コンピュータウイルスの感染による被害が増えており、多くの企業で対策が求められています。

コンピュータウイルスを検知するための技術としてよく用いられるのがヒューリスティック法です。

ウイルス対策ソフトを選ぶ際には、採用されている手法の特徴や違いを理解しておきましょう。

本記事ではヒューリスティック法の基本的な概念からビヘイビア法との違い、おすすめのウイルス対策ソフトまで紹介します。

アンチウイルスソフトを導入する際の参考にしてください。

目次

• ヒューリスティック法の基本
  • ヒューリスティック法とは
  • ヒューリスティック法の手法
• ヒューリスティック法とビヘイビア法の違い
  • ビヘイビア法の概要
  • 検知手法の違い
• ヒューリスティック法のメリット
  • 高速な問題解決
  • 実装の単純さ
  • 柔軟性
• ヒューリスティック法のデメリット
  • 問題依存性
  • パラメータ調整が必要
  • 最適解を保証しない
• ウイルス対策ソフトの紹介
  • ヒューリスティック法を採用したソフト1：CylancePROTECT
  • ヒューリスティック法を採用したソフト2：Trend Micro Apex One
  • ヒューリスティック法を採用したソフト3：Symantec Endpoint Protection
  • ビヘイビア法を採用したソフト1：ESET PROTECT Advanced
  • ビヘイビア法を採用したソフト2：FortiSandbox
  • ビヘイビア法を採用したソフト3：Trellix Endpoint Security
• ヒューリスティック法のまとめ

