現在の企業におけるセキュリティ対策の基本は、ゲートウェイを守る UTM と PC を保護するエンドポイントプロテクション(EPP)が中心となっています。台頭するサイバー脅威に対して、サイバー攻撃の侵入口になりやすい PC を保護するセキュリティ対策としてアンチウイルス、次世代AV、EDR などさまざまなものがあります。
この記事では、こうした PC に対するセキュリティ対策について、検出の仕組みやそれぞれの棲み分けについて、わかりやすく解説をします。
EPP(Endpoint Protection Platform)とは?
アンチウイルス(ソフト)、ウイルス対策製品、EPP は同じものを指すことが多いのですが、個人向け製品をアンチウイルスソフト、企業向けを EPP と分けて呼ぶメーカーもあります。本記事では同じものとして扱います。
EPP とは、エンドポイント(PCやサーバーなどの端末)をマルウェア感染から守るセキュリティ対策のひとつです。EPP は、エンドポイント保護プラットフォームとも言われています。その名のとおりエンドポイントを保護して、マルウェアなどのウイルスに感染しないようにしたり、悪質なプログラムの実行を防いだりします。
個人向けのアンチウイルスソフトは、マルウェアの検出と駆除するアンチウイルス機能を中心とした製品で、最近では、VPN や漏えいした ID とパスワードの通知機能、フィッシング対策機能などさまざまな個人向けの機能があります。マルウェアとは、広くコンピューターやネットワークに損害を与えるソフトウェアのことでウイルスを含む言葉です。
一方、EPP は同じくマルウェアの検出と駆除をベースにした製品ですが、企業向けにパーソナルファイアウォール、USB 制御、HDD/SSD の暗号化、振る舞い検知機能、アプリケーションのホワイトリスト、次世代アンチウイルス(NGAV)機能などの検出・保護機能に加え、組織内の端末の EPP 導入デバイスをまとめて管理可能な管理システムが含まれます。
以降は EPP の検出方法について説明します。さまざまな検出機能がありますが、実際には複数の機能を組み合わせて総合的に判断する場合もあります。
※メーカーによっては、個人向けのアンチウイルス製品でも、次世代アンチウイルスなど高度な機能を含んでいるものもあります。
検出方法1 パターンファイル
EPP の中心的な検出機能であるマルウェア対策機能は、マルウェアによる侵害および悪意のあるアクティビティをファイルベースで検出し、隔離・駆除といった対応を行えます。
ファイルベースの検出とは、その名の通りファイルを検査するという意味です。通常、マルウェアの実態は不正なプログラムであるため、exe などの実行形式といった何らかのファイルを使います。このファイルによる攻撃を検出するのがファイルベースの検出です。
ファイルベースの検出は、まず、疑わしいファイルに対してパターンファイルによる検出を行います。ファイルの中のコードを読み込んで、マルウェアの特徴的なパターンや実行するコマンドを探します。ファイル内にあるコードを、マルウェア対策ベンダーのデータベースにあるパターンと比較することで判定します。このパターンファイルのことをシグネチャやウイルス定義ファイルとも呼びます。
次に、ファイルハッシュによる検出も行います。これはハッシュというファイルから計算される一意の文字列が、マルウェアの検体のハッシュ値をデータベースと比較して一致するかをチェックします。
こうした、パターンファイルやファイルハッシュなど、すでにマルウェアと分かっている情報をもとに検出する防御のことを「既知の脅威」に対する防御と言います。
検出方法2 振る舞い検知
マルウェアを検出する手法2つめは振る舞い検知による検出です。
元のマルウェアのコードを改変したマルウェアを亜種と言います。マルウェアのコードが少しでも変わっていれば、ファイルハッシュによる検出は回避されてしまいますし、コードを改変したり、難読化するツールを変更すれば容易に亜種が作れます。
こうした亜種に加え、新種を合計すると、1日に約40~60万個も新しいマルウェアが発見されているため、パターンマッチング方式では、検体の入手と解析が追いつきません。
そこで、マルウェアのコードではなく、プログラムの振る舞い・挙動に着目し、不審な動作をするプログラムをマルウェアと判定する「振る舞い検知」の仕組みが誕生しました。
振る舞い検知にはコードそのものや構造を評価する静的振る舞い検知と、ファイル実行時にプロセスやファイルアクセス、通信、コマンドやレジストリ変更などを評価する動的振る舞い検知があります。
振る舞い検知では、パターンファイルに依存しないため、これまで発見されたことがない未知の脅威も検知できるのが特徴です。
次世代アンチウイルス(NGAV)
次世代アンチウイルスは「Next Generation Anti-Virus」の略であり、メーカーによって実現する方法は差異がありますが機械学習をもとにした検出を行うマルウェア対策製品全般を指します。
機械学習に加え、動的振る舞い検知の手法やホスト IPS の機能を組み合わせて、NGAV の機能に利用するものもあります。
これにより、従来の EPP では検出できなかったファイルレスと呼ばれる、ファイルをダウンロードせず直接被害端末のメモリ上に読み込んで実行するマルウェアや、ソフトウェアを一切使用しない PowerShell を使う攻撃なども検出することができます。
NGAV は EPP の一部として提供されている場合もあれば、オプション提供されているケースもあります。
メーカーのアップデートで NGAV が利用できるかもしれません。一度、お持ちの EPP のライセンスと機能を確認してみてはいかがでしょうか。
EPP の他のセキュリティ機能
以下は EPP によくある機能の例です。マルウェアを検出する機能ではないものもありますが、こうした機能によってマルウェアの実行を食い止めたり、マルウェアの侵入を防いだりします。
※機能名は、メーカーによって異なります。
