NGAV・EDR・DLPの違いとは?
AV(Antivirus)/EPP(Endpoint Protection Platform)
AV(Antivirus)/EPP(Endpoint Protection Platform)
AVまたはEPPとは、コンピュータウイルスからパソコンなどの機器を守るためのソフトウェア総称で、「アンチウイルスソフトウェア」や「ウイルス対策ソフトウェア」のことを指します
アンチウイルスソフトウェアではパターンマッチング技術が検出手法として用いられております。
パターンマッチング技術とは?
あらかじめウイルスの特徴を登録したデータベースをウイルス対策ソフト内に持ち、この情報と検査対象のファイルを逐一比較する方法のことです。 昨今ではランサムウェアやワームなどマルウェアの種類が爆発的に増え、新たなウイルスの特徴をデータベースに登録する前にパソコンが感染してしまう被害が増えてくるようになりましたが、登録されたものは確実に防げるというメリットもあります。 データベース登録の有無に問わずマルウェアを防ぎたいというニーズにこたえるように「NGAV」・「NGEPP」という製品が登場しました。
NGAV(Next Generation Antivirus)/NGEPP(Next Generation Endpoint Protection Platform)とは
NGAVまたはNGEPPとは、マルウェア特有の動作を手がかりにマルウェアを検知するソフトウェアのことを指します。
これは従来のAV・EPPで使われたパターンマッチング技術とは異なり、弱点をカバーし、振る舞い検知やAI・機械学習といった技術を用いてマルウェアと疑わしいものを検知・ブロックを行い、パソコンをマルウェア感染から守ります。
製品の概要
•アンチウィルス:
パターンマッチングでの検知方法が一般的です。シグネチャと呼ばれるマルウェアの特徴を示すデータとエンドポイント上のファイルを照合し、マルウェアや悪意のあるプログラムと判断するとその侵攻を阻止します。
•NGAV:
AIによる脅威検知や、アプリケーションの動きを見て不審な動作をブロックする振る舞い検知などを用いて、シグネチャに登録されていない未知の攻撃からも侵攻を阻止できます。
以前、アンチウィルス製品(EPP)は家でいう物理的な「鍵」と例えました。同様にNGAVを例えると、ピッキングに強いといわれている「ディンプルキー」や指紋認証により「電子錠」など鍵の進化版といったイメージをしていただければと思います。
| AV・EPP 従来型のアンチウィルス | NGAV Next Generation Anti-Virus 次世代アンチウィルス | EDR Endpoint Detection and Response | XDR | DLP Data Loss Prevention 情報漏洩防止を目的としたソフトウェア | |
| 目的 | データベースに登録されているマルウェア情報(パターンファイル・シグネチャー)をもとにマルウェアを検知する | 未知・既知問わずマルウェア特有の動作を手がかりにマルウェアを検知する | エンドポイントの操作を記録・監視し、サイバー攻撃を発見次第すぐに対処する | エンドポイントからネットワーク、クラウドにまたがる包括的な脅威の監視・攻撃の検知・対処 | 機密情報と特定したデータを監視し、情報漏洩につながる行動をブロックする |
| 特長 | 既知(データベースに登録済み)のマルウェアは防ぐことが可能 | 既知・未知問わずマルウェアからの脅威に対処することが可能 | サイバー攻撃の全体を可視化し、原因究明・影響範囲特定に活用することが可能 | エンドポイント、ネットワーク、クラウドといった軸にとらわれず、企業全体を可視化し、原因究明、影響範囲特定に活用することが可能 | 予め設定したポリシーに基づきデータを見守り、反する行動をブロック可能 |
| 注意点 | ・データベースに登録されていないマルウェアを防ぐことができないので、新たなマルウェアに対して素早く対応することが困難 ・パターンマッチングをすり抜けられるよう精巧に開発されたマルウェアは防ぐことが困難 | ・万が一マルウェアが検知をすり抜け侵入してしまった場合の対処はできない ・過剰検知を調整するチューニング作業が必要 | •マルウェアの侵入を防ぐことを目的としていない •継続的な運用が必要 | EDRと同様 | 十分なチューニングと継続的な運用が必要 |
