EPPとEDRの違いを正しく理解し高度なセキュリティ対策を実践

 2019.12.19  EDR実践ポータル

本記事では、EPPとEDRの違いを正しく理解し高度なセキュリティ対策を実践する方法に関してご紹介します。difference-between-epp-and-edr

環境変化に呼応したセキュリティ対策を

メールやスケジュール管理、財務会計/ERP、顧客管理、ストレージ等など、みなさまの日常業務を担うシステムは、ここ数年で自社内で閉じたネットワークで運用するオンプレミスから、クラウドへの移行が進んだことと思います。国内では“働き方改革”の実践もあって、ワークスタイルも変わり、自宅や外出先で情報機器を使うシーンが増えてきました。

企業の情報セキュリティ対策も、環境変化に合わせたものに変わっていかなければなりません。時代のニーズに呼応するセキュリティ対策の主流は、“エンドポイントセキュリティ”。企業ネットワークにつながるサーバやPC、モバイル端末などのエンドポイント機器をしっかりガードするという手法です。

主戦場は“境界”から“エンドポイント”へ

オンプレミスの環境では“境界防御”、企業情報システムとインターネットのようなオープンネットワークの境界に、FirewallやIDS/IPS(侵入検知/防止システム)などのシステムを設置して、境界線から内側を守るという考え方が主流でした。

しかし、クラウドサービスとモバイル機器が浸透した現在のビジネス環境では、守るべき対象は境界の内部だけではありません。情報機器は社外にも散在し、データの多くはクラウド側にあります。このような環境では、“境界”という概念自体が希薄なものになり、エンドポイントの単位でガードを固めることが必須になってきたのです。

主役は「EPP」と「EDR」

エンドポイントセキュリティの手法として、以下の2つがよく知られています。

- EPP(Endpoint Protection Platform)  :エンドポイント保護プラットフォーム

- EDR(Endpoint Detection and Response): エンドポイントでの検知と対応

 

EPPとEDRは目的も要素技術も異なるのですが、ベンダーによって少しずつ機能が違い、標準化組織で決めたような明確な定義もありません。アウトラインは、EPPは“防御対策”、一方のEDRは“侵入後の対応”ですが、一度発表されたプロダクトも、サイバー犯罪の巧妙化と多様化に合わせて、日々拡張されているのが実情です。

- EPP:防御対策   (外部からの脅威に対するガード)

- EDR:侵入後の対処 (万一の侵入後における対応)

脅威ハンティングの最前線 2019年版
ENDPOINT DETECTION AND RESPONSE

 

エンドポイントのセキュリティ対策には、いろいろなアプローチがあり、変化が早い領域ということあって、対策を進める現場でも若干の混乱が生じていることは否めません。これ以降は、基本に立ち返ってEPPとEDRの基本機能を整理しながら、それぞれの企業の状況に応じた配置方法を考えていきましょう。

EPPのコアはアンチウイルス

EPP(エンドポイント保護プラットフォーム)のコアになる機能は、ウイルス対策、アンチウイルス(AV:Antivirus)です。EPPのアウトラインは、“エンドポイントをマルウェア(悪意を持ったソフトウェアやコードの総称)から守るための技術やシステム”と捉えていいでしょう。ただ、もっともありふれた脅威であるマルウェアは、攻撃側の手法も進展が早く、ガードする技術も日々拡張している点は注意が必要です。

早くから確立している技術として、マルウェアのビットパターンを記録し、合致するファイルを弾くパターンマッチングがあります。特徴的なパターンをシグネチャ(Signature:署名などの意味)と言い、既知の攻撃を分析して定義したシグネチャを元に、マルウェアを駆除する技術が「シグネチャ方式」です。

シグネチャは新顔(未知のマルウェア)に弱い

保存したパターンとの類似で判断するシグネチャ方式の弱点は、新種のマルウェアには対峙できないことです。今はプログラムの一部を改変する無料のツールも出回っていますから、専門知識がなくとも、新種や亜種のマルウェアは簡単に生成できてしまいます。

そこで未知の攻撃に対処する方法として、マルウェアに含まれる不審な動きを検知する“振る舞い検知”という技術が実装されるようになりました。AI(人工知能)の手法である機械学習も用いて、疑わしい行動を学習して知識を集積し、それに合致しそうなファイルをマークするというやり方です。

AVからNGAVへ

シグネチャ方式を土台としたAVをすり抜けた攻撃を、振る舞い検知や機械学習などで検知するシステムを、「NGAV(Next Generation AV):次世代AV」、ベンダーによっては「NGEPP」と称しています。未知の攻撃への対応力を高めたNGAVは、今のところマルウェアに対するガードとして、もっとも有効な施策と言えます。

もちろんセキュリティ企業は、基盤技術であるシグネチャ方式を使ったマルウェアの検知率の向上に努めています。ただし、シグネチャ方式の有効性が高くとも、決して安心はできません。わずか数%の隙間を攻撃者は狙ってくるため、そこが大きな穴になってしまうリスクがあるからです。

