インターネット上でリアルタイムに未知のウィルスの発生を検知・分析して、対策を行えるようにしたEDR(Endpoint Detection and Response)と呼ばれる新たなアンチウィルス製品が登場してきている。セキュリティベンダーは現行のアンチウィルス製品にEDRの機能を実装してきており、アンチウィルスの領域は久しぶりに激しい競争の時代を迎えようとしている。
現状のアンチウィルス製品は、各ウィルスの振る舞いや特性を記載したシグネチャファイルを持っており、シグネチャファイルの記載内容に沿ってウィルスを発見し、防御・駆除している。セキュリティベンダーは、インターネット上におとりのシステムを構築してさまざまなウィルス情報を収集したり、実際に被害を受けたユーザーから新種のウィルス情報を収集することにより、シグネチャファイルを開発・提供している(図1)。
しかし、この方法では、新しいウィルスが発見されてから、情報を収集・分析し、新しいシグネチャファイルを開発して、ユーザーに配布するまでに数日から1週間程度の時間がかかるため、その間にウィルスはユーザーに広まり、被害を拡大してしまうことになる。
最近の身代金を要求するランサムウェアなどのPC自体を使えなくしてしまうようなウィルスの場合、シグネチャファイルを開発している間に甚大な被害を被ってしまうため、一刻も早い対策の実施が必要となる。