サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

次世代エンドポイントセキュリティNGEPPとは?機能やEDRとの違いについて解説



サイバー攻撃の高度化に伴い、考案されたのが「NGEPP(Next Generation Endpoint Protection Platform)」や「NGAV(Next Generation Antivirus)」という対処の仕組みです。

本記事では、このうち、次世代型エンドポイントセキュリティ「NGEPP(Next Generation Endpoint Protection Platform)」について、生まれた背景を踏まえながら、機能や基本事項を解説します。

NGEPP(Next Generation Endpoint Protection Platform)とは?

次世代型エンドポイントセキュリティ「NGEPP(Next Generation Endpoint Protection Platform)」は、マルウェアを検知するソフトウェアのひとつです。NGEPPでは、従来からあるエンドポイントセキュリティ製品では実現しなかった、未知のマルウェアへの対処が可能です。

エンドポイント(Endpoint)とは

まず、「Endpoint Protection=エンドポイントのセキュリティを確保する」とはどのような意味なのか確認しましょう。

エンドポイントとは、終端や末端という意味ですが、ITセキュリティにおいては、ネットワークに接続する各種機器の中で、終端となる機器のことを示しています。例えば次のような機器がエンドポイントにあたります。

  • ファイルサーバ・データベースサーバ・ネームサーバ
  • オフィス内のPCやプリンタ
  • 社外から社内リソースにアクセスするためのスマートフォン・タブレット・個人のPC

すなわち、エンドポイントセキュリティとは、これら、エンドポイントの機器に対してセキュリティ対策を行うことを指しています。

EPP(Endpoint Protection Platform)とは

この、エンドポイントを守るという考え方は、NGEPP登場以前に、エンドポイントセキュリティ「EPP(Endpoint Protection Platform)」として具現化されていました。

EPPの目的は、NGEPP同様、マルウェアへの感染を未然に防ぐことです。マルウェア感染を防止するソフトウェアは、EPP以外にも存在しますが、エンドポイントを対策することで感染を防止するものがEPPとなります。

具体的には、EPPが侵入したマルウェアをエンドポイントで検知し、自動的に駆除したり、マルウェアが実行されるのを阻止します。

NGEPPはなぜ必要?次世代型EPPが生まれた背景

従来から存在していたEPPにおいて、マルウェア感染を防ぐために主に採用されていたのが、パターンマッチングと呼ばれる技術です。パターンマッチングでは、マルウェアのファイルや感染したファイルを解析し、確認できたデータ(シグネチャコード)を定義データベースに蓄積します。

次に、コンピュータ上をスキャンし、中にシグネチャコードと同種のデータがないか、定義データベースと照合します。コンピュータ上に該当するファイルが存在した場合、不正または疑わしいファイルとして検出し、EPPが自動的に隔離または削除します。

よって、パターンマッチング方式を採用した従来型のEPPは、すでにデータベース化した脅威、すなわち過去に検出されたことのあるマルウェアであれば検知できますが、未知のマルウェアに対しては全く無力ということになります。このような背景から、未知の脅威であっても検出可能な仕組みが求められるようになりました。

また、近年ではサイバー攻撃が巧妙化・複雑化し、セキュリティ対策ソフトウェアによる検知を回避するための技術が盛り込まれたマルウェアも増えています。

例えば、メモリ上で動作し、OSやアプリケーションに搭載されている正規の機能を悪用するファイルレスマルウェアの場合は、パターンマッチングで検出できる不正ファイル自体が存在しないため、検出が困難です。

このような高度な攻撃に対処するため、既知の不正なコードを検知するのではなく、マルウェアによる不正な動作を検知することでマルウェアを検出する振る舞い検知や、機械学習などの新しい技術を活用した、”次世代型”EPPが求められるようになりました。

NGEPP製品の6つの機能

NGEPP(Next Generation Endpoint Protection Platform)に搭載される主な機能は、次の6つです。

防止

過去に確認されたことのある既知の脅威がコンピュータに侵入した場合、コンピュータ上で実行される前に脅威をブロックします。

動的エクスプロイト保護

アプリケーション・ネットワーク・ハードウェアに存在する脆弱性を悪用した攻撃をエクスプロイト攻撃と言います。CGIなど動的にHTMLを生成する仕組みを悪用した攻撃も含め、動的なエクスプロイト攻撃から保護します。

動的マルウェア検出

メモリ・ハードディスク・ネットワークなどのあらゆる操作をリアルタイムに監視し、分析します。分析に基づき、未知のマルウェアであっても感染する前に検出します。

緩和

万が一、マルウェアに感染してしまったとしても、特定のプロセスの強制終了・感染したPCをネットワークから切断・シャットダウンなどを行い、被害を最小限に食い止めます。

修復

マルウェアが実行されると、システムファイル・レジストリ設定・構成情報などが変更・削除されることがあります。仮に、マルウェアによりシステム変更が発生した場合でも、変更内容を記録し、変更前の状態に修復します。

フォレンジック

不正な動作が行われた証拠を確保し、可視化するフォレンジックの機能を提供します。

EDR(Endpoint Detection and Response)との違い

NGEPP(Next Generation Endpoint Protection Platform)の他にもうひとつ、次世代型のエンドポイント対策には、「EDR(Endpoint Detection and Response)」があります。

NGEPPとEDRはどのように異なるのでしょうか?

マルウェア感染を予防するNGEPP

前述の通り、NGEPPおよびEPPは、マルウェア感染を防止することを目的としたソフトウェアです。感染を未然に防ぎます。

マルウェア感染後の対応を支援するEDR

EDR(Endpoint Detection and Response:エンドポイントでの検出と対応)は、マルウェア感染後の対応を支援することを目的としたソフトウェアです。EDRは、マルウェアの侵入は防げないという前提に立ち、万が一、感染した場合に、そこからいかに早く復旧するかに着目しています。

これらNGEPPとEPP、およびEDRの関係性を図で示すと次のとおりとなります。

まとめ

「NGEPP(Next Generation Endpoint Protection Platform)」とは何か、EPPやEDRとも比較しながら説明してきました。

サイバー犯罪への対処は、新しい防御策を講じても、サイバー犯罪者らがそれらの防御を回避する技術を生み出すといういたちごっこが続いています。

このように、サイバー攻撃の巧妙化・高度化は避けられないため、セキュリティ対策側もNGEPPなど新しい手法を取り入れながら、随時アップデートしていくほか対処方法はなさそうです。



  • LINEで送る

書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。