こうした状況を加味すると、AV関連のシステムには、振る舞い検知や機械学習などの機能は必須と言えます。

攻撃はNGAVでも追いきれない

先鋭化するサイバー攻撃に対峙するには、EPPだけでは不足するようになってきました。攻撃側も手持ちのツールが既存のセキュリティソフトに弾かれるか否かをテストしていますから、機能を高めたNGAVをもってしても、取り逃がしてしまうことがあるのです。いたちごっこが続く状況はなくなりません。

「ファイルレス攻撃」、PowerShellやWindows Management Instrumentation(WMI)など、OSにもともと備わっている機能を悪用するもの、「Living off the Land(自給自足/環境寄生型)攻撃」、様々な手法を用いてデータの搾取や破壊などを企てる攻撃者からエンドポイントを防御するのは困難になってきています。EPPは、悪意のあるプログラムと判断されたファイルを対象に特定のパターンや動作を検証して防御するものですから、ファイルレスの攻撃は実行ファイルがディスクに書き込まれないため、実際のファイルをスキャンする方式では検知ができなかったり、OSの機能は悪意あるものとはみなされないため、対応が困難なのです。

EPPの精度を極限まで高めていっても、攻撃を100%阻止することは不可能。残念ながらこれが現実なのかもしれません。そこで現実解の一つとして、多くの企業が採用しているのが、EDR(エンドポイントでの検知と対応)なのです。

EDRで被害の最小化

EDRは、高度にカスタマイズしたマルウェアやファイルレスの攻撃など、EPPで防御できずにすり抜けた脅威を検知(Detection)、対処(Response)を支援するシステムや技術の総称です。代表的な機能として以下が挙げられます。

  • ネットワーク内のエンドポイント上のアクティビティを可視化
  • エンドポイント上の不審な兆候を検知し動作を阻止
  • ログデータを検証し、攻撃の兆候を検知
  • マルウェアなどの攻撃が入り込んだ経路を特定し、対策を支援

“脅威の検知と対処”を実行する方法は、ベンダーによって異なりますが、アクティビティを記録、監視し、攻撃の検知を起点に行動を起こす点は共通します。

運用には一定のリソースも必要

EDR単体では、マルウェアの感染自体を防ぐ機能はありません。先にお伝えした通り、エンドポイント内のアクティビティを可視化し、EPPで防御できずにすり抜けた脅威を検知するのが役割です。 攻撃に利用されたファイルの検証や、マルウェアが入り込んだ経路を特定し、再発防止策を立てるといった重要な作業は別途行う必要があります。 

つまり、EDRの機能を引き出すには、運用ノウハウに加えて、攻撃の分析と対策を立案するスキルを持ったスタッフも必要です。社内のリソースが不足している場合は、アウトソーシングも考えた方が良いかもしれません。

EDR製品がファイルの分析製品と連携し、自動分析を行う事が可能であったり、エンドポイント間での横展開(ラテラルムーブメント)を可視化する機能を持つ製品もあります。 必要な作業に応じたアウトソーシングを検討しましょう。

EPPでまず城壁の強化を

先鋭化するサイバー攻撃は、EPPだけでは防ぎきれません。しかし、EDRを前面に据えた対策というのは無理があります。1日に数万種類、調査機関によってはそれ以上の新種や亜種が出現しているとされていますが、サイバー攻撃の多くは既知のマルウェアです。高精度のEPPで前線を固め、毎日毎時降りかかる攻撃を、まずここで防御、振るい落とす必要があるのです。

自陣防衛の最前線である城壁が脆弱では、対峙する兵士が何人いても足りません。企業情報システムでも、穴の多いEPPを攻撃がすり抜ける度にEDRにアラートを上げていては、スタッフの負荷は大きくなってしまうでしょう。セキュリティ対策の第一段階として、優れた検知率を持つEPP(AV・NGAV)を用いた水際対策は、すべての企業に必須のソリューションと言えます。

ニーズを見極め適切な配置を

繰り返しになりますが、新種・亜種のマルウェアは簡単に生成でき、ファイルレス攻撃も蔓延しています。このような環境においては、EPPをすり抜けた攻撃に対する備え、EDRの併設も欠かせません。EPPとEDRは両輪です。

現状のエンドポイント対策の王道は、“EPPで防御の基礎体力を付けEDRで更に何が起きているかを可視化、すり抜けた攻撃に対処する”、です。

未知の攻撃にも対応するシステムを稼働させ、有事への備えを強化したい企業や組織では、現状エンドポイントで利用している製品、各社のEDR製品の機能を検証して、エンドポイントセキュリティ全体の見直しや最適化を考えてもいいでしょう。それぞれの企業のニーズとリソースの状況を精査し、最適なアプローチを選択するようにしてください。

ENDPOINT DETECTION AND RESPONSE

RECENT POST「アンチウィルス」の最新記事


EPPとEDRの違いを正しく理解し高度なセキュリティ対策を実践
2019モバイルを狙う脅威に関するレポート LANDSCAPE REPORT

RANKING人気資料ランキング

RECENT POST 最新記事

ブログ無料購読

RANKING人気記事ランキング