無料セキュリティ対策に不安がある企業必見！「セキュリティ対策無料相談窓口」

サイバー攻撃の高度化に伴い、考案されたのが「NGEPP（Next Generation Endpoint Protection Platform）」や「NGAV（Next Generation Antivirus）」という対処の仕組みです。

本記事では、このうち、次世代型エンドポイントセキュリティ「NGEPP（Next Generation Endpoint Protection Platform）」について、生まれた背景を踏まえながら、機能や基本事項を解説します。

NGEPP（Next Generation Endpoint Protection Platform）とは？

次世代型エンドポイントセキュリティ「NGEPP（Next Generation Endpoint Protection Platform）」は、マルウェアを検知するソフトウェアのひとつです。NGEPPでは、従来からあるエンドポイントセキュリティ製品では実現しなかった、未知のマルウェアへの対処が可能です。

エンドポイント（Endpoint）とは

まず、「Endpoint Protection＝エンドポイントのセキュリティを確保する」とはどのような意味なのか確認しましょう。

エンドポイントとは、終端や末端という意味ですが、ITセキュリティにおいては、ネットワークに接続する各種機器の中で、終端となる機器のことを示しています。例えば次のような機器がエンドポイントにあたります。

• ファイルサーバ・データベースサーバ・ネームサーバ
• オフィス内のPCやプリンタ
• 社外から社内リソースにアクセスするためのスマートフォン・タブレット・個人のPC

すなわち、エンドポイントセキュリティとは、これら、エンドポイントの機器に対してセキュリティ対策を行うことを指しています。

EPP（Endpoint Protection Platform）とは

この、エンドポイントを守るという考え方は、NGEPP登場以前に、エンドポイントセキュリティ「EPP（Endpoint Protection Platform）」として具現化されていました。

EPPの目的は、NGEPP同様、マルウェアへの感染を未然に防ぐことです。マルウェア感染を防止するソフトウェアは、EPP以外にも存在しますが、エンドポイントを対策することで感染を防止するものがEPPとなります。

具体的には、EPPが侵入したマルウェアをエンドポイントで検知し、自動的に駆除したり、マルウェアが実行されるのを阻止します。

NGEPPはなぜ必要？次世代型EPPが生まれた背景

従来から存在していたEPPにおいて、マルウェア感染を防ぐために主に採用されていたのが、パターンマッチングと呼ばれる技術です。パターンマッチングでは、マルウェアのファイルや感染したファイルを解析し、確認できたデータ（シグネチャコード）を定義データベースに蓄積します。

次に、コンピュータ上をスキャンし、中にシグネチャコードと同種のデータがないか、定義データベースと照合します。コンピュータ上に該当するファイルが存在した場合、不正または疑わしいファイルとして検出し、EPPが自動的に隔離または削除します。

よって、パターンマッチング方式を採用した従来型のEPPは、すでにデータベース化した脅威、すなわち過去に検出されたことのあるマルウェアであれば検知できますが、未知のマルウェアに対しては全く無力ということになります。このような背景から、未知の脅威であっても検出可能な仕組みが求められるようになりました。

また、近年ではサイバー攻撃が巧妙化・複雑化し、セキュリティ対策ソフトウェアによる検知を回避するための技術が盛り込まれたマルウェアも増えています。

例えば、メモリ上で動作し、OSやアプリケーションに搭載されている正規の機能を悪用するファイルレスマルウェアの場合は、パターンマッチングで検出できる不正ファイル自体が存在しないため、検出が困難です。

このような高度な攻撃に対処するため、既知の不正なコードを検知するのではなく、マルウェアによる不正な動作を検知することでマルウェアを検出する振る舞い検知や、機械学習などの新しい技術を活用した、”次世代型”EPPが求められるようになりました。

NGEPP製品の6つの機能

NGEPP（Next Generation Endpoint Protection Platform）に搭載される主な機能は、次の6つです。

防止

過去に確認されたことのある既知の脅威がコンピュータに侵入した場合、コンピュータ上で実行される前に脅威をブロックします。

動的エクスプロイト保護

アプリケーション・ネットワーク・ハードウェアに存在する脆弱性を悪用した攻撃をエクスプロイト攻撃と言います。CGIなど動的にHTMLを生成する仕組みを悪用した攻撃も含め、動的なエクスプロイト攻撃から保護します。

動的マルウェア検出

メモリ・ハードディスク・ネットワークなどのあらゆる操作をリアルタイムに監視し、分析します。分析に基づき、未知のマルウェアであっても感染する前に検出します。

緩和

万が一、マルウェアに感染してしまったとしても、特定のプロセスの強制終了・感染したPCをネットワークから切断・シャットダウンなどを行い、被害を最小限に食い止めます。

修復

マルウェアが実行されると、システムファイル・レジストリ設定・構成情報などが変更・削除されることがあります。仮に、マルウェアによりシステム変更が発生した場合でも、変更内容を記録し、変更前の状態に修復します。

フォレンジック

不正な動作が行われた証拠を確保し、可視化するフォレンジックの機能を提供します。

EDR（Endpoint Detection and Response）との違い

NGEPP（Next Generation Endpoint Protection Platform）の他にもうひとつ、次世代型のエンドポイント対策には、「EDR（Endpoint Detection and Response）」があります。

NGEPPとEDRはどのように異なるのでしょうか？

マルウェア感染を予防するNGEPP

前述の通り、NGEPPおよびEPPは、マルウェア感染を防止することを目的としたソフトウェアです。感染を未然に防ぎます。

マルウェア感染後の対応を支援するEDR

EDR（Endpoint Detection and Response：エンドポイントでの検出と対応）は、マルウェア感染後の対応を支援することを目的としたソフトウェアです。EDRは、マルウェアの侵入は防げないという前提に立ち、万が一、感染した場合に、そこからいかに早く復旧するかに着目しています。

これらNGEPPとEPP、およびEDRの関係性を図で示すと次のとおりとなります。

EDRとは？エンドポイントセキュリティ対策製品の比較まで

2018.7.6

これまでのセキュリティ対策ソフトウェアというと、「ウイルスに感染しないようにすること」が目的でした。しかし、ゼロデイ攻撃やさまざまなウイルス亜種など、近年は脅威を防ぎきれないケースも少なくありません。 そこで登場するのが「EDR」です

まとめ

「NGEPP（Next Generation Endpoint Protection Platform）」とは何か、EPPやEDRとも比較しながら説明してきました。

サイバー犯罪への対処は、新しい防御策を講じても、サイバー犯罪者らがそれらの防御を回避する技術を生み出すといういたちごっこが続いています。

このように、サイバー攻撃の巧妙化・高度化は避けられないため、セキュリティ対策側もNGEPPなど新しい手法を取り入れながら、随時アップデートしていくほか対処方法はなさそうです。

次世代型アンチウイルスNGAVとは？EDR・DLPとの違いを解説

2021.7.19

サイバー攻撃の高度化に伴い、考案されたのが「NGAV（Next Generation Antivirus）」や「NGEPP（Next Generation Endpoint Protection Platform）」という対処の仕組みです。