全2527文字
PR

 マルウエアによる被害が後を絶たない。攻撃者は企業ネットワーク内のエンドポイントにマルウエアを感染させ、そのエンドポイントを起点として攻撃を拡大させる。このため、エンドポイントを守ることの重要性は増すばかりだ。

 そこで今回はエンドポイントのセキュリティーに焦点を当て、近年注目が集まっている「EDR」を解説する。

従来のアンチウイルスでは限界に

 エンドポイントを守るセキュリティーツールは多数ある。代表的なツールの1つがアンチウイルスソフトだ(図1)。ほとんどのエンドポイントが導入している。Windowsにも標準で含まれている。

図1●ツールごとに防御する脅威が異なる
図1●ツールごとに防御する脅威が異なる
セキュリティーツールは様々あるが、それぞれ防御する脅威が異なる。NGAVやEDRは比較的新しいツールであり、プログラム(マルウエア)の振る舞いなどから未知の脅威を検出する。加えてEDRは自動的に対応する機能を備える。脅威を検出できずに感染した場合でも被害を最小限に抑える。
[画像のクリックで拡大表示]

 アンチウイルスソフトはシグネチャーベースで既知の脅威(マルウエア)を検知する。シグネチャーとは過去のマルウエアや攻撃パターンなどを収めたデータベースである。シグネチャーを更新することで、新しいマルウエアも検出できるようにする。ただしシグネチャーにない未知のマルウエアは検出できない。新たに作られるマルウエアの数が桁違いに多くなっている現在では、守りとして不十分になっている。

 そこで登場したのがNGAVだ。直訳すると次世代アンチウイルス、アンチウイルスの進化版といえるだろう。NGAVは、プログラムの振る舞いを見てマルウエアかどうかを判断する(図2)。このため未知のマルウエアも検知できる可能性がある。

図2●振る舞いなどから未知の脅威を検知
図2●振る舞いなどから未知の脅威を検知
NGAV(次世代アンチウイルス)はプログラムの振る舞いなどから脅威を検知する。機械学習なども用いる。このため従来のアンチウイルスソフトでは検知できない脅威も検知できる。ただし感染拡大防止のための対応は人手で実施する場合がある。
[画像のクリックで拡大表示]

 不審な振る舞いとは、例えば管理者権限の掌握や業務と無関係なサーバーとの通信だ。これらを実行しようとするプログラムはマルウエアである可能性が高い。