セキュリティ

 

EPP・EDRでは不充分! セキュリティ先進企業が実践「OSプロテクト型」対策とは?

OSプロテクト型セキュリティ

日々脅威を増し続けるサイバー攻撃。そのような中、マルウェアの侵入を100%防ぐことは不可能と言われています。
ハッカーを始めとする「攻撃側」と、企業を始めとする「守る側」。

”いたちごっこ”の状態に終止符を打つために、セキュリティ先進企業が取り組む新たな対策を見ていきましょう。

もはや EPP・EDRでは防ぎきれない

セキュリティ対策を行う上で、これまで正攻法と考えられていた手法の代表例が「EPP」「EDR」です。

エンドポイント保護プラットフォームを意味するEPP(Endpoint Protection Platform)は、
ファイアウォールやIPSを利用して、企業外部のインターネットと企業内ネットワーク(LAN)の境界でマルウェアの侵入を防ぐ、という方法。
そして、万が一、マルウェアの侵入・感染を許した場合に、その後の対応を迅速に行うための打ち手がEDR(Endpoint Detection and Response)です。

それぞれの位置付けや役割が異なるため、
企業はEPP・EDRの双方を導入し、運用することが求められます。
しかし、マルウェアの進化に伴い、これらの対策では不充分なケースが増えてきています。

EPP・EDRが抱える、セキュリティの「弱点」

結論から述べると、EPP・EDRには決定的な弱点があります。

例えば、EPPの基本的な方針は「マルウェアによる攻撃を水際で防ぐ」というものですが、ここでは定義ファイルに従ってPCを守ります。
しかし、マルウェアに対応した定義ファイルがなければ検知ができないため、「未知の脅威や新種のウイルスには対応できない」という弱点があります。

また、EDRは近年良く聞かれるジャンルの製品ではありますが、
そもそもの目的は「マルウェアの検知・観察や記録を行い、その攻撃を遮断すること」にあります。
これらは既にマルウェアがネットワーク内に侵入していることを前提としているため、感染自体を防ぐことはできません。
つまり、マルウェアに感染した後の「2次被害」を最小限にするための仕組みと言えるでしょう。

このように、従来型のセキュリティ製品は適用範囲が異なっており、それぞれが弱点を持っています。
では、マルウェアが社内ネットワークに侵入した際、被害を防ぐためにはどのような対応策が必要なのでしょうか?

マルウェアが侵入しても破壊させない。「OSプロテクト型」セキュリティとは?

新たなマルウェアが日々作られている中、侵入を完全に防ぐことは不可能といえます。
そこで、新しい概念として「マルウェアに侵入されても悪さをさせない」という対応策があります。
この特徴には2つの観点があります。

1つ目は、「システムの正しい動作と機能を守る」ということ。
OSを壊させない、マルウェアに感染させない、という点に重きを置いています。
この点からは、従来型のセキュリティソフトとはそもそも考え方が異なることがわかります。

2つ目は、「マルウェアの検知・駆除はしない」ということ。
検知や駆除を行うためには、パターンマッチングを始めとする「一定の基準に基づく判定」が必要になります。
これを行う限り、亜種や新種が出てきた際には都度対応が必要になり、守る側の対応は常に後手になってしまうのです。

このようなコンセプトの元、先進企業各社が導入している仕組みが「OSプロテクト型のセキュリティ(以下、OSプロテクト型)」です。

OSプロテクト型セキュリティ導入のメリット

OSプロテクト型の代表的なメリットは3つです。

1. すり抜けが発生しない
セキュリティ対策を考える上では、穴の空いたスイスチーズに見立てた「スイスチーズモデル」という多層防御の考え方が重要視されています。
これは、形の違う複数の対策を多層的に構築し、安全性を高めていくという考え方です。

しかし、多層防御を構築したとしても、全ての穴を通過する脅威(=マルウェア)は存在します。
だからこそ、OSプロテクト型では守るべきPC自体を防御し、例えすり抜けが発生しても、「最終防衛ライン」としてOSの動作・機能を守ることに特化しています。

2. 未知のマルウェアにも対応可能
OSプロテクト型では、基本的にOSが「信頼する」という設定した以外のアプリの起動を阻止する他、
アプリ起動後の不正な動作の制御を行っています。その他にも、プロセスの監視隔離機能も備えているため、想定外の動作も制御することが可能です。

3. 更新・アップデートが不要
マルウェアに対応した定義ファイルを持たないため、EPPでは必要とされたような更新作業が不要になります。

このように、OSプロテクト型には複数のメリットがあり、EPP・EDRのデメリットをカバーする仕組みが整っているのです。

 

「侵入されても壊させない」最新セキュリティ対策をはじめよう。

マルウェアと企業の”いたちごっこ”に終止符をうつ「OSプロテクト型のセキュリティ」。
最終的には、運用体制やコンプライアンス、費用対効果などを踏まえた上での対応を検討する必要があるでしょう。
だからこそ、いずれか単体での対策ではなく、「EPP・EDRの検知型」と「OSプロテクト型セキュリティ」を掛け合わせた多層防御の対策が望ましいでしょう。

従来型のセキュリティを超えた新概念の詳細については、次の資料をご一読ください。


マルウェアが動いても「感染させない」。
不正な動作をすべてシャットアウトする新型セキュリティ「AppGuard」については、下記よりご覧いただけます。

カタログ 製品の詳細


 

中須 寛人
この記事を監修した人
16年間、SIerやソフト開発会社でITソリューション営業として従事。
セキュリティおいては、主にエンドポイント、無害化、認証製品の経験を積み
大興電子通信に入社後は、さらに専門性を高め、セキュリティにおける幅広いニーズに答えていくための提案活動や企画プロモーションを展開。
お客さまと一緒に悩み、一緒に課題解決が出来る活動を心掛けている。
ビジネスクエスト本部
ICTソリューション推進部
セキュリティビジネス課
中須 寛人

関連記事

  1. セキュリティ

    他人事ではない標的型攻撃!具体的な事例と被害に遭わないための対策

    悪意をもってPCやサーバーに攻撃を加えるサイバー攻撃には、さまざま…

  2. セキュリティ

    標的型メール訓練はなぜやるの?目的やポイントを徹底解説!

    かつては不特定多数を狙ったサイバー攻撃が多くありましたが、近年は特…

  3. セキュリティ

    【不正アクセス対策の新手法】脅威を検知しない?! OSプロテクト型セキュリティとは

    近年、巧妙化するマルウェアによる被害のニュースは後を絶えず、従来の…

  4. シングルサインオン(SSO)とは?意味やメリット、仕組みを解説!

    セキュリティ

    シングルサインオン(SSO)とは?意味やメリット、仕組みを解説!

    シングルサインオン(SSO)とは一組のID・パスワードによる認証を…

  5. セキュリティ

    企業が陥る情報漏えいの原因とその防止方法とは

    情報管理において、常に細心の注意を払う必要があるのが情報漏えいです…

  6. セキュリティ

    セキュリティ対策で重要なサンドボックスとは?仕組みや注意点を知ろう

    数多くの企業において、セキュリティ対策を重要な経営課題としてあげて…

注目記事

カテゴリー検索

ホワイトペーパー

製品カタログ

  1. 新着記事やイベント情報。
    ホワイトペーパーのご案内等お役立ち情報を
    お届けします。

APP GUARD