エンドポイント型 サイバー攻撃対策

～次世代アンチウィルス～

本コラムの「第2回：EDRの情報収集」にてアンチウィルス製品（EPP）について説明しましたが、本コラムでは、次世代アンチウィルス（NGAV※）について解説したいと思います。なお、アンチウィルス製品（EPP）とEDR製品の違いについては、第2回のコラムで触れておりますので、ご参照いただければと思います。

※NGAVは、Next Generation AntiVirusの頭文字をとった略称となります。以下、NGAVと記載いたします。

アンチウィルス・NGAV共にエンドポイントの保護を目的としておりマルウェアなどによるサイバー攻撃を検知し、除去する製品となります。
では何が違うのでしょうか？端的に申しますと、NGAVはアンチウィルスで検知できなかった攻撃にも対応できる「アンチウィルスの進化版」となります。

各々の製品の概要は以下の通りとなります。

• アンチウィルス：
  パターンマッチングでの検知方法が一般的です。シグネチャと呼ばれるマルウェアの特徴を示すデータとエンドポイント上のファイルを照合し、マルウェアや悪意のあるプログラムと判断するとその侵攻を阻止します。
• NGAV：
  AIによる脅威検知や、アプリケーションの動きを見て不審な動作をブロックする振る舞い検知などを用いて、シグネチャに登録されていない未知の攻撃からも侵攻を阻止できます。

以前、アンチウィルス製品（EPP）は家でいう物理的な「鍵」と例えました。同様にNGAVを例えると、ピッキングに強いといわれている「ディンプルキー」や指紋認証により「電子錠」など鍵の進化版といったイメージをしていただければと思います。

昨今のサイバーセキュリティ上の脅威は巧妙化しているので、入口対策強化策としてアンチウィルスからNGAVに置き換えることも検討頂ければと思います。

※第5回のコラムで紹介させて頂いた「Cybereason」社でもNGAVを提供しております。

• Cybereason NGAV （侵入前対策）

尚、NGAVを導入する際の留意点として以下のようなものがあります。

• アンチウィルスとNGAVとの同一端末での共存は、機能の重複やお互いに干渉する可能性があるなどの観点から推奨いたしません。
• 両製品を価格で比較した場合、NGAVはアンチウィルスの数倍の価格帯になることが多いです。投資対効果を考慮してご検討ください。
• 各社のNGAV製品は高い検知率をあげておりますが、100%検知・駆除する事は難しいので、EDRなどの「侵入されることを前提とした対策」と共存することを推奨いたします。

NGAVとEDRを同時に使用することで、日々巧妙化するサイバー攻撃に対して堅牢性の高いセキュリティ対策を構築することができます。ではなぜNGAVとEDRを同時に使用することが推奨されるのでしょうか？

第1回から第5回までのコラムではEDRを導入することのメリットについてお伝えしてきました。今までのエンドポイントセキュリティ対策として十分でなかった出口対策を強化できるEDRは、今日のサイバー攻撃からエンドポイントを守るために必要なものとなります。
しかし、EDRを用いて出口対策を強化することでサイバー攻撃の活動を監視し対処することは可能となりますが、今まで見えてなかった攻撃も可視化できることで検知アラートが増え、対処する管理者の負担も増加する場合もあります。そして負担が大きくなりすぎると、迅速な対処ができなくなるなどのリスクがあります。管理者の負担を増加させないためには、サイバー攻撃の侵入を防ぐ入口対策つまりNGAVを導入して検知率を高め、入り口対策では防ぎ切れなった攻撃だけをEDRで対処することが必要です。
つまりサイバーセキュリティ対策では入口対策と出口対策をバランスよく実装することが望ましいと言えます。

改めて本コラムの内容で述べているNGAVに話を戻しますと、今日の巧妙化されたサイバー攻撃により、一般に広く導入されているEPPの検知率は以前よりも低下していると言われています。そこで期待されているのがNGAVであり、未知のサイバー攻撃も検知できる機能を有しています。NGAVとEDR、この２つの機能を活用して、限られた管理者でも巧妙化しているサイバー攻撃に対処できる体制を構築することをご検討下さい。

6回にわたりコラムをご覧頂き有難うございました。本コラムでは、エンドポイントセキュリティ対策を中心に解説してまいりましたが、巧妙化するサイバー攻撃に対処するには、ネットワーク対策など複数のセキュリティによる多層防御が必要と考えます。
より堅牢な防御を実現するために、各社しのぎを削って製品開発を実施していますので、別の機会に新しい情報などを皆様にお伝えできればと思っています。