なぜエンドポイントはスキャニングに依存してはいけないのか？

アンチウイルスは、 エンドポイントを保護するためのデフォルトのソリューションであることは間違いありません。ほとんどのウイルス対策ソリューションは、エンドポイントをスキャンし、既知の脅威のシグネチャデータベースとファイルを照合します。既知の脅威を特定するには十分ですが、スキャン技術は今日のエンドポイントを標的とする高度な脅威には対応できません。以下は、エンドポイントのセキュリティを確保する際に、スキャンを防御の第一線にすべきではない4つの主な理由です。

1.署名データベースへの依存

現在の脅威の状況では、マルウェアは猛烈なスピードで変化する可能性があり、シグネチャ・データベースが古くならないように、最新のシグネチャを継続的に更新する必要があります。スキャンと同様に、これらのアップデートはシステムのパフォーマンスを低下させる可能性があります。ウイルス対策ソリューションでは、ユーザーが都合の良い時間帯にアップデートのスケジュールを設定できるようになっていることが多いのですが、これではデータベースが長期間古いままになってしまい、その間に脅威がスキャナを回避して検知を逃れてしまう可能性があります。

2.既知の脅威のみを特定

スキャナーは、サンプルについて既に知られていることに限定されます。ゼロデイ脅威やポリモーフィック型マルウェアなど、未知のものは検出されません。攻撃者は、既存の脅威にわずかな変更を加えることで、スキャンエンジンによる脅威検知を回避し、ポリモーフィック型マルウェア（亜種）を作り出すことがよくあります。これらの亜種を検出するためには、全く新しいシグネチャが必要となり、スキャナは役に立たなくなります。新しいシグネチャを作成するのは手間がかかり、攻撃者が脅威を変更する速度に追いつくことはできません。

3.パフォーマンスへの影響

アンチウイルスソリューションは、システムの動作に関係なく、定期的に悪意のあるファイルや脅威をスキャンします。これはリソースを大量に消費し、ディスク容量を食いつぶし、デバイスの速度を低下させます。影響を最小限に抑えるため、ユーザーはスキャンを回避したり、スケジュールを変更したり、スキャン頻度を変更したり、アンチウイルスを完全に停止したりすることがよくあります。これらのアクションは、一時的にパフォーマンスの低下を回避することはできますが、以前のスキャンでは検出されなかった可能性のあるマルウェアに対する脆弱性をシステムに残します。さらに、定期的なスキャンは、スキャンの間にシステムに侵入したマルウェアを見逃すリスクを高めます。

4. 脅威とみなされない休息中のファイル

悪意のあるファイルは、実行されるまではシステムに実際の脅威を与えません。ウイルス対策ソリューションは、潜在的に悪意のあるファイルをスキャンするため、システムを脅かさないものを検索するパフォーマンスに大きな影響を与えます。

最高のエンドポイント・セキュリティ・ソリューションは、マルウェア防御に複数の手法を用いることで、進化する脅威から保護し、アンチウイルス・スキャナが抱える懸念に対処します。クラウドベースの脅威分析サービスと統合することで、既知、未知、ゼロデイの脅威を防止し、休眠中の活動にシステムリソースを消費するのではなく、マルウェアがアクティブになった時点でマルウェアに焦点を当てることができます。

マルウェアが特定されると、クラウドベースのサービスは自動的に予防策を作成し、保護されているすべてのエンドポイントに共有します。これにより、エンドポイントは、定期的な更新を必要とすることなく、既知のマルウェアや新たに確認されたマルウェアを確実に防ぐことができます。しかし、セキュリティチームは、コンプライアンスやセキュリティ保証のために、必要に応じてマルウェアファイルをスキャンすることができます。

XDR（ExtendedDetection and Response）は、エンドポイントセキュリティに対する革新的なアプローチです。XDRは、ネットワーク、クラウド、エンドポイントデータなど、事実上すべてのデータを収集することができます。XDRシステムは、機械学習、アナリティクス、自動化を使用して、これらのソースをつなぎ合わせてインサイトを導き出し、サイロ化されたセキュリティツールと比べて、セキュリティの可視性と生産性を向上させます。その結果、調査が合理化、迅速化され、あらゆる脅威の発見、ハンティング、調査、対応にかかる時間が短縮されます。

あらゆるソースからのデータを統合して最新の攻撃を阻止する業界初のXDRプラットフォームであるCortex XDRの詳細については、製品ページをご覧ください。