NTT Security Japan

お問い合わせ

【アンチウイルスとは】EPPとの違いは? 従来型ソフトが「未知の脅威」を防げない理由

セキュリティマガジン

【アンチウイルスとは】EPPとの違いは? 従来型ソフトが「未知の脅威」を防げない理由
かつてセキュリティ対策の代名詞であった「アンチウイルス」ですが、サイバー攻撃の手口が劇的に進化した現在、その防御能力だけでは十分と言えなくなっています。従来の「パターンマッチング(シグネチャ型検知)」だけでは未知のマルウェアや高度な攻撃手法を防ぎきれず、ランサムウェア被害の入り口となってしまうケースも少なくありません。本記事では、従来型アンチウイルスが限界を迎えた理由と、次世代エンドポイント対策の標準となりつつある「EPP(Endpoint Protection Platform)」との決定的な違いを解説します。

アンチウイルスとは? 仕組み・歴史・メカニズムをわかりやすく解説

まずは、従来からあるアンチウイルスの基本的な定義と、その歴史的背景を正しく理解しましょう。

定義:コンピューターウイルスを検知・駆除するソフトウェア

言葉としては「アンチウイルス」ですが、対象とする守備範囲は時代とともに拡大しています。現在は、特定のウイルスだけでなく、あらゆるマルウェア対策全般を指す言葉として一般化しています。

  • 狭義(本来の意味): 自己増殖機能を持つ「ウイルス」のみを対象とした対策ソフト。
  • 広義(現在の一般的定義): ウイルス、ワーム、トロイの木馬、ランサムウェアなど、悪意あるプログラム(マルウェア)全般を検知・駆除するソフトウェアの総称。

基本メカニズム:シグネチャ型(パターンマッチング)の仕組み

従来型アンチウイルスの検知方式の核となるのが「シグネチャ型検知(パターンマッチング)」です。

これは、過去に発見されたウイルスの特徴(シグネチャ)をデータベース化し、検査対象のファイルと照合する仕組みです。「指名手配写真のリスト」を持って検問を行うようなもので、リストに載っている犯人であれば確実に捕まえることができます。

セキュリティの歴史:インターネット普及前から続く「いたちごっこ」

アンチウイルスの歴史は古く、1980年代後半から現在に至るまで、攻撃者と防御側の終わりなき攻防が続いています。

1980年代後半(インターネット普及前)

この時代の感染経路は、主に「物理メディア」でした。

  • 主な感染源:フロッピーディスク(FD)の貸し借り
  • 特徴:感染は物理的な接触に限られていたため、拡大スピードは比較的緩やか

1990年代以降(インターネット普及期)

Windows 95の登場とインターネットの爆発的普及により、状況は一変します。

  • 主な感染源:電子メールの添付ファイル、悪意あるWebサイト
  • 特徴:地理的な制約が消え、世界規模で瞬時に感染が広がる環境が成立。ウイルスの亜種・変種も急増

繰り返される「いたちごっこ」の限界

従来型アンチウイルスは、以下のサイクルで防御を行ってきました。しかし、マルウェアの生成スピードが「秒単位」になった現代では、この仕組み自体が限界を迎えています。

  1. 【攻撃】 攻撃者が新しいウイルスを作成・拡散
  2. 【被害】 最初の被害が発生(ゼロデイ期間)
  3. 【解析】 ベンダーが検体を入手し、分析
  4. 【更新】 定義ファイル(ブラックリスト)を作成・配信
  5. 【適用】 ユーザーがPCを更新してようやく防御可能になるが、タイムラグが生まれる

なぜ今、「従来のアンチウイルス」では守れないのか?

多くの企業が導入している従来型アンチウイルス(レガシーAV)が、なぜ現代の攻撃に対して無力化しつつあるのでしょうか。その背景には、攻撃の「量」と「質」の根本的変化があります。

「未知の脅威」の爆発的増加とタイムラグ

総務省の「情報通信白書令和6年版」によれば、サイバー攻撃関連の通信数は年々増加の一途を辿っており、2015年から2023年にかけて約10倍に急増しています。

これほど攻撃活動が活発化する中で、日々数十万件規模の新種・亜種のマルウェアが生成されています。人手による解析と定義ファイルの更新(リスト作成)にはどうしてもタイムラグが発生します。この「ゼロデイ期間(無防備な時間)」を突かれると、パターンマッチングのみの従来型ソフトでは検知できず、侵入を許してしまうのです。

出典:総務省「情報通信白書令和6年版」を基に作成
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r06/pdf/n21a0000.pdf

パターンを変えてすり抜ける「ポリモーフィック型マルウェア」

単純な検知を回避するため、攻撃者は「ポリモーフィック型マルウェア」を使用します。

  • 仕組み(変異する指紋): 感染のたびにコードを自動的に書き換え、ファイルの「指紋(ハッシュ値)」を常に変化させます。
  • 従来型アンチウイルスへの影響: 中身は同じでも「外見」が毎回変わるため、固定リストと照合するだけの従来型アンチウイルスでは検知できません。

検知対象が存在しない「ファイルレス攻撃」の脅威

さらに深刻なのが、そもそも検知すべき「ファイル」が存在しない「ファイルレス攻撃」です。

PowerShellやWMIといったWindows標準の正規ツールを悪用し、メモリ上だけで不正処理を実行します。HDDにウイルスファイルが保存されないため、従来型ソフトの「ファイルスキャン」の網にかかりません。