| おすすめ | - | 未知のマルウェア脅威対策がまだ、もしくは強化したい | 未知のマルウェア脅威対策はお持ちで、有事の際に備えた管理・対処の組織を保有できる | 脅威ハンティング(資産、ネットワーク、およびインフラストラクチャコンポーネントを積極的に検索して、セキュリティ防御を回避した可能性のある脅威を探すこと)を活用して、未知の脅威やゼロデイ脆弱性から保護します。 | 知的財産や個人情報など守るべきデータを多く持っており、社内外問わず情報漏洩を防ぎたい |
| メリット | 誤検出が少ない | 未知の脅威も検出可能 | 感染後の復旧を支援できる | ・ステルス攻撃に対する脅威検知能力の向上 ・攻撃者の渋滞時間の短縮 ・リスト軽減の対策スピードの向上 | 機密情報の保護に特化して対策できる |
| デメリット | 既知の脅威しか検出できない | ライセンス費用が従来型アンチウイルスと比較し、高い | 侵入済みの攻撃へ対処するため、侵入を防ぐことはできない | EDRと同様 | 指定したデータ以外は防御できない |
| 主なメーカー | •Trend Micro •Symantec •McAfee •ESET •Kaspersky Lab •F-secure •Sophos •Microsoft | •Palo Alto Networks •FFRI •Cylance •SentinelOne •Blue Planet-works | •Palo Alto Networks •Cybereason •Fortinet •Carbon Black •CrowdStrike •Cisco •FireEye •Tanium | •Palo Alto NetworksI •Trend Micro •Sophos • | •Digital Guradian |
EDRの進化版? 新たなセキュリティ対策XDRとは
XDRとは?
XDRとは、エンドポイントやネットワーク、クラウドといったセンサーから情報を収集・分析し、今まで見えなかった攻撃を可視化するセキュリティ対策ソフトウェアの総称です。
EDRはエンドポイント、NDRはネットワークの頭文字を指しますが、XDRの「X」は変数です。
Xには、ネットワーク・エンドポイント・クラウドなどからデータを収集し、それらのデータ分析を集中管理して行います。これにより単独製品では見逃してしまう高度なサイバー攻撃も可視化し、防御・検知・対処を実現します。
| EDR | NTA | XDR | |
| 対象 | エンドポイント | ネットワークトラフィック | エンドポイント、ネットワーク、クラウド |
| 目的 | エンドポイントの操作や動作の監視・攻撃の検知・対処 | ネットワークのパケットベースで追跡と監視・攻撃の検知・対処 | エンドポイントからネットワーク、クラウドにまたがる包括的な脅威の監視・攻撃の検知・対処 |
| 主なメーカー | •Microsoft •Cybereason •CrowdStrike •Carbon Black •Palo Alto Networks | •DarkTrace •Palo Alto Networks | •Palo Alto Networks •Trend Micro •Sophos |
EPP vs EDR vs XDR:エンドポイントセキュリティの比較
•XDRと他のセキュリティソリューションの違い
XDRが他のセキュリティツールと異なるのは、脅威検知とインシデント対応のユースケースに焦点を当てている点です。複数のソースからのデータを一元化、収集、分析し、完全な可視化を可能にします。これらのソリューションはアラートの検証をより適切に行うことができるため、セキュリティチームが冗長なアラートや不正確なアラートに費やす時間を削減することができます。
| EPP | EDR |
| 既知および未知の脅威を防止します | エンドポイントにすでに影響を与えている脅威に対応するために使用されます |
| エンドポイントに対する攻撃の最初の防衛線(スキャン、識別、ブロック)として機能します | 脅威が発生した後、それらを特定して軽減するのに役立ちます(サイバー攻撃の全体を可視化し、原因究明・影響範囲特定) |
