無料会員登録
サイバー攻撃の高度化に伴い、考案されたのが「NGEPP(Next Generation Endpoint Protection Platform)」や「NGAV(Next Generation Antivirus)」という対処の仕組みです。
本記事では、このうち、次世代型エンドポイントセキュリティ「NGEPP(Next Generation Endpoint Protection Platform)」について、生まれた背景を踏まえながら、機能や基本事項を解説します。
この記事の目次
書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント!
セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見!
こちらから
NGEPP(Next Generation Endpoint Protection Platform)とは?
次世代型エンドポイントセキュリティ「NGEPP(Next Generation Endpoint Protection Platform)」は、マルウェアを検知するソフトウェアのひとつです。NGEPPでは、従来からあるエンドポイントセキュリティ製品では実現しなかった、未知のマルウェアへの対処が可能です。
エンドポイント(Endpoint)とは
まず、「Endpoint Protection=エンドポイントのセキュリティを確保する」とはどのような意味なのか確認しましょう。
エンドポイントとは、終端や末端という意味ですが、ITセキュリティにおいては、ネットワークに接続する各種機器の中で、終端となる機器のことを示しています。例えば次のような機器がエンドポイントにあたります。
- ファイルサーバ・データベースサーバ・ネームサーバ
- オフィス内のPCやプリンタ
- 社外から社内リソースにアクセスするためのスマートフォン・タブレット・個人のPC
すなわち、エンドポイントセキュリティとは、これら、エンドポイントの機器に対してセキュリティ対策を行うことを指しています。
EPP(Endpoint Protection Platform)とは
この、エンドポイントを守るという考え方は、NGEPP登場以前に、エンドポイントセキュリティ「EPP(Endpoint Protection Platform)」として具現化されていました。
EPPの目的は、NGEPP同様、マルウェアへの感染を未然に防ぐことです。マルウェア感染を防止するソフトウェアは、EPP以外にも存在しますが、エンドポイントを対策することで感染を防止するものがEPPとなります。
具体的には、EPPが侵入したマルウェアをエンドポイントで検知し、自動的に駆除したり、マルウェアが実行されるのを阻止します。
NGEPPはなぜ必要?次世代型EPPが生まれた背景
従来から存在していたEPPにおいて、マルウェア感染を防ぐために主に採用されていたのが、パターンマッチングと呼ばれる技術です。パターンマッチングでは、マルウェアのファイルや感染したファイルを解析し、確認できたデータ(シグネチャコード)を定義データベースに蓄積します。
次に、コンピュータ上をスキャンし、中にシグネチャコードと同種のデータがないか、定義データベースと照合します。コンピュータ上に該当するファイルが存在した場合、不正または疑わしいファイルとして検出し、EPPが自動的に隔離または削除します。
よって、パターンマッチング方式を採用した従来型のEPPは、すでにデータベース化した脅威、すなわち過去に検出されたことのあるマルウェアであれば検知できますが、未知のマルウェアに対しては全く無力ということになります。このような背景から、未知の脅威であっても検出可能な仕組みが求められるようになりました。
また、近年ではサイバー攻撃が巧妙化・複雑化し、セキュリティ対策ソフトウェアによる検知を回避するための技術が盛り込まれたマルウェアも増えています。
例えば、メモリ上で動作し、OSやアプリケーションに搭載されている正規の機能を悪用するファイルレスマルウェアの場合は、パターンマッチングで検出できる不正ファイル自体が存在しないため、検出が困難です。
このような高度な攻撃に対処するため、既知の不正なコードを検知するのではなく、マルウェアによる不正な動作を検知することでマルウェアを検出する振る舞い検知や、機械学習などの新しい技術を活用した、”次世代型”EPPが求められるようになりました。
NGEPP製品の6つの機能
NGEPP(Next Generation Endpoint Protection Platform)に搭載される主な機能は、次の6つです。
防止
過去に確認されたことのある既知の脅威がコンピュータに侵入した場合、コンピュータ上で実行される前に脅威をブロックします。
動的エクスプロイト保護
アプリケーション・ネットワーク・ハードウェアに存在する脆弱性を悪用した攻撃をエクスプロイト攻撃と言います。CGIなど動的にHTMLを生成する仕組みを悪用した攻撃も含め、動的なエクスプロイト攻撃から保護します。
動的マルウェア検出
メモリ・ハードディスク・ネットワークなどのあらゆる操作をリアルタイムに監視し、分析します。分析に基づき、未知のマルウェアであっても感染する前に検出します。
緩和
万が一、マルウェアに感染してしまったとしても、特定のプロセスの強制終了・感染したPCをネットワークから切断・シャットダウンなどを行い、被害を最小限に食い止めます。
修復
マルウェアが実行されると、システムファイル・レジストリ設定・構成情報などが変更・削除されることがあります。仮に、マルウェアによりシステム変更が発生した場合でも、変更内容を記録し、変更前の状態に修復します。
フォレンジック
不正な動作が行われた証拠を確保し、可視化するフォレンジックの機能を提供します。
書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント!
セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見!
こちらから
EDR(Endpoint Detection and Response)との違い
NGEPP(Next Generation Endpoint Protection Platform)の他にもうひとつ、次世代型のエンドポイント対策には、「EDR(Endpoint Detection and Response)」があります。
NGEPPとEDRはどのように異なるのでしょうか?
マルウェア感染を予防するNGEPP
前述の通り、NGEPPおよびEPPは、マルウェア感染を防止することを目的としたソフトウェアです。感染を未然に防ぎます。
マルウェア感染後の対応を支援するEDR
EDR(Endpoint Detection and Response:エンドポイントでの検出と対応)は、マルウェア感染後の対応を支援することを目的としたソフトウェアです。EDRは、マルウェアの侵入は防げないという前提に立ち、万が一、感染した場合に、そこからいかに早く復旧するかに着目しています。
これらNGEPPとEPP、およびEDRの関係性を図で示すと次のとおりとなります。
まとめ
「NGEPP(Next Generation Endpoint Protection Platform)」とは何か、EPPやEDRとも比較しながら説明してきました。
サイバー犯罪への対処は、新しい防御策を講じても、サイバー犯罪者らがそれらの防御を回避する技術を生み出すといういたちごっこが続いています。
このように、サイバー攻撃の巧妙化・高度化は避けられないため、セキュリティ対策側もNGEPPなど新しい手法を取り入れながら、随時アップデートしていくほか対処方法はなさそうです。
書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント!
セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見!
こちらから
関連コラム(あわせて、以下の記事もよく読まれています)
次世代型アンチウイルスNGAVとは?EDR・DLPとの違いを解説
エンドポイントセキュリティとは?導入の重要性や種類の違いを解説
【23年最新比較】エンドポイントセキュリティ製品15選!
EDRとアンチウイルスの違いとは?次世代型セキュリティサービスも解説!
ゼロトラスト環境への移行ステップを徹底解説!具体的な対策手順がわかる!
自動車産業サイバーセキュリティガイドラインの要点
EDRとは?EPPとの違いや機能・必要性を分かりやすく解説
EDRとNDRそれぞれの役割とは?どちらも導入しなくて良い?
![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)
