サイバー攻撃の手口は日々進化を遂げています。高度化する攻撃にともないセキュリティシステムも、一つの手段だけでは太刀打ちできないのが現状です。そのため、現在はさまざまなセキュリティツールが提供されており、そのなかにEDRと振る舞い検知があります。
今回はEDRと振る舞い検知の違いや、それぞれを活用したマルウェアの対策方法について解説します。マルウェア感染の予防策だけでなく、社内ネットワークへの侵入後を想定した対策も必要不可欠です。セキュリティシステムについて詳しく知りたい方は、ぜひ参考にしてください。
EDRと振る舞い検知の違いとは?
EDRと振る舞い検知は、それぞれマルウェアに対応する場所や役割が異なります。EDRは社内ネットワークに感染してから対応するのに対し、振る舞い検知はマルウェアへの感染を未然に防止することが目的です。
ここではそれぞれの概要について詳しく解説します。それぞれのサイバー攻撃に対する対応方法を学んでいきましょう。
EDRとは
EDR(Endpoint Detection and Response)とは、パソコンやスマートフォンなどのエンドポイント端末の保護を行うセキュリティツールです。
高度化が進むサイバー攻撃に対して、ファイアウォールや従来のウイルス対策ソフトでは防ぐことが難しくなっています。そこで、感染拡大を抑える重要な防衛手段として注目されているのがEDRです。
管理者がコンピュータ上に不審な動きがあった旨の通知を受け取ると、EDRから得たデータや通信ログを取得して分析を行います。そして分析結果に基づいて、侵入経路やファイルを特定し問題の解決を図ることが可能です。
コンピュータへのマルウェアの侵入を許してもEDRが防波堤となり、企業または個人の重要なデータの漏洩を防ぎます。
振る舞い検知とは
振る舞い検知とは、ウイルス対策ソフトに内臓されているマルウェアを検出するための仕組みのことを指します。コンピュータ内で怪しい動きをしているプログラムの検出が可能です。
マルウェアの特徴的な動きを振る舞い検知システムに登録し、登録された動きと似たプログラムの検知が可能です。動きの類似性を基準とする検知方法により、未知のマルウェアにも対応が可能です。
また振る舞い検知が注目される以前は、「パターンマッチング方式」での検知方法が主流でした。パターンマッチング方式では、事前にパターン化したファイルと検査対象となっているファイルを比較します。検査対象のファイルにマルウェアと特定できるパターンが見つかった場合、マルウェアと判断されます。
あらかじめパターンとして設定済みのファイルと比較するため、設定されていない未知のマルウェアに対応できません。
そこで未知のマルウェアに対抗できるソフトウェアとして、振る舞い検知の必要性が増してきました。
EDRと振る舞い検知を組み合わせると効果的なマルウェア対策
EDRと振る舞い検知の特徴を踏まえて、EDRと振る舞い検知を使用した場合の効果的なマルウェア対策方法について解説します。
また、両方を組み合わせた場合の対策方法についても紹介しています。セキュリティの構築に、EDRと振る舞い検知の導入を検討している方はご覧ください。
EDRでのマルウェア対策方法
EDRはマルウェアによる攻撃が行われた際に検知し、マルウェアと思われるプログラムが潜んでいる場所や侵入経路を特定します。そして特定後は、管理者へ通知を行い、不審な動きをするプログラムの停止を行います。
このようにマルウェア攻撃後の検知・特定・通知により被害拡大を防ぐことが、EDRによるマルウェア対策です。
振る舞い検知でのマルウェア対策方法
振る舞い検知では「静的ヒューリスティック法」と「動的ヒューリスティック法」の2種類を組み合わせて、マルウェア感染の対策を行います。
「静的ヒューリスティック法」は、マルウェアに含まれるプログラムと読みとったコードを比べ、マルウェアかどうかを調べます。一方で「動的ヒューリスティック法」は、実際にプログラムを動かし、動き方からマルウェアかどうかを判断する方法です。
初めに静的ヒューリスティック法で検知をします。その後、動的ヒューリスティック法でマルウェアの特定を行います。
2種類の方法を組み合わせることでシステムの負担を軽くできるだけでなく、確実にマルウェアの特定が可能です。
EDRと振る舞い検知を合わせると実現できること
EDRと振る舞い検知を組み合わせた場合、マルウェアが侵入する前と侵入した後でも対応が可能です。迅速かつ効率的な対処を行う場合は、両方の導入を検討してみましょう。
2つのシステムにより具体的に実現できることを簡単に解説します。まず、振る舞い検知を利用してマルウェアを入り口にて侵入を防ぎます。そして万が一振る舞い検知を突破し侵入を許した場合には、EDRにてマルウェアを検知しエンドポイントへの攻撃を防ぎます。
このように二重での防御体制を構築できるのが、振る舞い検知とEDRを組み合わせた際のメリットです。
どちらか一方ではマルウェアの侵入を防ぐのは簡単ではないため、侵入前と侵入後どちらも想定したセキュリティ対策が必要です。
よくある質問
ここでは振る舞い検知に関する質問を2点紹介します。質問は以下の2点です。
▪ 振る舞い検知に特化した製品のなかでおすすめを教えてください。
▪ 振る舞い検知を利用する際の注意点を教えてください。
振る舞い検知に対して疑問をお持ちの方は、ぜひ参考にして導入を検討してください。
Q1.振る舞い検知に特化した製品のなかでおすすめを教えてください。
トレンドマイクロ社が提供している「Trend Micro Apex One」がおすすめです。ブラウザ攻撃やランサムウェアなど、高いレベルのマルウェアも正確に検知できるのが特徴です。エンドポイントに対する数多くの脅威から保護できるメリットがあります。
Q2.振る舞い検知を利用する際の注意点を教えてください。
振る舞い検知は、正常なソフトウェアをマルウェアと誤検知してしまう場合がある点に注意が必要です。マルウェアは問題のないソフトウェアと似たような動きをするため、紛れ込みやすいのが原因です。
正常なパターンの動きを認識させることや、ホワイトリストに組み込まれているプログラムを外すことで誤検知を減らせます。
まとめ
振る舞い検知とEDRには明確な違いがあり、振る舞い検知はネットワークの出入り口でマルウェアを防ぎます。一方でEDRは、マルウェアが侵入した後を想定し、マルウェアからの攻撃を防ぐシステムです。
振る舞い検知で不審な動きをするソフトウェアを検知し、駆除を試みます。EDRが不審なプログラムを検知・特定し感染拡大を防ぎます。
高度化するサイバー攻撃に対する手段にお悩みの方は、EDRや振る舞い検知を導入して安全なネットワーク環境を構築しましょう。