セキュリティ

【EPP・NGAV・EDR】各エンドポイントセキュリティの機能と役割

PCやネットワークの安全を守るサイバーセキュリティには複数の種類があり、企業のPCにおいては標的型攻撃から保護するためのエンドポイントセキュリティが重要です。

今回はエンドポイントセキュリティに関連する用語として、「EPP」「NGAV」「EDR」についてご紹介します。

EPP

EPP(Endpoint Protection Platform)は「エンドポイント保護プラットフォーム」と訳されるセキュリティ対策です。

悪意をもってPCに侵入しようとするマルウェアを水際で検知し、PCを保護することを目的としています。EPPに分類される製品としては、従来のアンチウイルスソフトが挙げられます。

マルウェアは「マル(悪い)」+「ソフトウェア」を意味するとおり、ひとつひとつが文書作成ソフトやインターネットブラウザなどと同じ独立したソフトウェアです。アンチウイルスソフトはPCにダウンロードされるソフトウェアをスキャンし、安全なソフトウェアかマルウェアかを判断します。

また、検知したマルウェアの分析、マルウェアから受けた攻撃の修復なども行います。他にも、インターネットからの不正な通信を防ぐファイアウォール機能、PC内にあるファイルが安全かどうかを調べるシステムスキャンなど、製品ごとにセキュリティ対策機能が多数搭載されています。

ただし、アンチウイルスソフトはすでにメーカーが対策を施してある既知のマルウェアに対応できますが、未知のマルウェアをブロックすることはできないという弱点があります。

NGAV

未知のマルウェアへの対処が困難であるEPPの弱点をカバーし、新たな脅威にも対応できるよう改良されたセキュリティ対策がNGAV(New Generation Anti Virus)です。

NGAVはAIによる機械学習、ソフトウェアの動作からマルウェアを判定する振る舞い検知、ソフトウェアを保護された領域内で実行し不正な動きをしているかどうかを判定するサンドボックス等の機能でソフトウェアを分析し、マルウェアの検知精度を高めます。

現在はほとんどのマルウェアが新しく作成されたものであるため、EPPのみでは防ぐことができないため、NGAVを導入することには大きな意味があります。

ただし、NGAVが可能とするのはEPPと同様にマルウェアの侵入を水際で防ぐことを目的としており、未知のマルウェアの場合、NGAVでは検知できない可能性があります。

EDR

PCに侵入したマルウェアの対処が困難であるEPPやNGAVの弱点をカバーし、侵入後にその影響を最小限に留めることができるセキュリティ対策が、EDR(Endpoint Detection and Response)です。

Detection and Responseは「検知と対処」を意味し、エンドポイントに侵入したマルウェアの検知や除去、拡散防止などを担います。EDRではマルウェアそのものではなく、エンドポイント内で活動を開始したマルウェアの振る舞いを検知するため、感染後の脅威を最小限に留めることが可能です。

また、エンドポイント内の情報を定期的に収集し監視を行っているため、マルウェアの侵入経路の特定、原因解決の時間短縮が可能です。

なお、EDRはエンドポイントの情報を分析するスキルが必要となりますがSOCサービスを用いることで、リアルタイムの監視、マルウェアの早期発見、封じ込め、定期的なレポートの提供等のサービスを受けるができます。エンドポイントに侵入される前にブロック可能なEPP/NGEPPと侵入後の対処が可能なEDRで二重の対策を講じ、脅威からPCを保護することが重要です。

次世代エンドポイントセキュリティ「AppGuard」

エンドポイントセキュリティ製品として、大興電子通信では「AppGuard」を提供しています。

「AppGuard」はマルウェアの検知や振る舞い検知とは全く違う技術を用い、堅牢なセキュリティ環境を実現するエンドポイントセキュリティ製品です。

「AppGuard」の技術

「AppGuard」では、上記にてご紹介したEPPやEDRとも違う概念で悪意のある攻撃からPCを保護します。「AppGuard」の核となっている技術が、アプリケーションをコンテナ化するプロセス隔離技術です。

「AppGuard」が保護しているPCでは、マルウェアの感染リスクの高いアプリケーションが起動したとき、アプリケーションのプロセスをコンテナし、PCに悪影響のあるプロセスの動作のみを遮断し、正常なプロセスは通常どおり動作可能とします。これにより、既知の攻撃か未知の攻撃かに関係なく、PCを保護することが可能です。

「AppGuard」のプロセス監視がNGAVやEDRで行う振る舞い検知と異なる点は、最初にアプリケーションのコンテナ化を行うこと、信頼のあるアプリケーションでも監視下に置くことにあります。これにより、振る舞い検知よりも確実に悪意のある攻撃を遮断することが可能です。

超軽量な防御エンジン

「AppGuard」は、1MB以下という超軽量なエンジンで動作することも大きな特徴です。これにより「AppGuard」が高速で動作しますので、悪意のある攻撃を未然に防ぐことが可能です。

「AppGuard」がこれほど軽いエンジンで動作する理由は、既知のマルウェアかどうかを検知するために必要なシグネチャや未知のマルウェアに対応するための機械学習が必要ない点にあります。

超軽量なエンジンは、迅速な保護だけでなく、PCの動作が重くならないというメリットもあります。「AppGuard」はシグネチャや機械学習の更新が不要な点など運用の手間も少ないため、業務に影響なくPCを保護することが可能です。

エンドポイントセキュリティの強化が重要

近年は特定の企業をターゲットとした標的型攻撃が増加しており、従来のセキュリティ対策であるEPPのみでは自社のPCを保護することはできません。エンドポイントセキュリティにも複数の段階があることを把握し、多層的な保護を実施することが重要です。

▼製品紹介ページ
AppGuard(アップガード)|次世代型セキュリティソリューション

関連記事

  1. セキュリティ

    【不正アクセス対策の新手法】脅威を検知しない?!
    OSプロテクト型セキュリティとは

    従来の「不正アクセス対策」の常識ITの技術革新は日々進んでおり、サ…

  2. セキュリティ

    スパイウェアとは?基本的な仕組みと被害を防ぐための対策方法

    スパイウェアと呼ばれるプログラムに感染すると、システム情報や閲覧履…

  3. セキュリティ

    個人情報流出のリスクと流出させないための対策

    今や生活の一部として切り離すことのできない存在となったインターネッ…

  4. セキュリティ

    サイバー攻撃の仕組みと被害とは?セキュリティ対策の方法を事前にチェック

    家庭使用からビジネス利用まで、インターネットの重要性がますます高ま…

  5. セキュリティ

    ホワイトリスト式セキュリティの仕組みとは?ブラックリストとの違い

    サイバーセキュリティ対策の方法として、よく名前があがるホワイトリス…

  6. セキュリティ

    セキュリティ対策におけるプロセス監視の考え方

    セキュリティ強化を考えているのであれば、プロセスの監視・隔離という…

ホワイトペーパー

製品カタログ

  1. 新着記事やイベント情報。
    ホワイトペーパーのご案内等お役立ち情報を
    お届けします。