監修者 rushx1202

WEBライター歴12年です。IT系の記事執筆経験は豊富にあります。

ヒューリスティック法の基本

ウイルスを検知する方法の1つがヒューリスティック法です。

未知のウイルスを検知できる手法であり、新種の脅威に対処できます。

以下ではヒューリスティック法の基本から具体的な手法まで紹介します。

ヒューリスティック法とは

ヒューリスティック法とは実際にプログラムを動作させることなくウイルスを検知できる方法です。

マシン語レベルでコード解析を行い、疑わしい動作を記述するコードが含まれていないか判断します。

ヒューリスティックとは、経験則によりおおむね正解と思われる解答を直感的に見つけ出すという意味です。

あらかじめ定義した基準から推測する手法のため、誤検出するケースがあります。

ただし、近年は技術が進展して精度が上がりました。

動作に注目した方法のため、未知のウイルスや既知のウイルスの亜種を見つけることも可能です。

プログラムを動作させずに検出する方式のため、静的ヒューリスティック法と呼ばれることもあります。

ヒューリスティック法の手法

ヒューリスティック法ではプログラムのコードから動作を読み取った上でウイルスかどうかを判断します。

不審な動作を行う可能性のあるコードを検知する手法です。

システムファイルへの書き込み、レジストリへの登録といった怪しい振る舞いに関するコードを検査します。

プログラムの動作に注目した動作であり、未知のウイルスにも対応可能です。

従来は、既知のウイルスのパターンと照らし合わせて検出していました。

しかし、従来の手法では、未知のウイルスに対処できません。

ヒューリスティック法の場合は、不審な動作そのものに注目しています。

ウイルスと思われる動作をするコードに注目した手法のため、新しい脅威にも対応可能です。

ヒューリスティック法とビヘイビア法の違い

ヒューリスティック法とビヘイビア法は、ウイルスを見つけ出す仕組みに違いがあります。

それぞれにメリット・デメリットがあり、上手く使い分けることが大切です。

ヒューリスティック法とビヘイビア法の違いを紹介します。

ビヘイビア法の概要

ビヘイビア法は動的ヒューリスティック法とも呼ばれ、実際にプログラムを動作させるのが特徴です。

プログラムを動作させて、挙動に疑わしい部分がないか調べます。

実際にウイルスの感染に関連する動作を起こさないのか細かく監視する手法です。

レジストリの改ざんやシステムファイルの変更、感染活動など怪しい振る舞いをチェックします。

また、ウイルスの動作の結果として引き起こされる環境の変化を検知してウイルスを検出することも可能です。

たとえば、通信量の異常増加やエラー量の異常増加などからウイルスを見出すケースもあります。

ファイルの動作を伴うためシステムへの負荷の大きな手法です。

そのため、別の方法と併用することを前提とした手法といえます。

検知手法の違い

ヒューリスティック法とビヘイビア法の検知手法の違いを以下に表でまとめました。

ヒューリスティック法とビヘイビア法はいずれもウイルスの動作に注目します。

ヒューリスティック法はプログラムのコードから動作をチェックしてウイルスを検出するのが特徴です。

コードの内容の解析飲みを行うため、処理の負荷は軽くなります。

ビヘイビア法は実際にプログラムを実行して動作をチェックする手法のため、システムへの負荷は大きいです。

いずれの手法でも、誤検出の可能性はあります。

処理の負荷に違いがあることから、まずヒューリスティック法を実施して、ウイルスの疑いがある場合にビヘイビア法を採用するのが一般的です。

関連記事

【入門者必見】マルウェア対策とは？感染事例やウイルス対策との違い、おすすめのソフトなど徹底解説！

ヒューリスティック法のメリット

ヒューリスティック法のメリットは以下の通りです。

• 高速な問題解決
• 実装の単純さ
• 柔軟性

実際にプログラムを実行しないため、高速に問題解決ができます。

実装しやすい点や柔軟性がある点もメリットです。

上記で紹介したメリットについて、以下で詳しくみていきます。

高速な問題解決

ヒューリスティック法はウイルスについて高速な問題解決ができる点がメリットです。

プログラムのコードの内容から問題のある動作を引き起こす可能性がないか判断します。

実際にプログラムを実行せずに行う手法のため、処理の負荷は少なく、短時間でチェックが完了できるのが特徴です。

短時間で問題のあるファイルを検出して対処することができます。

ウイルスの脅威に対して高速に問題解決を図ることができるため、大きなトラブルのリスクを回避できるでしょう。

実装の単純さ

ヒューリスティック法は実装しやすい点がメリットといえます。

従来のウイルス対策ソフトはパターンマッチングが主流でした。

過去のウイルスのパターンを参照して、一致するものをウイルスとして検出します。

一方、ヒューリスティック法ではあくまでもウイルスらしい動作かどうかを判定するのが特徴です。

そのため、過去のウイルスに関するパターンを用意する必要はありません。

ウイルスらしい振る舞いを判定するポイントが定義ファイルに記述されています。

膨大なデータベースを必要とせずにウイルスを検知できるため、実装の単純さを実現している手法です。

柔軟性

ヒューリスティック法はウイルスらしい動作に注目して脅威を判定する仕組みです。

従来の方法と比較すると、未知のウイルスにも対応できる柔軟性を持っています。

数々の動作がウイルスらしい動作の判定基準として用意されているのが特徴です。

未知のウイルスでも、振る舞いがウイルスらしければ検出ができます。

未知のウイルスの脅威が高まっているため、柔軟性の高さは重要です。

ヒューリスティック法のデメリット

ヒューリスティック法のデメリットは以下の通りです。

• 問題依存性
• パラメータ調整が必要
• 最適解を保証しない

あらかじめ定義された問題によって検出できるウイルスの種類が変わります。

それぞれの環境ごとに最適な検出が行えるようにパラメータ調整が必要です。

あくまでも定義された問題から推測する仕組みのため、最適解を保証しません。

上記のようなデメリットについて、詳しく紹介します。

問題依存性

ウイルスらしい動作や挙動に一致する動作を検出するため、問題依存性があります。

どのような動作をウイルスとして検出するのかによって、検出精度が変わる点が問題です。

たとえば、OS起動時の自動実行や起動直後のファイルコピー、別プロセスの起動などが問題のある動作として提案されています。

また、正常動作と異常動作を見分ける閾値の設定により精度が変わる点も問題です。

適切に設定しないと、正常なプログラムまでウイルスとみなす可能性があります。

近年は巧妙な仕組みを持つウイルスが増えており、真にウイルスらしい振る舞いの設定が大きな課題です。

パラメータ調整が必要

どんなファイルを検査するのかパラメータ調整が必要になります。

すべての種類のファイルや拡張子を対象にするケースから、特定のファイルを除外するケースまであるでしょう。

ユーザー側でさまざまな検査パラメーターを指定しなければいけません。

パラメータの設定方法には膨大な組み合わせがあります。

それぞれの環境によって適切なパラメータは異なるため、調整に工夫が必要です。

最適解を保証しない

事前に設定されたウイルスらしい動作を検出する仕組みのため、最適解を保証しません。

既知のパターンと一致する検出法とは異なり、あくまでも推測だからです。

常に誤検知の可能性は存在しており、ウイルスを見逃すケースもあります。

1つの動作を指定するコードの書き方は無数に存在するため、完全に問題のあるコードの解析をするのは不可能です。

また、コード部分を暗号化するポリモーフィック型のウイルスに対しては、コード内部の解析を行えません。

ヒューリスティック法は単体で使用するのではなく、あくまでも他の手法と併用して用います。

ウイルス対策ソフトの紹介

ウイルス対策ソフトには、ヒューリスティック法を採用したものもあれば、ビヘイビア法を採用したものもあります。

ウイルス検知の手法に注目してウイルス対策ソフトを選びましょう。

本記事では以下のソフトをおすすめします。

• CylancePROTEC
• Trend Micro Apex One
• Symantec Endpoint Protection
• ESET PROTECT Advanced
• FortiSandbox
• Trellix Endpoint Security

