セキュリティ

【EPP・NGAV・EDR】各エンドポイントセキュリティの機能と役割

PCやネットワークの安全を守るサイバーセキュリティには複数の種類があり、企業のPCにおいては標的型攻撃から保護するためのエンドポイントセキュリティが重要です。

今回はエンドポイントセキュリティに関連する用語として、「EPP」「NGAV」「EDR」についてご紹介します。

EPP

EPP(Endpoint Protection Platform)は「エンドポイント保護プラットフォーム」と訳されるセキュリティ対策です。

悪意をもってPCに侵入しようとするマルウェアを水際で検知し、PCを保護することを目的としています。EPPに分類される製品としては、従来のアンチウイルスソフトが挙げられます。

マルウェアは「マル(悪い)」+「ソフトウェア」を意味するとおり、ひとつひとつが文書作成ソフトやインターネットブラウザなどと同じ独立したソフトウェアです。アンチウイルスソフトはPCにダウンロードされるソフトウェアをスキャンし、安全なソフトウェアかマルウェアかを判断します。

また、検知したマルウェアの分析、マルウェアから受けた攻撃の修復なども行います。他にも、インターネットからの不正な通信を防ぐファイアウォール機能、PC内にあるファイルが安全かどうかを調べるシステムスキャンなど、製品ごとにセキュリティ対策機能が多数搭載されています。

ただし、アンチウイルスソフトはすでにメーカーが対策を施してある既知のマルウェアに対応できますが、未知のマルウェアをブロックすることはできないという弱点があります。

NGAV

未知のマルウェアへの対処が困難であるEPPの弱点をカバーし、新たな脅威にも対応できるよう改良されたセキュリティ対策がNGAV(Next Generation Anti Virus)です。

NGAVはAIによる機械学習、ソフトウェアの動作からマルウェアを判定する振る舞い検知、ソフトウェアを保護された領域内で実行し不正な動きをしているかどうかを判定するサンドボックス等の機能でソフトウェアを分析し、マルウェアの検知精度を高めます。

現在はほとんどのマルウェアが新しく作成されたものであるため、EPPのみでは防ぐことができないため、NGAVを導入することには大きな意味があります。

ただし、NGAVが可能とするのはEPPと同様にマルウェアの侵入を水際で防ぐことを目的としており、未知のマルウェアの場合、NGAVでは検知できない可能性があります。

EDR

PCに侵入したマルウェアの対処が困難であるEPPやNGAVの弱点をカバーし、侵入後にその影響を最小限に留めることができるセキュリティ対策が、EDR(Endpoint Detection and Response)です。

Detection and Responseは「検知と対処」を意味し、エンドポイントに侵入したマルウェアの検知や除去、拡散防止などを担います。EDRではマルウェアそのものではなく、エンドポイント内で活動を開始したマルウェアの振る舞いを検知するため、感染後の脅威を最小限に留めることが可能です。

また、エンドポイント内の情報を定期的に収集し監視を行っているため、マルウェアの侵入経路の特定、原因解決の時間短縮が可能です。

なお、EDRはエンドポイントの情報を分析するスキルが必要となりますがSOCサービスを用いることで、リアルタイムの監視、マルウェアの早期発見、封じ込め、定期的なレポートの提供等のサービスを受けるができます。エンドポイントに侵入される前にブロック可能なEPP/NGEPPと侵入後の対処が可能なEDRで二重の対策を講じ、脅威からPCを保護することが重要です。

次世代エンドポイントセキュリティ「AppGuard」

エンドポイントセキュリティ製品として、大興電子通信では「AppGuard」を提供しています。

「AppGuard」はマルウェアの検知や振る舞い検知とは全く違う技術を用い、堅牢なセキュリティ環境を実現するエンドポイントセキュリティ製品です。

「AppGuard」の技術

「AppGuard」では、上記にてご紹介したEPPやEDRとも違う概念で悪意のある攻撃からPCを保護します。「AppGuard」の核となっている技術が、アプリケーションをコンテナ化するプロセス隔離技術です。

「AppGuard」が保護しているPCでは、マルウェアの感染リスクの高いアプリケーションが起動したとき、アプリケーションのプロセスをコンテナし、PCに悪影響のあるプロセスの動作のみを遮断し、正常なプロセスは通常どおり動作可能とします。これにより、既知の攻撃か未知の攻撃かに関係なく、PCを保護することが可能です。

「AppGuard」のプロセス監視がNGAVやEDRで行う振る舞い検知と異なる点は、最初にアプリケーションのコンテナ化を行うこと、信頼のあるアプリケーションでも監視下に置くことにあります。これにより、振る舞い検知よりも確実に悪意のある攻撃を遮断することが可能です。

超軽量な防御エンジン

「AppGuard」は、1MB以下という超軽量なエンジンで動作することも大きな特徴です。これにより「AppGuard」が高速で動作しますので、悪意のある攻撃を未然に防ぐことが可能です。

「AppGuard」がこれほど軽いエンジンで動作する理由は、既知のマルウェアかどうかを検知するために必要なシグネチャや未知のマルウェアに対応するための機械学習が必要ない点にあります。

超軽量なエンジンは、迅速な保護だけでなく、PCの動作が重くならないというメリットもあります。「AppGuard」はシグネチャや機械学習の更新が不要な点など運用の手間も少ないため、業務に影響なくPCを保護することが可能です。

脅威を探すのではなく、徹底的にまもりぬく!次世代型セキュリティソリューション
AppGuard製品ページ:https://www.daikodenshi.jp/daiko-plus/security-appguard/

エンドポイントセキュリティの強化が重要

近年は特定の企業をターゲットとした標的型攻撃が増加しており、従来のセキュリティ対策であるEPPのみでは自社のPCを保護することはできません。エンドポイントセキュリティにも複数の段階があることを把握し、多層的な保護を実施することが重要です。

関連記事

  1. セキュリティ

    もし万が一感染してしまったら?マルウェアの具体的な特徴と駆除の方法

    PCを使用する上で気をつけたいのは、悪意をもってなんらかの被害をも…

  2. セキュリティ

    IT統制を進める上で押さえておきたいセキュリティ対策のポイント

    IT統制の実現に欠かせない「セキュリティ対策」内部統制の確立に…

  3. セキュリティ

    「スイスチーズモデル」とは?安全な情報セキュリティのための考え方

    情報セキュリティにおいては、ただひとつの対策だけでは不十分だとされ…

  4. セキュリティ

    不愉快なアドウェアはどうやってPCに入り込む?アドウェアの仕組みとその削除対処方法

    頻繁に表示される広告や、勝手にホームページが変更されていると、「も…

  5. セキュリティ

    他人事ではない標的型攻撃!具体的な事例と被害に遭わないための対策

    悪意をもってPCやサーバーに攻撃を加えるサイバー攻撃には、さまざま…

  6. セキュリティ

    EPP・EDRでは不充分! セキュリティ先進企業が実践「OSプロテクト型」対策とは?

    日々脅威を増し続けるサイバー攻撃。そのような中、マルウェアの侵入を…

ホワイトペーパー

製品カタログ

  1. 新着記事やイベント情報。
    ホワイトペーパーのご案内等お役立ち情報を
    お届けします。