CYBERNET
 

お役立ち情報

トレンド基礎知識EDREPPとEDRの違いを再確認する

NGAVの登場で防御力が増したEPP

テレワークの拡大に伴い、個々のユーザーが使用しているPCやスマートデバイスなどの「エンドポイント※1」のセキュリティ確保が、かつてないほど重要な課題になっています。もちろんこれまでもアンチウイルスソフトなどでサイバー攻撃からの防御は行われていましたが、企業ネットワーク内に存在するエンドポイントの場合には、インターネットとの接点にセキュリティアプライアンスなどを設置することで、エンドポイントにまで攻撃が及ぶことをある程度は防ぐことができました。

しかし、テレワークのために持ち出されたエンドポイントは、インターネットに直接接続されるケースが一般的です。社内に設置したVPN装置にアクセスしてからインターネットに出る場合でも、物理的にはインターネットを経由してVPN装置に接続されるため、外部からの脅威を完全に遮断できるわけではありません。

そこで採用が広がっているのが、エンドポイントを守るためのセキュリティ製品です。この種の製品は大きく2つに分けられます。1つは「EPP(Endpoint Protection Platform)」、もう1つは「EDR(Endpoint Detection and Response)」です。

EPPの役割は、エンドポイント内に侵入する脅威やマルウェアをブロックし、エンドポイントの安全性を確保することです。これは決して新しいものではなく、古くから使われているアンチウイルスソフトウェアもEPPの1つです。 しかしゼロデイ攻撃が増加した結果、従来型のシグネチャ(既知のマルウェアが持つ特徴をデータベース化したもの)を利用したアンチウイルス製品には限界があることが認識され、最近では「NGAV(Next-Generation Antivirus:次世代アンチウイルス)」が主流になっています。これは悪意のある挙動(振る舞い)を検知したり、疑わしいソフトウェアをサンドボックス内で動かして確認するといった方法で、未知のマルウェアにも対応できるようにしたものです。これによってアンチウイルスの防御能力は、飛躍的に向上したのです。最近ではEPPといえば、ほぼNGAVを指しているといっても過言ではないでしょう。

※1 広義のエンドポイントは「ネットワークに接続されている終端」ということであり、これにはサーバーも含まれていますが、一般的には「端末」を意味するケースが一般的です。このコラムでもエンドポイントを「端末」という意味で使用します。

それでもすり抜ける脅威にはEDRで対処

しかしNGVAで強化されたEPPによる防御も、完璧とはいえません。どんなに強力なEPPでも、それをすり抜ける脅威は必ず登場するからです。脅威と防御は常に「いたちごっこ」を繰り返しており、防御が強化されればその裏をかく脅威が生まれます。これは実際の(生物学的な)ウイルスと、それを防御するためのワクチンの関係に似ているといえるかもしれません。

ではEPPの防御をすり抜けた脅威には、どう対処すべきなのでしょうか。この場合には「すり抜けた」という事実をいち早く検知(Detection)し、これに対して迅速に対処(Response)することで、その影響を最小限に抑えなければなりません。しかしこれを人手で行っていては対処に時間がかかる上、長期にわたって見逃してしまう危険性もあります。この問題を解決するために登場したのが「EDR(Endpoint Detection and Response)」です。

EDRはその名が示すとおり、マルウェアの感染防止を目的としたものではなく、感染した後の検知と対応といった「事後対策」を支援するための製品です。エンドポイントの挙動を常時監視することで脅威をいち早く検出し、そのエンドポイントをネットワークから切り離すなどの応急処置を行い、脅威に関する情報を収集します。その上で脅威の到達経路や影響範囲、漏洩した情報などを分析・特定し、復旧と今後の対策を実施しやすくします。

このようにEPPとEDRは目的が異なるため、どちらか一方だけを導入すればいいというものではありません。EPPでしっかり防御を行った上で、そこをすり抜けたものへの対処をEDRで迅速化する、といった合わせ技が求められます。EPPだけではすり抜けた脅威への対応が遅くなり影響範囲が広がってしまいますし、EPPでの防御がなければEDRで対処すべきインシデントが膨大になり、対処が追いつかなくなってしまいます。

そのため最近では、EPPとEDRを統合したセキュリティ製品も増えてきました。EPP部分はNGAVが搭載されており、これまで多くのアンチウイルスで利用されてきたシグネチャに依存せず、エンドポイント上での動きをリアルタイムで分析し、脅威につながる不審な動きを既知・未知を問わず検知・防御することができます。また、仮に侵入を許した場合にも、EDRにより検知と対応が行えるため、被害を最小化し、早期に通常業務に復帰するために役立ちます。

サイバネットでは、主要EDR 製品である VMware Carbon Black 及び CrowdStrike Falcon を取り扱うほか、EDRの自社運用に不安を持たれているお客様には、EDRの運用をアウトソースするMDRサービスもあわせてご提案しています。EDR導入にあたっての製品の比較や運用のご相談を承っています。気軽にご相談ください。