セキュリティ

EPP・EDRでは不充分! セキュリティ先進企業が実践「OSプロテクト型」対策とは?

日々脅威を増し続けるサイバー攻撃。そのような中、マルウェアの侵入を100%防ぐことは不可能と言われています。
ハッカーを始めとする「攻撃側」と、企業を始めとする「守る側」。”いたちごっこ”の状態に終止符を打つために、セキュリティ先進企業が取り組む新たな対策を見ていきましょう。

もはや EPP・EDRでは防ぎきれない

セキュリティ対策を行う上で、これまで正攻法と考えられていた手法の代表例が「EPP」「EDR」です。

エンドポイント保護プラットフォームを意味するEPP(Endpoint Protection Platform)は、
ファイアウォールやIPSを利用して、企業外部のインターネットと企業内ネットワーク(LAN)の境界でマルウェアの侵入を防ぐ、という方法。
そして、万が一、マルウェアの侵入・感染を許した場合に、その後の対応を迅速に行うための打ち手がEDR(Endpoint Detection and Response)です。

それぞれの位置付けや役割が異なるため、
企業はEPP・EDRの双方を導入し、運用することが求められます。
しかし、マルウェアの進化に伴い、これらの対策では不充分なケースが増えてきています。

EPP・EDRが抱える、セキュリティの「弱点」

結論から述べると、EPP・EDRには決定的な弱点があります。

例えば、EPPの基本的な方針は「マルウェアによる攻撃を水際で防ぐ」というものですが、ここでは定義ファイルに従ってPCを守ります。
しかし、マルウェアに対応した定義ファイルがなければ検知ができないため、「未知の脅威や新種のウイルスには対応できない」という弱点があります。

また、EDRは近年良く聞かれるジャンルの製品ではありますが、
そもそもの目的は「マルウェアの検知・観察や記録を行い、その攻撃を遮断すること」にあります。
これらは既にマルウェアがネットワーク内に侵入していることを前提としているため、感染自体を防ぐことはできません。
つまり、マルウェアに感染した後の「2次被害」を最小限にするための仕組みと言えるでしょう。

このように、従来型のセキュリティ製品は適用範囲が異なっており、それぞれが弱点を持っています。
では、マルウェアが社内ネットワークに侵入した際、被害を防ぐためにはどのような対応策が必要なのでしょうか?

マルウェアが侵入しても破壊させない。「OSプロテクト型」セキュリティとは?

新たなマルウェアが日々作られている中、侵入を完全に防ぐことは不可能といえます。
そこで、新しい概念として「マルウェアに侵入されても悪さをさせない」という対応策があります。
この特徴には2つの観点があります。

1つ目は、「システムの正しい動作と機能を守る」ということ。
OSを壊させない、マルウェアに感染させない、という点に重きを置いています。
この点からは、従来型のセキュリティソフトとはそもそも考え方が異なることがわかります。

2つ目は、「マルウェアの検知・駆除はしない」ということ。
検知や駆除を行うためには、パターンマッチングを始めとする「一定の基準に基づく判定」が必要になります。
これを行う限り、亜種や新種が出てきた際には都度対応が必要になり、守る側の対応は常に後手になってしまうのです。

このようなコンセプトの元、先進企業各社が導入している仕組みが「OSプロテクト型のセキュリティ(以下、OSプロテクト型)」です。

OSプロテクト型セキュリティ導入のメリット
OSプロテクト型の代表的なメリットは3つです。

1. すり抜けが発生しない
セキュリティ対策を考える上では、穴の空いたスイスチーズに見立てた「スイスチーズモデル」という多層防御の考え方が重要視されています。
これは、形の違う複数の対策を多層的に構築し、安全性を高めていくという考え方です。

しかし、多層防御を構築したとしても、全ての穴を通過する脅威(=マルウェア)は存在します。
だからこそ、OSプロテクト型では守るべきPC自体を防御し、例えすり抜けが発生しても、「最終防衛ライン」としてOSの動作・機能を守ることに特化しています。

2. 未知のマルウェアにも対応可能
OSプロテクト型では、基本的にOSが「信頼する」という設定した以外のアプリの起動を阻止する他、
アプリ起動後の不正な動作の制御を行っています。その他にも、プロセスの監視隔離機能も備えているため、想定外の動作も制御することが可能です。

3. 更新・アップデートが不要
マルウェアに対応した定義ファイルを持たないため、EPPでは必要とされたような更新作業が不要になります。

このように、OSプロテクト型には複数のメリットがあり、EPP・EDRのデメリットをカバーする仕組みが整っているのです。

「侵入されても壊させない」最新セキュリティ対策をはじめよう。

マルウェアと企業の”いたちごっこ”に終止符をうつ「OSプロテクト型のセキュリティ」。
最終的には、運用体制やコンプライアンス、費用対効果などを踏まえた上での対応を検討する必要があるでしょう。
だからこそ、いずれか単体での対策ではなく、「EPP・EDRの検知型」と「OSプロテクト型セキュリティ」を掛け合わせた多層防御の対策が望ましいでしょう。

従来型のセキュリティを超えた新概念の詳細については、次の資料をご一読ください。

脅威を探すのではなく、徹底的にまもりぬく!次世代型セキュリティソリューション
AppGuard製品ページ:https://www.daikodenshi.jp/daiko-plus/security-appguard/

関連記事

  1. セキュリティ

    マルウェアとは?いまさら聞けないマルウェアの脅威と対策

    マルウェアというものをご存知でしょうか?ICT(情報通信技術)を利…

  2. セキュリティ

    事例を通して脅威を知る!4種類のマルウェアの被害事例

    PCやスマートフォンに対し、悪意のある行動をするのがマルウェアです…

  3. セキュリティ

    内閣サイバーセキュリティセンター(NISC)のセキュリティガイドラインとは?基準を満たす対策方法

    年々巧妙化が進むサイバー攻撃から身を守るためには、正規のガイドラインに…

  4. セキュリティ

    ゼロデイ攻撃とは?サイバー攻撃の特徴と対策方法

    従来型のサイバー攻撃と比べて対策が取りづらく、重大な被害をもたらし…

  5. セキュリティ

    セキュリティ担当者必見!情報資産を守る三大要件「CIA」とは

    情報セキュリティは企業において重要な取り組みと言えますが、情報セキ…

  6. セキュリティ

    エンドポイントセキュリティの重要性|ウイルス対策だけでは不十分

    セキュリティについて考える上で、必ず知っておかなければならないのが…

ホワイトペーパー

製品カタログ

  1. 新着記事やイベント情報。
    ホワイトペーパーのご案内等お役立ち情報を
    お届けします。