| 既知(データベースに登録済み)のマルウェアは防ぐことが可能 | アクティビティを検出し、エンドポイントを自動的にロックダウンして、セキュリティアナリストがさらに調査できる |
| エンドポイントは保護されていますが、エンドポイントの脅威に関する詳細なデータは提供されていません | 複数のエンドポイントからのデータを集約して、フォレンジック(セキュリティ事故発生時に原因究明などのためにコンピュータに残された証拠を調査する)調査を可能にします |
| EDR | XDR |
| 一つのエンドポイントセキュリティワイヤー限定 | 複数のセキュリティレイヤをまたぐ-エンドポイント、ネットワークトラフィック、ID管理 |
| ネットワークトラフィック分析(NTA)ツールによって補完されますが、これらのツールは、ネットワークと監視対象のネットワークセグメントに限定されています | 統合された統合プラットフォームでの検出と応答を可能にし、エンドポイントとネットワークの両方のセキュリティを提供します |
| 他のセキュリティツールとともに管理する必要がある個別のツール | セキュリティアナリストに単一の参照ポイントを提供する統合プラットフォーム |
EDRの導入効果
1.感染を前提とした対策が可能
エンドポイントに従来のセキュリティ対策では防ぎきれなかった未知のマルウェアなどが侵入されても、EDRを使い検知・対策することで最終的に情報漏洩やデータ破壊など防止する事ができます。
2.セキュリティ侵害の原因特定
EDRではエンドポイントの挙動を監視してログを蓄積しながら、通常の操作ではあり得ないおかしな動作の兆候から不審なプログラムやプロセスを検知します。これらの疑わしい動作をより詳細に解析や分析、調査を行うこともでき、侵入経路や被害状況などを把握することができます。
3.システム全体での脅威把握(インシデント対応支援)
EDRではエンドポイント全体の挙動を把握することが可能になります。1つのエンドポイントで感染を検知した場合に、感染範囲を確認・対策を打つことで被害拡大を防ぐと共に、特定した原因への対策を全てのエンドポイントに適用することで、同様の攻撃を防止することが可能となります。
4.インシデント発生時のコスト削減(フォレンジック)
エンドポイントで不正アクセス等のインシデントが発生すると、証拠保全や対応までに消失した社内情報の調査、原因特定や拡散範囲、ステークホルダーへの状況説明や対応策の説明など、やらなければならないことが多いかと思います。場合によってはこうした対応ができないケースもあるでしょう。EDRを導入することにより、エンドポイントでの動作が記録されるので証拠保全につながり、解析・分析による原因特定や影響範囲、被害状況の把握を迅速に行うことができるので、管理者の負担、調査にかかる時間、社会的信頼の損失を大幅に軽減できます。
NGEPP(Next Generation Endpoint Protection Platform)製品の6つの機能
•防止
過去に確認されたことのある既知の脅威がコンピュータに侵入した場合、コンピュータ上で実行される前に脅威をブロックします。
•動的エクスプロイト保護
アプリケーション・ネットワーク・ハードウェアに存在する脆弱性を悪用した攻撃をエクスプロイト攻撃と言い
ます。CGIなど動的にHTMLを生成する仕組みを悪用した攻撃も含め、動的なエクスプロイト攻撃から保護します。
•動的マルウェア検出
メモリ・ハードディスク・ネットワークなどのあらゆる操作をリアルタイムに監視し、分析します。分析に基づき、
未知のマルウェアであっても感染する前に検出します。
•緩和
万が一、マルウェアに感染してしまったとしても、特定のプロセスの強制終了・感染したPCをネットワークから
切断・シャットダウンなどを行い、被害を最小限に食い止めます。
•修復
マルウェアが実行されると、システムファイル・レジストリ設定・構成情報などが変更・削除されることがあり
ます。仮に、マルウェアによりシステム変更が発生した場合でも、変更内容を記録し、変更前の状態に修復します。
•フォレンジック
不正な動作が行われた証拠を確保し、可視化するフォレンジックの機能を提供します。
コメント