サイバー攻撃は近年増加傾向にあり、手口も巧妙になっています。このような状況下で、ウイルスやランサムウェアなどの侵入を防ごうとしても、従来のセキュリティ対策では対応するのが困難になっています。
そのため情報セキュリティを担当される皆さまは、「どのようなセキュリティ対策を行うべきか」と頭を抱えているのではないでしょうか。
セキュリティ対策をしてくれる製品の種類は、EDRやEPPなどのエンドポイント対策製品や、ファイアウォールやNGAVといったアンチウイルスソフトなどさまざまです。
今回はEDRとアンチウイルスについて興味がある方に向けて、EDRとアンチウイルスの違いと、次世代型サービスについて解説します。
EDRとアンチウイルスの仕組みについて理解を深められ、セキュリティ対策製品を選ぶ際の参考になる内容となっています。ぜひ最後までご覧ください。
EDRとアンチウイルスの違い
EDRがマルウェア侵入後の対策を行うのに対して、アンチウイルスは侵入しないように対策します。つまりEDRは侵入後の対応を行う「事後対策」に特化したもので、一方のアンチウイルスはマルウェアが侵入する前の「事前対策」に特化したものです。
次の見出しで、EDRとアンチウイルスの特徴や仕組みについて、もう少し具体的に解説します。
EDR
EDRはEndpoint Detection and Responseの略であり、「エンドポイントでの検出と対応」を行うためのソフトウェアです。
エンドポイントでマルウェアの侵入や不審な挙動が確認された際には、即座に検出して、異常事態が発生する前の状態に復旧を試みます。
またEDRは、「エンドポイントがサイバー攻撃の被害に遭う」前提で作られています。エンドポイントの監視を行い、サイバー攻撃の被害を最小化するのが目的です。
二次被害を防ぐために、サイバー攻撃の被害に遭った原因や侵入経路などを事後に解析できる機能も搭載されています。
EDRの仕組み
EDRの仕組みについて、以下の表でわかりやすく解説します。
ステップ1:監視 | エンドポイントでのアクティビティをログとして記録と収集を行い、自動で解析する。 |
ステップ2:不審な挙動の検出 | ログやビッグデータ、AIなどを活用し、不審な挙動を見つけ出す。 |
ステップ3:管理者へ通知 | 不審な挙動が検出された際に、管理者に通知する。 |
ステップ4:ネットワークから隔離 | エンドポイントをネットワークから自動的に隔離して、被害が拡大しないようにする。 |
ステップ5:原因や影響範囲の解析 | サイバー攻撃の被害に遭った原因や影響範囲の分析を、早急に行う。 |
上記の5つのステップで、サイバー攻撃の侵入を早期に検出・対処し、被害の拡大を防いでいます。
アンチウイルス
アンチウイルスとは、ランサムウェアやウイルスなどのマルウェアや、サイバー攻撃の一種である標的型攻撃等の攻撃を、事前に防ぐために作られたソフトウェアです。侵入してきたマルウェアの感染や、被害の拡大を防ぐための考え方も、アンチウイルスと呼ばれています。
アンチウイルスの仕組み
アンチウイルスは、パターンマッチング方式を利用して、マルウェアの侵入を事前に防いでいます。
パターンマッチング方式とは、あらゆるマルウェアの特徴を登録したデータベースをアンチウイルスに搭載して、データベースに登録された情報と検査対象のファイルを細かく比較する機能です。
EDRとアンチウイルスの違い一覧
EDRとアンチウイルスの違いを、以下の表でまとめました。
比較項目 | EDR | アンチウイルス |
目的 | マルウェアが侵入してきたあとに、被害を最小化する。 | マルウェアの侵入を防ぐ。 |
仕組み | 対象のエンドポイントにユーザーの代理で処理を実行する機能を組み込み、得られたログを常に監視する。 | データベースに登録済みのマルウェアの情報と、検査対象のファイルを細かく比較する。 |
メリット | 検出対象がエンドポイント上の異常事態や不審な挙動のため、未知のサイバー攻撃にも対応できる。 | 感染被害の事象があるサイバー攻撃は、確実に検出できる。 |
デメリット | サイバー攻撃の侵入は防げない。 | 未知のサイバー攻撃に対処できない。 |
上記の表から理解できるように、EDRとアンチウイルスは仕組みだけではなく目的も真逆です。
進化する次世代型サービスや機能
EDRとアンチウイルスは、昨今問題視されている標的型攻撃を対策するために、新たな技術を取り入れて進化してきました。進化してきたEDRやアンチウイルスは、一般的に「次世代型」と呼ばれています。
次世代型には、以下のサービスや機能が搭載されています。
- 振る舞い検知
- MDR(Managed Detection and Response)
- クラウドサンドボックス
- EPP
- 機械学習
それぞれ1つずつ解説します。
振る舞い検知