以下ではヒューリスティック法を採用したソフトとビヘイビア法を採用したソフトで代表的なものをそれぞれ紹介します。

ヒューリスティック法を採用したソフト1：CylancePROTECT

CylancePROTECTはAIを活用した検知エンジンを用いてウイルスを検知する製品です。

AIによってウイルスの特徴を学習したAIモデルがウイルスかどうかの予測をします。

既知・未知にかかわらず高い精度でウイルスを検知できるのがCylancePROTECTの特徴です。

ウイルスのパターンファイルに頼らずに検知できるため、オフライン環境でも利用できます。

CylancePROTECTはクラウド環境で利用できる製品のため、本社や支社、出張先などどこでも利用可能です。

スキャン時には負荷を分散する仕組みがあるため、軽量な動作を実現します。

クラウド型のツールであり、オンプレミスのサーバ導入は不要です。

すぐに運用を開始できて、管理コストを抑えられます。

端末ごとの設定は不要であり、一括で設定できるため、管理に負担がかかりません。

ヒューリスティック法を採用したソフト2：Trend Micro Apex One

Trend Micro Apex Oneは中小企業向けのウイルス対策ソフトです。

さまざまな機能が備わっており、総合的なセキュリティ対策ができます。

Trend Micro Apex Oneには振る舞い検知の機能が搭載されており、ヒューリスティック法により怪しいプログラムの動作を監視して、脅威に対抗できるソフトです。

Webや迷惑メールからの脅威をブロックすることもできます。

情報漏洩のリスクのあるアプリの検出などの機能があり、社内のセキュリティ対策の管理がしやすいです。

機械学習技術を活用しており、未知の脅威にも迅速に対処できます。

Webレピュテーションやメモリースキャン、エクスプロイト対策など豊富な機能で強力な保護を提供するソフトです。

ヒューリスティック法を採用したソフト3：Symantec Endpoint Protection

Symantec Endpoint Protectionはウイルス対策やファイアウォールなどの機能が備わったセキュリティソフトです。

マルウェアに特有の1,400通りの振る舞いを監視して、ウイルスの疑いのあるファイルを検出します。

常に最新のウイルス情報を取得して迅速に新たな脅威に対応できるソフトです。

Symantec Endpoint Protectionにはファイアウォールやアプリ・デバイスの制御、クリーンアップといった機能もあります。

機械学習エンジンが搭載されており、誤検知を抑えられるのが特徴です。

ビヘイビア法を採用したソフト1：ESET PROTECT Advanced

ESET PROTECT Advancedはクラウドサンドボックスに対応したウイルス対策ソフトです。

ウイルスの疑いのあるファイルは、隔離されたクラウドサンドボックスで分析します。

クラウドサンドボックス内でファイルを実行することで、他のソフトウェアに影響を与えることなくウイルスの疑いがないか確認できるのが特徴です。

他にも、ESET PROTECT Advancedにはエンドポイント保護やファイルサーバーセキュリティ、ディスク暗号化といった機能があります。

ゼロデイやランサムウェアの脅威にも対処でき、多くの法人で導入実績のあるソフトです。

ビヘイビア法を採用したソフト2：FortiSandbox

FortiSandboxはサンドボックスによるウイルスの検知ができる製品です。

サンドボックスに隔離したファイルの検知ができます。

既知から未知、さらにポリモーフィック型のウイルスにも対応可能です。

FortiSandboxにはMITRE ATT&CKマトリックスが内蔵されており、高速でウイルスの調査を行えます。

第三者機関からも評価されており、FortiSandboxは安心して導入できる製品です。

既存のセキュリティインフラと統合しやすく、幅広い環境に対応します。

ビヘイビア法を採用したソフト3：Trellix Endpoint Security

Trellix Endpoint Securityはエンドポイントセキュリティのための機能が備わったソフトです。

機械学習をベースとした脅威対策が行えるソフトであり、振る舞い検知ができます。

機械学習でウイルスの振る舞いを学習していき、より高い精度で脅威を検出できるのが特徴です。

Trellix Endpoint Securityにはロールバック機能があり、ファイルが暗号化されたとしても元の状態に復帰させられます。

パスワードの盗難を防ぐための機能もあり、情報流出に備えられるでしょう。

Trellix Endpoint Securityはファイルレスマルウェアからの脅威に対しても高い防御能力を持っています。

ヒューリスティック法のまとめ

ヒューリスティック法とは、ウイルスらしい特徴の動作を示すコードを見つけてウイルスを検出する手法です。

実際にプログラムを実行する必要がないため、処理の負荷を抑えることができます。

現在、多くのウイルス対策ソフトに採用されている手法であり、未知の脅威への対抗手段となるでしょう。

ただし、誤検出するリスクも存在するため、他の手法と併用してウイルス検知を行うソフトが多いです。

ウイルス対策の方法について迷った場合は、実績豊富な株式会社Jiteraに一度ご相談ください。

Jiteraでは、要件定義を書くだけでAIが生成するツールで、アプリ・システム開発を行っています。

貴社の要件に対する的確なアドバイスを提供できます。