- アプリケーションコントロール
- PC 内で実行可能なアプリケーションをホワイトリスト制限する。
- ホストIDS(ホスト IPS)
- ホスト(PC)内のログやファイル、プロセスの情報を監視して、検出するホスト型の IDS。ファイルに限定されない。
- パーソナルファイアウォール
- ネットワークファイアウォール同様、エンドポイントへアクセス可能なポート、IP アドレスを制限する。
- Web レピュテーション
- インターネット通信時に Web アクセス先 URL をセキュリティメーカーのデータベースと照合して、不正なURLへのアクセスをブロックする。
- クラウドサンドボックス
- 不審なファイルをクラウドへ送信し、クラウド上の仮想環境上でファイルを実行したりファイル内の URL をクリックする。振る舞い検知との違いは、安全な仮想環境上で実行しているか。
- デバイス制御
- USB メモリなど外部接続デバイスの制御を行います。
EDR とは
EDR とは「Endpoint Detection and Response」の略で、その名の通り、脅威の検出(Detection)と対処(Response)に主眼を置いたセキュリティ対策です。
詳細は別記事で記載していますが、ここでは、混同しがちな EPP の機能との違いについて説明します。
EDR の目的
EDR は、対象となるエンドポイントから継続的にログ、イベント情報の収集と分析を行い、単一のコンソールからネットワーク上にあるエンドポイントの状態を可視化し、一連の挙動から脅威を検出します。高度化する脅威に対して、EPP では侵入を100% 完全に防ぐのは難しく、侵入後の調査機能がないため、マルウェアや不正アクセスの侵入が開始されてから、短期間で調査・対処を迅速に行うことで被害を最小にする「侵入を前提とした対策」を実現するのが EDR の目的です。
EDR における検出の仕組みは、エンドポイント内で生成されたプロセス、派生した子プロセスやレジストリ、通信などの挙動をチェックして、一連のイベントから脅威であるかを判別します。また、エンドポイントをまたいだ挙動も追跡できるため、侵入後の内部展開活動であるラテラルムーブもとらえられます。もし、怪しい挙動があればコンソールから調査が可能で、端末内のログやイベントをチェックしたりして、前後で何が起こっていたか、根本原因は何なのかの調査まで行えます。調査の結果、対処(Response)としてプロセスやファイルを削除したり、検体を管理者側で取得して追加分析したりできます。
このように、侵入した脅威に対する調査と対処に主眼を置いた対策を行うのが EDR です。
EPP に加えて EDR が必要な理由とは
EPP は既知の脅威に対して非常に強いため今でも重要なセキュリティ対策です。一方で、EPP は脅威の侵入を検出する仕組みのため、侵入を許すと追跡するすべがないため、侵入後の早期検知・調査・対処による被害の最小化を目的に EDR も追加して導入するのがおすすめです。
米国においては、過去にCISA(サイバーセキュリティー・インフラセキュリティー庁)から連邦政府機関に対して、連邦政府のネットワークにおけるサイバーセキュリティの脆弱性およびインシデント検出の向上を達成するために、ゼロトラストの推進、MFA(多要素認証)の義務化に加えて、EDR の導入を求める大統領令が出ており政府機関において EDR の導入が進んでいます。
EPP の振る舞い検知機能との違い
EDR と動的振る舞い検知は検出の仕組みで似ている部分がありますが、検出のタイミングと導入する目的が異なります。振る舞い検知による検出はファイルの実行前と実行時に振る舞いを検出するのに対して、EDR は実行後の複数の挙動から脅威の動きを捕捉します。つまり、検出するタイミングが異なります。また、前述の通り、振る舞い検知は侵入を防ぐことを目的にしている一方、EDR は侵入後の検出に加えて、侵入経路の調査、被害範囲の特定、を主眼に置いているため、導入の目的が異なります。
EDR と EPP の共存について
ウイルス対策製品同士は競合するため、EDR と EPP を同じ端末に入れて競合しないか気になるかもしれません。
一般的に、EPPと EDR は共存して使うことが前提となっています。
ただし、製品によっては導入時の注意事項がある場合もあるので、事前にメーカーに確認したり、検証したり、ドキュメントを読むことをお勧めします。
MDR とは?
EDR に似た言葉で、MDR があります。MDR とは Managed Detection and Response のことで、24時間365日企業のセキュリティインフラの監視・運用を行うサービスです。
EDR に限らず、UTM や ID などが監視対象で、脅威の特定と監視、対処に主眼を置いた一連のアウトソーシングサービスで、高度なマネージドセキュリティサービスとも言えます。
MDR を導入すれば、組織内にセキュリティオペレーションセンター(SOC)を設置したり、すでにあるSOCの規模やセキュリティ担当者の数を大幅に増やしたりしなくても、脅威に対処することができます。
当社では、EDR 向けの MSS for EDR、Microsoft 365 E5向けのMSS for Microsoft 365 などを提供しています。
まとめ
本記事では、EPP の各機能と、NGAV、そして EDR について説明してきました。
最後に、EDR は調査、対処が含まれるため、セキュリティの知見がある人材と24時間365日の運用体制が必要です。
当社の MSS for EDR は、さまざまな要件に対応できるよう CrowdStrike Falcon、Carbon Black Cloud、Cybereason、Microsoft Defender for Endpoint P2、Trend Micro Apex One XDR といった多くの EDR 製品に対応しています。もし、自社でセキュリティ運用に不安があれば、当社までご相談ください。
