エンドポイント・セキュリティ対策には「EPP」と「EDR」がある

近年のサイバー攻撃は手口が極めて高度化・巧妙化しており、かつ日々膨大な数の未知のウイルスが誕生していることから、ファイアウォールやIDS/IPSなど従来からあるネットワーク型のセキュリティ製品では、もはやその被害を100%防ぐのは困難だと言われています。実際には、かなりの数の脅威がこうした「入口対策」を潜り抜け、ネットワーク内に侵入していると見られています。

そこで現在では、ネットワーク内に侵入したマルウェアが実際に活動を行うサーバやPCなどの「エンドポイント」上で被害を食い止めることの重要性が指摘されています。いわゆる「エンドポイントセキュリティ」「エンドポイント対策」呼ばれる手法で、盗まれる危険性のある情報資産が置かれたエンドポイント上の「水際」で敵を捕まえようというわけです。

一言でエンドポイント対策といっても、その中に含まれるセキュリティ技術は実に多岐に渡りますが、大きく分けると「EPP(Endpoint Protection Platform:エンドポイント保護プラットフォーム)」と「EDR(Endpoint Detection and Response)」の2種類に分けることができます。それぞれの特徴を簡単に言い表せば、EPPは「エンドポイントをマルウェア感染から防御する」ためのもの、一方のEDRは「エンドポイントが感染してしまったことを検知し、その後の対応を行うもの」と理解すればいいかと思います。

EPPはさまざまな手法を組み合わせてエンドポイントの感染を防ぐ

EPPの最も分かりやすい例は、昔から存在するアンチウイルス製品です。マルウェアのシグネチャファイルを使って、エンドポイントが受け取ったファイルのパターンマッチングを行い、既知の脅威であるかどうかを判別します。こうした技術を使った製品は、既知の脅威をブロックし、エンドポイントを感染から守る手法としてEPPにカテゴライズされます。

また近年では、1日当たり数万の新種マルウェアが誕生しているといわれ、パターンマッチングで用いるシグネチャファイルの更新・配布がとても間に合わないため、亜種・新種のマルウェアを使った攻撃に対応しきれません。

特に標的型攻撃では未知のマルウェアを使った攻撃が当たり前になっており、昔ながらのアンチウイルス製品では防ぐことができません。そこで近年では、パターンマッチングに頼らず、人工知能や機械学習を利用してマルウェアや悪意のあるプログラムを検知し、それらがエンドポイント上で実行されるのを防止する「次世代アンチウイルス(NGAV)」が提供されています。

EPPでは、複数の検知技術を組み合わせることで、「マルウェアや悪意のあるプログラムであるかどうか」を総合的に判定し、その上で“クロ”と判定されたファイルは自動的に駆除、あるいは実行されないようにします。

EPPとEDRの両方を同時にカバーするサイバーリーズン製品

ただし、EPPは決して万能ではありません。実際にはどれだけ多くの検知技術を投入しても、それらをすり抜ける未知の脅威が一定数存在します。そうやってEPPをすり抜けて、エンドポイントに感染した脅威を検知し、対応するための技術がEDRです。

EDRはEPPのようにマルウェアのファイルそのものを検査するのではなく、エンドポイント上で活動を始めたマルウェアの「挙動」を分析して脅威を検知します。従って、より差し迫った脅威を確実に検知できるソリューションだといえるでしょう。

ではEDRがあればEPPは不要かというと、そんなことは決してありません。仮にEDRだけをエンドポイント上に導入したとしても、あまりにも多くの「疑わしい挙動」が検知されてしまうため、対応に多くの時間を取られてしまいます。従って、まずはEPPで大部分の脅威を除去し、それでもなおすり抜けてくる一部の未知の脅威をEDRで捕まえるという「二段構え」の対策が推奨されます。

なおサイバーリーズンでは、このEDRとEPP両方の製品を提供しています。もともとはEDR製品「Cybereason EDR」で広く知られているサイバーリーズンですが、現在ではEPPをカバーするNGAV(次世代アンチウイルス)製品「Cybereason NGAV」を統合した次世代エンドポイントセキュリティプラットフォーム「Cybereason Complete Endpoint Protection」も提供しています。

Cybereason Complete Endpoint Protectionでは、同じソフトウェアモジュールの中にCybereason EDRCybereason NGAVが含まれており、ユーザーはエンドポイント上でインストール作業を1回行うだけで、EPPとEDRを同時に導入できます。また両製品の管理画面も統合されており、同じ画面上からEPPとEDRの制御をシームレスに実行できます。通常ならEPP製品とEDR製品をばらばらに導入し、それぞれの管理コンソールを使い分けなければなりませんが、サイバーリーズン製品ならそうした手間は必要ありません。

EPPのソリューションをお探しの方も、あるいはEDRのソリューションをお探しの方も、両方の機能を統合したサイバーリーズン製品のメリットをぜひ享受していただければと思います。

ホワイトペーパー「次世代アンチウイルス(NGAV)とEDRが高度な脅威に対処」を公開中

EDRとNGAVの組み合わせの優位性をご紹介するホワイトペーパーを公開しております。ぜひご活用ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=1826

ホワイトペーパー「次世代アンチウイルス(NGAV)とEDRが高度な脅威に対処」