多層防御によるセキュリティ対策
巧妙化した新たなサイバー攻撃は既存の保護を打破しようと試みるため、多層防御を備えることが非常に重要です。異なるレベルのインフラストラクチャに対応し、すべての保護された資産にさまざまな多層防御を適用する必要があります。これにより、大多数の攻撃者に対してシステムが適切に防御されると同時に、さまざまな種別のマルウェアに対する効果的な保護が可能になります。
上記の画像は、脅威がファイルのアンチウイルスのさまざまな防御層でブロックされることを示したものです。
第1層 は、マスクとハッシュによりマルウェアを検知する信頼性の高い超高速テクノロジーで構成されています。
第2層 はエミュレーション を使用し、隔離された環境で疑わしいコードを実行します。バイナリとスクリプトの両方がエミュレーションされ、Web脅威から保護するために不可欠です。
第3層 は従来型の検知ルーチンです。これはKaspersky Labのセキュリティエキスパートがコードを記述し、定義データベース内のユーザーに直接提供されるツールです。このテクノロジーは非常に重要で、ランサムウェアの復号化ツールおよび正規パッカー用の解凍ツールを補完します。
第4層 は、クライアント側での機械学習モデル の使用を前提としています。モデルの高度な一般化機能は、2か月以上定義データベースのアップデ―トができない場合でも、未知の脅威を検知する機能の品質低下を防ぎます。
第5層 は、ビッグデータを使用したクラウド検知 です。Kaspersky Security Networkと連携しているすべてのエンドポイントから収集している脅威情報の分析を活用します。これにより、新たな脅威に対して今までにない迅速な対応を実現し、誤検知を最小限にとどめることができます。
第6層 は、実行ログに基づくヒューリスティック分析です。犯罪者を”現行犯”で捕らえるほど失敗のない確実な方法はありません。不審なプロセスによって改ざん、変更が行われたデータを、瞬時のバックアップし自動でロールバックします。これにより、マルウェアが検知された瞬間にマルウェアを無害化します。
第7層 では、ファイルのふるまいに関する情報をリアルタイムで収集し、詳細な機械学習モデルを作成します。このモデルは、最小限の命令の分析でファイルの悪意のある性質を検知できます。これは脅威の持続性を最小限に抑え、モデルのアップデ―トが長期間できない場合でも機械学習により高い検知率を実現します。
ご覧のように、ファイルのアンチウイルスのサブシステムのさまざまな防御層で機械学習 を使用することは、Kaspersky Labの次世代の多層防御アプローチを本質的に実証するものです。内部では、これは「多層機械学習」または略して「ML2」と呼ばれます。
その他のカスペルスキーセキュリティ製品においても同じアプローチを使用しています。
