EDR製品と従来のアンチウイルス製品との違い

 2019.11.01  EDR実践ポータル

デスクトップパソコンやノートパソコン、スマートフォン等に誤ってマルウェアをダウンロードしてしまうと、攻撃者はその端末の情報を搾取したり、その端末を踏み台にして内部ネットワークへの侵入を試みます。「でも、アンチウイルス製品があるから大丈夫でしょう?」と考える方も多いでしょうが、残念ながら従来のアンチウイルス製品だけでは、高度化されたサイバー攻撃に対応することは不可能です。

なぜ従来型のアンチウイルス製品ではサイバー攻撃を防げないのか?今後必要な情報セキュリティシステムとは何か?本稿では、EDR製品という近年注目されている情報セキュリティシステムと、従来のアンチウイルス製品との違いを明らかにしつつ、企業が今取るべき情報セキュリティ対策について明示していきます。

edr-or-anti-virus

EDRとは?

EDRは「Endpoint Detection and Response(エンドポイント・ディテクション・アンド・レスポンス)」の略であり、日本語では「エンドポイント(端末)での検知と対応」と訳されます。エンドポイントとは、ネットワークに接続された端末のことです。デスクトップパソコン、ノートパソコン、スマートフォン、サーバー、クラウド上で管理されている仮想マシン、ネットワークに接続された端末はすべてエンドポイントに分類されます。

EDRの役割について簡単に説明しますと、「エンドポイントでサイバー攻撃を検知し、端末を保護すること」です。「それって従来のアンチウイルスと同じじゃないの?」と考える方も多いでしょう。確かに、エンドポイントで攻撃を検知して保護するという点では共通していますが、それに至るまでの振る舞いがまったく違います。

EDRは2013年、米調査会社ガートナーのシニアアナリストであるAnton Chuvakinによって定義されたと言われています。主に、エンドポイントへ専用エージェントを搭載し、システムやアプリケーションのアクティビティ情報を収集することで、不審な挙動を検出し、サイバー攻撃を特定し、エンドポイントを保護します。

参考:Gartner Blog Network『Named: Endpoint Threat Detection & Response

従来のアンチウイルス製品との違い

一般的なアンチウイルス製品がどういった仕組みでマルウェアの感染を防いでいるか簡単に説明しますと、多くの製品は情報セキュリティベンダーが更新しているシグネチャファイルを使用したパターンマッチングで端末を保護しています。

シグネチャファイルとは、マルウェアの特徴や攻撃パターンに関する情報をまとめたファイルであり、端末内部に保存されているファイルをスキャンし、パターンマッチングを実施することで不正ファイル(=マルウェア)を検出します。検出されたマルウェアは安全な場所に隔離され、アンチウイルスによって自動的に退避や削除が行われます。つまり、従来のアンチウイルスは「エンドポイントをマルウェアの感染から守ること」を目的としていますが、シグネチャファイル次第とも言えるのです。もし、ベンダーが提供するシグネチャファイルが新しいマルウェアに対応していなかったり、自身が最新のシグネチャファイルを適用していなかったりする場合には容易に感染してしまうことになります。

一方、EDRはエンドポイントからシステムやアプリケーションのアクティビティ(主にログ情報)を収集し、解析することで不審な挙動を検知し、サイバー攻撃を特定し対応します。つまり、「サイバー攻撃を受けていることを前提とした情報セキュリティ対策」であり、シグネチャファイルに依存しない対策と言えます。

このように、EDRと従来のアンチウイルスとでは、検知及び防御に至るまでのプロセスが根本的に異なります。

アンチウイルスはマルウェアを止めてエンドポイントを防御しますが、止められなかったマルウェア、マルウェアを使用しない攻撃の一端などはそのままスルーし、誰も気づかずに攻撃が進行することになります。

 

EDRが必要とされている理由

1日に誕生する新種マルウェアの数をご存知でしょうか?アンチウイルスを評価する第三者機関のAV-TESTの調査では、2018年に検出された新種マルウェアは1億3747万件だと発表しています。1日に換算すると、37万6,639件、1秒に換算すると4.4件です。毎日約37万7,000件も誕生する新種マルウェアを前に、シグネチャファイル形式のアンチウイルス製品では不安になるのは当たり前かもしれません。出典:AV-TEST『AV-TEST SECURITY REPORT 2018/19

なぜなら従来から存在しているマルウェアやその亜種、そして新種まで、3万5,000件の1つ1つに対応することは物理的に不可能であり、よって従来のアンチウイルス製品は“未知のサイバー攻撃に弱い”というウィークポイントがあります。

それに対しEDRは、エンドポイントに専用エージェントを設置して、アクティビティを収集し続け、解析することで、その振る舞いからマルウェアやハッカーの存在を検知します。つまり、新種マルウェアであろうと巧妙なサイバー攻撃であろうと、攻撃を受けることを前提にしているため、高確率で攻撃を検知することが可能になっています。アンチウイルスが止めなかった、見つけられなかった攻撃に対応することができるのです。先進的なEDR製品ではAI/機械学習が搭載されており、あらゆる手法に対しての検知、攻撃からの保護が可能になってきています。

関連記事:マルウェアからの防御策には機械学習が必須

まとめ:従来のシグネチャー型アンチウイルス製品から新時代のエンドポイント保護への移行

従来のアンチウイルス製品では、高度化した攻撃を防ぐことはもはや不可能な時代になりました。定期的に更新されるシグネチャファイルでは防げない現状があり、“未知のサイバー攻撃に弱い”というデメリットがあります。AI/機械学習を備えた次世代アンチウイルスやEDRを導入し、より堅牢な情報セキュリティ対策を講じることが企業や組織において急務なのです。

ENDPOINT DETECTION AND RESPONSE

脅威ハンティングの最前線
2019年版グローバル脅威レポート: エグゼクティブサマリー

RELATED POST関連記事


RECENT POST「アンチウィルス」の最新記事


EDR製品と従来のアンチウイルス製品との違い
セキュリティ侵害を防止する革新的システム

RANKING人気資料ランキング

RECENT POST 最新記事

ブログ無料購読

RANKING人気記事ランキング