重要なお知らせ 新型コロナウイルス感染拡大にともなう電話問い合わせについて

いま改めて理解しておきたい、EPP/EDRの役割と
「合せ技」の必要性

NGAVの登場で防御力が増したEPP

テレワークの拡大に伴い、個々のユーザーが使用しているPCやスマートデバイスなどの「エンドポイント※1」のセキュリティ確保が、かつてないほど重要な課題になっています。もちろんこれまでもアンチウイルスソフトなどでサイバー攻撃からの防御は行われていましたが、企業ネットワーク内に存在するエンドポイントの場合には、インターネットとの接点にセキュリティアプライアンスなどを設置することで、エンドポイントにまで攻撃が及ぶことをある程度は防ぐことができました。

しかし、テレワークのために持ち出されたエンドポイントは、インターネットに直接接続されるケースが一般的です。社内に設置したVPN装置にアクセスしてからインターネットに出る場合でも、物理的にはインターネットを経由してVPN装置に接続されるため、外部からの脅威を完全に遮断できるわけではありません。

そこで採用が広がっているのが、エンドポイントを守るためのセキュリティ製品です。この種の製品は大きく2つに分けられます。1つは「EPP(Endpoint Protection Platform)」、もう1つは「EDR(Endpoint Detection and Response)」です。

EPPの役割は、エンドポイント内に侵入する脅威やマルウェアをブロックし、エンドポイントの安全性を確保することです。これは決して新しいものではなく、古くから使われているアンチウイルスソフトウェアもEPPの1つです。 しかしゼロデイ攻撃が増加した結果、従来型のシグネチャ(既知のマルウェアが持つ特徴をデータベース化したもの)を利用したアンチウイルス製品には限界があることが認識され、最近では「NGAV(Next-Generation Antivirus:次世代アンチウイルス)」が主流になっています。これは悪意のある挙動(振る舞い)を検知したり、疑わしいソフトウェアをサンドボックス内で動かして確認するといった方法で、未知のマルウェアにも対応できるようにしたものです。これによってアンチウイルスの防御能力は、飛躍的に向上したのです。最近ではEPPといえば、ほぼNGAVを指しているといっても過言ではないでしょう。

※1 広義のエンドポイントは「ネットワークに接続されている終端」ということであり、これにはサーバーも含まれていますが、一般的には「端末」を意味するケースが一般的です。このコラムでもエンドポイントを「端末」という意味で使用します。

それでもすり抜ける脅威にはEDRで対処

しかしNGVAで強化されたEPPによる防御も、完璧とはいえません。どんなに強力なEPPでも、それをすり抜ける脅威は必ず登場するからです。脅威と防御は常に「いたちごっこ」を繰り返しており、防御が強化されればその裏をかく脅威が生まれます。これは実際の(生物学的な)ウイルスと、それを防御するためのワクチンの関係に似ているといえるかもしれません。

ではEPPの防御をすり抜けた脅威には、どう対処すべきなのでしょうか。この場合には「すり抜けた」という事実をいち早く検知(Detection)し、これに対して迅速に対処(Response)することで、その影響を最小限に抑えなければなりません。しかしこれを人手で行っていては対処に時間がかかる上、長期にわたって見逃してしまう危険性もあります。この問題を解決するために登場したのが「EDR(Endpoint Detection and Response)」です。

EDRはその名が示すとおり、マルウェアの感染防止を目的としたものではなく、感染した後の検知と対応といった「事後対策」を支援するための製品です。エンドポイントの挙動を常時監視することで脅威をいち早く検出し、そのエンドポイントをネットワークから切り離すなどの応急処置を行い、脅威に関する情報を収集します。その上で脅威の到達経路や影響範囲、漏洩した情報などを分析・特定し、復旧と今後の対策を実施しやすくします。

このようにEPPとEDRは目的が異なるため、どちらか一方だけを導入すればいいというものではありません。EPPでしっかり防御を行った上で、そこをすり抜けたものへの対処をEDRで迅速化する、といった合わせ技が求められます。EPPだけではすり抜けた脅威への対応が遅くなり影響範囲が広がってしまいますし、EPPでの防御がなければEDRで対処すべきインシデントが膨大になり、対処が追いつかなくなってしまいます。

そのため最近では、EPPとEDRを統合したセキュリティ製品も増えてきました。その例が、VMware社が提供する「VMware Carbon Black Cloud」です。EPP部分はNGAVが搭載されており、これまで多くのアンチウイルスで利用されてきたシグネチャに依存せず、エンドポイント上で発生する様々なイベントの流れである「イベントストリーム」をリアルタイムで解析することで、脅威につながる動きを既知・未知を問わず検知・防御します。また、仮に侵入を許した場合にも、EDRにより検知と対応が行えるため、被害を最小化し、早期に通常業務に復帰するために役立ちます。


VMware Carbon Black Cloud Endpoint Standardとは

VMware Carbon Black Cloud Endpoint Standard(旧CB Defense、以下Endpoint Standard)は、あらゆるサイバー攻撃からコンピューターを保護する次世代アンチウイルス+EDRソリューションです。マルウェア攻撃だけでなく、メモリやPowerShellなどスクリプト言語を悪用する非マルウェア(ファイルレス)攻撃などをブロックするとともに、万一の際にも侵入状況の把握やその対応を行うことができます。

詳しくはこちら

様々な企業が「VMware Carbon Black Cloud」を活用しています


株式会社ユーシン精機様
運用負荷をかけることなく、24時間365日エンドポイントセキュリティ強化を実現

スマートニュース株式会社様
脅威を分かりやすく可視化 運用も容易な次世代アンチウイルス+EDRを選択



HRBrain様
CB Defense導入の決め手になったのは、「Mac対応」と「EDR」が次世代アンチウイルスに統合されていた点

NTTスマイルエナジー様
CB Defenseの導入で「マルウェア等の最新の脅威から守られているという安心感」を得ることができた


ご相談、ご質問はこちら
WEBフォームまたは直接メールでお問い合わせください。
サイバネットシステム株式会社
ITソリューション事業部 営業部
E-mail: itdsales@cybernet.co.jp
製品資料、導入事例はこちら
価格お問い合わせはこちら
まずはお試しください
EDRソリューション

 



お問い合わせ サイバネットシステム株式会社 ITソリューション事業部 
お問い合わせ全般  資料ダウンロード