セキュリティ

/

 

EPP・EDRでは不充分! セキュリティ先進企業が実践「OSプロテクト型」対策とは?

OSプロテクト型セキュリティ

日々脅威を増し続けるサイバー攻撃。そのような中、マルウェアの侵入を100%防ぐことは不可能と言われています。
ハッカーを始めとする「攻撃側」と、企業を始めとする「守る側」。

”いたちごっこ”の状態に終止符を打つために、セキュリティ先進企業が取り組む新たな対策を見ていきましょう。

もはや EPP・EDRでは防ぎきれない

セキュリティ対策を行う上で、これまで正攻法と考えられていた手法の代表例が「EPP」「EDR」です。

エンドポイント保護プラットフォームを意味するEPP(Endpoint Protection Platform)は、
ファイアウォールやIPSを利用して、企業外部のインターネットと企業内ネットワーク(LAN)の境界でマルウェアの侵入を防ぐ、という方法。
そして、万が一、マルウェアの侵入・感染を許した場合に、その後の対応を迅速に行うための打ち手がEDR(Endpoint Detection and Response)です。

それぞれの位置付けや役割が異なるため、
企業はEPP・EDRの双方を導入し、運用することが求められます。
しかし、マルウェアの進化に伴い、これらの対策では不充分なケースが増えてきています。

EPP・EDRが抱える、セキュリティの「弱点」

結論から述べると、EPP・EDRには決定的な弱点があります。

例えば、EPPの基本的な方針は「マルウェアによる攻撃を水際で防ぐ」というものですが、ここでは定義ファイルに従ってPCを守ります。
しかし、マルウェアに対応した定義ファイルがなければ検知ができないため、「未知の脅威や新種のウイルスには対応できない」という弱点があります。

また、EDRは近年良く聞かれるジャンルの製品ではありますが、
そもそもの目的は「マルウェアの検知・観察や記録を行い、その攻撃を遮断すること」にあります。
これらは既にマルウェアがネットワーク内に侵入していることを前提としているため、感染自体を防ぐことはできません。
つまり、マルウェアに感染した後の「2次被害」を最小限にするための仕組みと言えるでしょう。

このように、従来型のセキュリティ製品は適用範囲が異なっており、それぞれが弱点を持っています。
では、マルウェアが社内ネットワークに侵入した際、被害を防ぐためにはどのような対応策が必要なのでしょうか?

マルウェアが侵入しても破壊させない。「OSプロテクト型」セキュリティとは?

新たなマルウェアが日々作られている中、侵入を完全に防ぐことは不可能といえます。
そこで、新しい概念として「マルウェアに侵入されても悪さをさせない」という対応策があります。
この特徴には2つの観点があります。

1つ目は、「システムの正しい動作と機能を守る」ということ。
OSを壊させない、マルウェアに感染させない、という点に重きを置いています。
この点からは、従来型のセキュリティソフトとはそもそも考え方が異なることがわかります。

2つ目は、「マルウェアの検知・駆除はしない」ということ。
検知や駆除を行うためには、パターンマッチングを始めとする「一定の基準に基づく判定」が必要になります。
これを行う限り、亜種や新種が出てきた際には都度対応が必要になり、守る側の対応は常に後手になってしまうのです。

このようなコンセプトの元、先進企業各社が導入している仕組みが「OSプロテクト型のセキュリティ(以下、OSプロテクト型)」です。

OSプロテクト型セキュリティ導入のメリット

OSプロテクト型の代表的なメリットは3つです。

1. すり抜けが発生しない
セキュリティ対策を考える上では、穴の空いたスイスチーズに見立てた「スイスチーズモデル」という多層防御の考え方が重要視されています。
これは、形の違う複数の対策を多層的に構築し、安全性を高めていくという考え方です。

しかし、多層防御を構築したとしても、全ての穴を通過する脅威(=マルウェア)は存在します。
だからこそ、OSプロテクト型では守るべきPC自体を防御し、例えすり抜けが発生しても、「最終防衛ライン」としてOSの動作・機能を守ることに特化しています。

2. 未知のマルウェアにも対応可能
OSプロテクト型では、基本的にOSが「信頼する」という設定した以外のアプリの起動を阻止する他、
アプリ起動後の不正な動作の制御を行っています。その他にも、プロセスの監視隔離機能も備えているため、想定外の動作も制御することが可能です。

3. 更新・アップデートが不要
マルウェアに対応した定義ファイルを持たないため、EPPでは必要とされたような更新作業が不要になります。

このように、OSプロテクト型には複数のメリットがあり、EPP・EDRのデメリットをカバーする仕組みが整っているのです。

 

「侵入されても壊させない」最新セキュリティ対策をはじめよう。

マルウェアと企業の”いたちごっこ”に終止符をうつ「OSプロテクト型のセキュリティ」。
最終的には、運用体制やコンプライアンス、費用対効果などを踏まえた上での対応を検討する必要があるでしょう。
だからこそ、いずれか単体での対策ではなく、「EPP・EDRの検知型」と「OSプロテクト型セキュリティ」を掛け合わせた多層防御の対策が望ましいでしょう。

従来型のセキュリティを超えた新概念の詳細については、次の資料をご一読ください。


マルウェアが動いても「感染させない」。
不正な動作をすべてシャットアウトする新型セキュリティ「AppGuard」については、下記よりご覧いただけます。

カタログ 製品の詳細


 

中須 寛人
この記事を監修した人
16年間、SIerやソフト開発会社でITソリューション営業として従事。
セキュリティおいては、主にエンドポイント、無害化、認証製品の経験を積み
大興電子通信に入社後は、さらに専門性を高め、セキュリティにおける幅広いニーズに答えていくための提案活動や企画プロモーションを展開。
お客さまと一緒に悩み、一緒に課題解決が出来る活動を心掛けている。
大興電子通信株式会社
ビジネスクエスト本部
ICTソリューション推進部
セキュリティビジネス課
中須 寛人

関連記事

  1. ゼロトラストとは?実現に向けたセキュリティ対策&実現のステップを解説

    セキュリティ

    ゼロトラストとは?実現に向けたセキュリティ対策&実現のステップを解説

    テレワークやリモートワークによって、働く環境はオフィスから自宅やサ…

  2. セキュリティ

    ゼロデイ攻撃とは?サイバー攻撃の特徴と対策方法

    従来型のサイバー攻撃と比べて対策が取りづらく、重大な被害をもたらし…

  3. セキュリティ

    標的型攻撃とは?基本的な仕組みと対策方法を解説

    標的型攻撃とは、明確な目的を持って特定の標的(ターゲット)に対して…

  4. セキュリティ

    セキュリティ対策におけるプロセス監視の考え方

    セキュリティ強化を考えているのであれば、プロセスの監視・隔離という…

  5. セキュリティ

    振る舞い検知によるセキュリティ対策の現状

    世界中でサイバー攻撃が激化している近年、社内のセキュリティを見直す…

  6. セキュリティ

    IT統制を進める上で押さえておきたいセキュリティ対策のポイント

    IT統制の実現に欠かせない「セキュリティ対策」内部統制の確…

人気記事ランキング

注目記事

業界別・部門から探す

業務から探す

トピックから探す

ホワイトペーパー

製品カタログ

  1. 新着記事やイベント情報。
    ホワイトペーパーのご案内等お役立ち情報を
    お届けします。
APPGURD

APP GUARD