ゼロデイ攻撃やクラウド環境への対応不足

OSやアプリの修正パッチが公開される前の隙を突く「ゼロデイ攻撃」には、照合すべきシグネチャが存在しません。また、従来型製品はオンプレミス環境を前提としたものが多く、クラウド利用が常態化した昨今の環境において、管理や防御の連携が取れないケースも増えています。

アンチウイルスとEPPの違いとは? 進化の系譜

「アンチウイルス」と「EPP」は別物なのでしょうか。実は、これらは対立する概念ではなく、包含関係にあります。

「アンチウイルス」は「EPP」の一部へ

EPP(Endpoint Protection Platform)とは、マルウェア感染を未然に防ぐための統合プラットフォームです。かつて単体ソフトだった「アンチウイルス機能」は、現在ではEPPを構成する一機能として組み込まれています。

決定的な違い:守備範囲が「既知」か「未知」か

  • 従来型アンチウイルス(Legacy AV): 定義ファイルに基づくパターンマッチングを行うため、「既知の脅威」しか防げません。
  • EPP(Next-Gen AV / NGAV): AIや振る舞い検知により、定義ファイルにない「未知の脅威」も予測して防ぐことができます。

技術の違い:「照合」か「解析」か

従来型は「過去のデータとの照合(マッチング)」で判断するため、一致しないと検知できません。一方、EPP(NGAV)はAIによる構造・挙動・振る舞いを「解析」し、悪性度をスコアリングします。

「このファイル構造は悪性である確率が高い」といった確率的判断を行うため、新種や亜種に対しても高い防御力を発揮します。

関連記事:【EPPとは】従来型アンチウイルスでは防げない理由と未知の脅威を防ぐ仕組みを徹底解説

OS標準ソフト(Microsoft Defender)は企業で使えるか?

Windows 10/11に標準搭載されている「Microsoft Defender」の性能向上に伴い、「有償ソフトは不要では?」という議論が増えています。

性能は劇的に向上し、実用レベルに到達

現在のMicrosoft Defenderは、シグネチャ検知だけでなく、AI・機械学習や振る舞い検知の機能も備えています。第三者機関のテストでも高い検知率が報告されており、単体の防御能力としては有償製品と遜色ないレベルに到達しています。

企業利用の課題:「集中管理」と「サポート体制」

しかし、企業全体で運用する場合、OS標準(無償版)のままでは課題が残ります。

  • 集中管理の欠如:ログの一元管理やポリシーの一括適用が難しく、情報システム部門が全社の状況を把握しづらい。
  • サポート体制の限定: 感染時や誤検知時に、メーカーのサポート窓口を利用できない場合がある。

「有償版(Defender for Endpoint)」検討の分岐点

組織として本格的に利用する場合、無償版のまま運用するのではなく、以下のいずれかの選択肢を検討するのが一般的です。

  • Microsoft Defender for Endpoint(有償版):集中管理機能やEDR機能を付加し、Windows環境を中心に対策したい場合。
  • サードパーティ製EPP:より直感的な管理画面や、Mac・スマホを含めた完全なマルチOS対応を求める場合。

最終的には、組織の規模と運用リソース(誰が管理・監視するか)を天秤にかけて判断する必要があります。

アンチウイルス(EPP)だけで十分か? EDRとの役割分担

最新のEPPを導入すれば完璧かと言えば、そうではありません。

防御率100%は幻想? 最新EPPでも防ぎきれない「限界」

どんなに高性能なAI検知でも、防御率を100%にすることは不可能です。世界中のハッカーが新たな抜け穴を探し続けている以上、ゼロデイ攻撃やすり抜けのリスクは常に残ります。

EPPは「盾」、EDRは「監視カメラ」。役割の明確な違い

そこで必要になるのがEDR(Endpoint Detection and Response)です。

  • EPP(盾): 侵入前の予防。既知・未知のマルウェアを入口で止める。
  • EDR(監視カメラ): 侵入後の検知・対処。入ってしまった攻撃を「見つけて対処する」ための事後対応。

関連記事:【徹底比較】EPPとEDRの違いとは?機能比較と失敗しない選び方

99%の予防と1%の対処。「多層防御」が現代の最適解

現代のセキュリティは、EPPで99%の脅威(ノイズ)を自動ブロックし、それでもすり抜けてくる1%の高度な脅威をEDRで捉える「多層防御」が最適解です。どちらか一つでは不十分であり、両者を統合して運用することが求められています。

まとめ:名称に惑わされず「中身(検知技術)」で選ぶ

「アンチウイルス」という言葉自体はなくなりませんが、その中身に求められる技術は完全にシフトしました。攻撃の総量が爆発的に増え、手口が高度化した今、パターンマッチングだけの防御は「鍵をかけずに外出する」のと同義です。

  • 現状把握: 自社のソフトが「シグネチャ更新」のみに依存していないか確認する。
  • 技術選定: 「AI」「振る舞い検知」を備えたEPP(次世代型)を選ぶ。
  • 多層防御: 予防(EPP)と対処(EDR)を組み合わせ、穴のない体制を作る。

慣れ親しんだ名称に惑わされることなく、実効性のある技術を備えたEPPへの刷新を検討してください。

【ホワイトペーパー】
人材不足・複雑化する脅威にどう立ち向かう?
MDRアウトソーシングで乗り越えるセキュリティ運用の壁

ホワイトペーパー
ダウンロード

関連記事 / おすすめ記事

Inquiry

お問い合わせ

お客様の業務課題に応じて、さまざまなソリューションの中から最適な組み合わせで、ご提案します。
お困りのことがございましたらお気軽にお問い合わせください。

お問い合わせはこちら
サービスカタログダウンロードお問い合わせ