントを導入し、MLモデルとエンジンを常に最新版に保ってください。オフライン環境の端末にも定期的にモデルのアップデートを適用する仕組みを構築しましょう。
• 02
  検知モードの適切な設定：NGAVの検知感度を組織の環境に合わせて調整してください。「検知のみ」モードで運用を開始し、誤検知を確認した上で「検知＋ブロック」モードに切り替えることで、業務への影響を最小限に抑えつつ防御力を最大化できます。
• 03
  除外設定の最小化と定期的なレビュー：業務アプリケーションの互換性のために追加した除外設定は、必要最小限にとどめ、定期的にレビューしてください。除外設定が攻撃者に悪用されるリスクがあるため、除外対象のパスやプロセスは厳密に限定しましょう。
• 04
  スクリプト実行制御の有効化：NGAVのスクリプト制御機能を有効にし、PowerShell、VBScript、JScript、マクロなどのスクリプトベースの攻撃を防御してください。特にAMSI（Antimalware Scan Interface）との統合により、難読化されたスクリプトの検知精度が向上します。
• 05
  EDRとの統合運用：NGAVだけに依存せず、EDRと組み合わせた多層防御を構築してください。NGAVが攻撃を防御した場合でも、そのイベントをEDRで記録・分析することで、攻撃の全体像を把握し、根本原因の特定と再発防止策の策定に活用できます。
• 06
  第三者機関による検知率テストの参照：NGAV製品の選定時には、AV-TEST、AV-Comparatives、MITRE ATT&CK Evaluationsなどの独立した第三者機関のテスト結果を参考にしてください。ベンダーの自社テスト結果だけでなく、客観的な検知率とパフォーマンスデータに基づいた判断が重要です。