セキュリティ

【EPP・NGAV・EDR】各エンドポイントセキュリティの機能と役割

サイバーセキュリティ

PCやネットワークの安全を守るサイバーセキュリティには複数の種類があり、企業のPCにおいては標的型攻撃から保護するためのエンドポイントセキュリティが重要です。

今回はエンドポイントセキュリティに関連する用語として、「EPP」「NGAV」「EDR」についてご紹介します。

EPP

EPP(Endpoint Protection Platform)は「エンドポイント保護プラットフォーム」と訳されるセキュリティ対策です。

悪意をもってPCに侵入しようとするマルウェアを水際で検知し、PCを保護することを目的としています。EPPに分類される製品としては、従来のアンチウイルスソフトが挙げられます。

マルウェアは「マル(悪い)」+「ソフトウェア」を意味するとおり、ひとつひとつが文書作成ソフトやインターネットブラウザなどと同じ独立したソフトウェアです。アンチウイルスソフトはPCにダウンロードされるソフトウェアをスキャンし、安全なソフトウェアかマルウェアかを判断します。

また、検知したマルウェアの分析、マルウェアから受けた攻撃の修復なども行います。他にも、インターネットからの不正な通信を防ぐファイアウォール機能、PC内にあるファイルが安全かどうかを調べるシステムスキャンなど、製品ごとにセキュリティ対策機能が多数搭載されています。

ただし、アンチウイルスソフトはすでにメーカーが対策を施してある既知のマルウェアに対応できますが、未知のマルウェアをブロックすることはできないという弱点があります。

NGAV

未知のマルウェアへの対処が困難であるEPPの弱点をカバーし、新たな脅威にも対応できるよう改良されたセキュリティ対策がNGAV(Next Generation Anti Virus)です。

NGAVはAIによる機械学習、ソフトウェアの動作からマルウェアを判定する振る舞い検知、ソフトウェアを保護された領域内で実行し不正な動きをしているかどうかを判定するサンドボックス等の機能でソフトウェアを分析し、マルウェアの検知精度を高めます。

現在はほとんどのマルウェアが新しく作成されたものであるため、EPPのみでは防ぐことができないため、NGAVを導入することには大きな意味があります。

ただし、NGAVが可能とするのはEPPと同様にマルウェアの侵入を水際で防ぐことを目的としており、未知のマルウェアの場合、NGAVでは検知できない可能性があります。

EDR

EDR(Endpoint Detection and Response)

PCに侵入したマルウェアの対処が困難であるEPPやNGAVの弱点をカバーし、侵入後にその影響を最小限に留めることができるセキュリティ対策が、EDR(Endpoint Detection and Response)です。

Detection and Responseは「検知と対処」を意味し、エンドポイントに侵入したマルウェアの検知や除去、拡散防止などを担います。EDRではマルウェアそのものではなく、エンドポイント内で活動を開始したマルウェアの振る舞いを検知するため、感染後の脅威を最小限に留めることが可能です。

また、エンドポイント内の情報を定期的に収集し監視を行っているため、マルウェアの侵入経路の特定、原因解決の時間短縮が可能です。

なお、EDRはエンドポイントの情報を分析するスキルが必要となりますがSOCサービスを用いることで、リアルタイムの監視、マルウェアの早期発見、封じ込め、定期的なレポートの提供等のサービスを受けるができます。エンドポイントに侵入される前にブロック可能なEPP/NGEPPと侵入後の対処が可能なEDRで二重の対策を講じ、脅威からPCを保護することが重要です。

次世代エンドポイントセキュリティ「AppGuard」

エンドポイントセキュリティ製品として、大興電子通信では「AppGuard」を提供しています。

「AppGuard」はマルウェアの検知や振る舞い検知とは全く違う技術を用い、堅牢なセキュリティ環境を実現するエンドポイントセキュリティ製品です。

「AppGuard」の技術

「AppGuard」では、上記にてご紹介したEPPやEDRとも違う概念で悪意のある攻撃からPCを保護します。「AppGuard」の核となっている技術が、アプリケーションをコンテナ化するプロセス隔離技術です。

「AppGuard」が保護しているPCでは、マルウェアの感染リスクの高いアプリケーションが起動したとき、アプリケーションのプロセスをコンテナし、PCに悪影響のあるプロセスの動作のみを遮断し、正常なプロセスは通常どおり動作可能とします。これにより、既知の攻撃か未知の攻撃かに関係なく、PCを保護することが可能です。

「AppGuard」のプロセス監視がNGAVやEDRで行う振る舞い検知と異なる点は、最初にアプリケーションのコンテナ化を行うこと、信頼のあるアプリケーションでも監視下に置くことにあります。これにより、振る舞い検知よりも確実に悪意のある攻撃を遮断することが可能です。

超軽量な防御エンジン

「AppGuard」は、1MB以下という超軽量なエンジンで動作することも大きな特徴です。これにより「AppGuard」が高速で動作しますので、悪意のある攻撃を未然に防ぐことが可能です。

「AppGuard」がこれほど軽いエンジンで動作する理由は、既知のマルウェアかどうかを検知するために必要なシグネチャや未知のマルウェアに対応するための機械学習が必要ない点にあります。

超軽量なエンジンは、迅速な保護だけでなく、PCの動作が重くならないというメリットもあります。「AppGuard」はシグネチャや機械学習の更新が不要な点など運用の手間も少ないため、業務に影響なくPCを保護することが可能です。

脅威を探すのではなく、徹底的にまもりぬく!次世代型セキュリティソリューション
AppGuard製品ページ:https://www.daikodenshi.jp/daiko-plus/security-appguard/

エンドポイントセキュリティの強化が重要

エンドポイントセキュリティ近年は特定の企業をターゲットとした標的型攻撃が増加しており、従来のセキュリティ対策であるEPPのみでは自社のPCを保護することはできません。エンドポイントセキュリティにも複数の段階があることを把握し、多層的な保護を実施することが重要です。

関連記事

  1. セキュリティ

    振る舞い検知によるセキュリティ対策の現状

    世界中でサイバー攻撃が激化している近年、社内のセキュリティを見直す…

  2. セキュリティ

    多層的な防御を作る!各マルウェア対策製品の役割と特徴

    悪意をもってPCに侵入しさまざまな被害をもたらすマルウェアを防ぐた…

  3. セキュリティ

    マルウェアとは?いまさら聞けないマルウェアの脅威と対策

    マルウェアというものをご存知でしょうか?ICT(情報通信技術)を利…

  4. セキュリティ

    ランサムウェアの対策方法を知ろう!6つの感染経路をご紹介

    悪意をもってPCになんらかの被害をもたらすマルウェアの中でも、近年…

  5. セキュリティ

    海外では進んでいる「CSIRT」設置・運用をどう進めるべきか?

    不正アクセスやマルウェア感染といった脅威が日々存在感を高める昨今、…

注目記事

  1. ">
  2. ">
  3. ">

カテゴリー検索

ホワイトペーパー

製品カタログ

  1. 新着記事やイベント情報。
    ホワイトペーパーのご案内等お役立ち情報を
    お届けします。