振る舞い検知とは、プログラムの振る舞いに注目して、不審な挙動をするプログラムを検出すれば「マルウェアである」と判断するセキュリティ対策方法の1つです。
パターンの完全一致ではなく、マルウェアの挙動と類似性が高ければ検出可能なため、未知のマルウェアでも対応できるのが、振る舞い検知の強みといえます。
MDR(Managed Detection and Response)
MDRは、マルウェアの検出から対処までのプロセスを、代行してくれるマネージドサービスです。MDRを導入した際には、「マルウェアの侵入を即座に検出して対処する」といった、セキュリティ対策のスペシャリストによるサポートが受けられます。
クラウドサンドボックス
クラウドサンドボックスとは、ほかの正常に動作しているソフトウェアに干渉せずに、プログラムを実行するために区切られた環境です。
クラウドサンドボックス内でプログラムを実行して、検出できた不審な挙動がサイバー攻撃なのか否かを、ほかのソフトウェアに影響を及ぼさずに確認できます。
NGAV
NGAVとは「Next Generation Anti-Virus」の略であり、次世代アンチウイルスを指します。振る舞い検知や機械学習も、NGAVの機能に利用されます。
従来のアンチウイルスソフトは、パターンマッチング方式と呼ばれる機能によって、セキュリティ対策をしていました。パターンマッチング方式は、過去に発生したサイバー攻撃やマルウェアの情報をデータベースに登録して、登録された情報と侵入してきた攻撃の情報を比較する機能です。しかし、パターンマッチング方式では、過去に発生した攻撃には対策できても、未知の攻撃には対策できません。
パターンマッチング方式の課題を解決するために、マルウェアの「挙動」を目印にして検知し排除するNGAVが作られました。NGAVを導入した際には、未知の攻撃であっても対策できるようになります。
EPP
EPP(Endpoint Protection Platform)は、「エンドポイントにマルウェアが侵入しないように防ぐ」といった目的を持つセキュリティ対策ツールです。アンチウイルスソフトや、ウイルス対策ソフトとも呼ばれています。
従来のEPPは、パターンマッチング方式が一般的でした。近年では、侵入してきたプログラムが不審な挙動をしていないか調べる「ヒューリスティック」方式が取り入れられているEPP製品が多く存在しています。ほかにも、振る舞い検知や機械学習、サンドボックス分析などの技術が活用され、既知と未知の両方の攻撃に対策できます。
機械学習
機械学習は、侵入してきたマルウェアによる不審な挙動を、学習を積んできた処理装置によって検出する機能です。
また、機械学習で検出する対象はマルウェアの不審な挙動のため、従来のアンチウイルスで必須だったウイルス定義ファイルが不要です。
そのため機械学習が搭載された製品では、未知のマルウェアが侵入してきても高い確率で検出できます。
よくある質問
最後にEDRに関する、よくある質問を2つ紹介します。
- EDRを導入すると得られる効果を教えて下さい。
- EDR製品を選ぶ際のポイントを教えて下さい。
それぞれの質問に対して、1つずつ答えていきます。
Q1.EDRを導入すると得られる効果を教えて下さい。
EDRを導入すると、以下の効果を得られます。
- 攻撃の被害に遭った根本的な原因を特定できる
- 侵入してきた攻撃の内容を把握でき、被害の拡大と二次被害を防げる
- 利害関係者への説明が迅速に行える
特にEDR導入により原因を明らかにできるため、ステークホルダーや関連企業からの信頼を失わずに済む効果が大きいといえます。
Q2.EDR製品を選ぶ際のポイントを教えて下さい。
EDR製品を選ぶ際に注目しなければならないポイントは以下です。
- 運用のしやすさ:現状の社内リソース内で対応できるのか、サポートは無償なのか有償なのかといった内容を確認する。
- 高度な検出機能の有無:未知のマルウェアも対策できるのか、最新のサイバー攻撃でも検出できるのか確認する。
- 対応しているOSの確認:社内で利用しているOSに対応できるEDR製品を選ぶ。
すべてのEDR製品が自社環境に最適な製品とはいえません。そのため初めて導入する際には、対応するOSや運用サポートを確認のうえ選ぶとよいでしょう。
まとめ
事後に対策するEDRと事前に対策するアンチウイルスは、目的や役割が異なります。
EDRを導入していないと、マルウェアやサイバー攻撃が侵入しやすくなります。従来のアンチウイルスを利用し続けるのも危険です。従来のアンチウイルスに搭載されているパターンマッチング方式は、未知の攻撃には対処できないといった課題を抱えているからです。
EDRとアンチウイルスは、既知だけでなく未知の攻撃にも対策できたり、新たな技術を取り入れるなど、求められるセキュリティの変化に合わせて進化してきました。
今回の記事を参考にして、自社のネットワーク環境に合ったEDRや次世代型のアンチウイルスを選ぶとよいでしょう。