EPP・EDRでは不充分！ セキュリティ先進企業が実践「OSプロテクト型」対策とは？

日々脅威を増し続けるサイバー攻撃。そのような中、マルウェアの侵入を100％防ぐことは不可能と言われています。
ハッカーを始めとする「攻撃側」と、企業を始めとする「守る側」。

”いたちごっこ”の状態に終止符を打つために、セキュリティ先進企業が取り組む新たな対策を見ていきましょう。

もはや EPP・EDRでは防ぎきれない

セキュリティ対策を行う上で、これまで正攻法と考えられていた手法の代表例が「EPP」「EDR」です。

エンドポイント保護プラットフォームを意味するEPP（Endpoint Protection Platform）は、
ファイアウォールやIPSを利用して、企業外部のインターネットと企業内ネットワーク（LAN）の境界でマルウェアの侵入を防ぐ、という方法。
そして、万が一、マルウェアの侵入・感染を許した場合に、その後の対応を迅速に行うための打ち手がEDR（Endpoint Detection and Response）です。

それぞれの位置付けや役割が異なるため、
企業はEPP・EDRの双方を導入し、運用することが求められます。
しかし、マルウェアの進化に伴い、これらの対策では不充分なケースが増えてきています。

EPP・EDRが抱える、セキュリティの「弱点」

結論から述べると、EPP・EDRには決定的な弱点があります。

例えば、EPPの基本的な方針は「マルウェアによる攻撃を水際で防ぐ」というものですが、ここでは定義ファイルに従ってPCを守ります。
しかし、マルウェアに対応した定義ファイルがなければ検知ができないため、「未知の脅威や新種のウイルスには対応できない」という弱点があります。

また、EDRは近年良く聞かれるジャンルの製品ではありますが、
そもそもの目的は「マルウェアの検知・観察や記録を行い、その攻撃を遮断すること」にあります。
これらは既にマルウェアがネットワーク内に侵入していることを前提としているため、感染自体を防ぐことはできません。
つまり、マルウェアに感染した後の「２次被害」を最小限にするための仕組みと言えるでしょう。

2023.09.01

マルウェアの被害事例4選。感染経路や対策もご紹介！

PCやスマートフォンに対し、悪意のある行動をするのがマルウェアです。セキュリティ対策ソフトを導入していれば多くのマルウェアの侵入を阻止できますが、中にはセキュリティを突破して世間を騒がせるほどの被害をもたらすものもあり、事例を知っておくことでより高いセキュ...

このように、従来型のセキュリティ製品は適用範囲が異なっており、それぞれが弱点を持っています。
では、マルウェアが社内ネットワークに侵入した際、被害を防ぐためにはどのような対応策が必要なのでしょうか？

マルウェアが侵入しても破壊させない。「OSプロテクト型」セキュリティとは？

新たなマルウェアが日々作られている中、侵入を完全に防ぐことは不可能といえます。
そこで、新しい概念として「マルウェアに侵入されても悪さをさせない」という対応策があります。
この特徴には２つの観点があります。

１つ目は、「システムの正しい動作と機能を守る」ということ。
OSを壊させない、マルウェアに感染させない、という点に重きを置いています。
この点からは、従来型のセキュリティソフトとはそもそも考え方が異なることがわかります。

２つ目は、「マルウェアの検知・駆除はしない」ということ。
検知や駆除を行うためには、パターンマッチングを始めとする「一定の基準に基づく判定」が必要になります。
これを行う限り、亜種や新種が出てきた際には都度対応が必要になり、守る側の対応は常に後手になってしまうのです。

このようなコンセプトの元、先進企業各社が導入している仕組みが「OSプロテクト型のセキュリティ（以下、OSプロテクト型）」です。

2019.06.10

【不正アクセス対策の新手法】脅威を検知しない?! OSプロテクト型セキュリティとは

近年、巧妙化するマルウェアによる被害のニュースは後を絶えず、従来の不正アクセスに対応する、アンチウイルス製品だけではカバーできない脅威が横行しています。 このページでは、これからのセキュリティ対策を考える上で重要となるポイントや対策について解説します。 ...

OSプロテクト型セキュリティ導入のメリット

OSプロテクト型の代表的なメリットは３つです。

1． すり抜けが発生しない
セキュリティ対策を考える上では、穴の空いたスイスチーズに見立てた「スイスチーズモデル」という多層防御の考え方が重要視されています。
これは、形の違う複数の対策を多層的に構築し、安全性を高めていくという考え方です。

しかし、多層防御を構築したとしても、全ての穴を通過する脅威（＝マルウェア）は存在します。
だからこそ、OSプロテクト型では守るべきPC自体を防御し、例えすり抜けが発生しても、「最終防衛ライン」としてOSの動作・機能を守ることに特化しています。

２． 未知のマルウェアにも対応可能
OSプロテクト型では、基本的にOSが「信頼する」という設定した以外のアプリの起動を阻止する他、
アプリ起動後の不正な動作の制御を行っています。その他にも、プロセスの監視隔離機能も備えているため、想定外の動作も制御することが可能です。

３． 更新・アップデートが不要
マルウェアに対応した定義ファイルを持たないため、EPPでは必要とされたような更新作業が不要になります。

このように、OSプロテクト型には複数のメリットがあり、EPP・EDRのデメリットをカバーする仕組みが整っているのです。

「侵入されても壊させない」最新セキュリティ対策をはじめよう。

マルウェアと企業の”いたちごっこ”に終止符をうつ「OSプロテクト型のセキュリティ」。
最終的には、運用体制やコンプライアンス、費用対効果などを踏まえた上での対応を検討する必要があるでしょう。
だからこそ、いずれか単体での対策ではなく、「EPP・EDRの検知型」と「OSプロテクト型セキュリティ」を掛け合わせた多層防御の対策が望ましいでしょう。

従来型のセキュリティを超えた新概念の詳細については、次の資料をご一読ください。

マルウェアが動いても「感染させない」。
不正な動作をすべてシャットアウトする新型セキュリティ「AppGuard」については、下記よりご覧いただけます。

カタログ　製品の詳細