Introduction
近年はリモートワークなどの普及で働き方が多様化し、社内ネットワークを守れば安全という考え方では、サイバー攻撃に対応しきれなくなってきました。そこで重視されはじめたのが、EPPと呼ばれるエンドポイントをマルウェアの脅威から保護する、セキュリティソリューションです。サイバー攻撃の起点となるエンドポイントを保護することは、企業のセキュリティ対策を考えるうえで重要なポイントといえます。
この記事では、EPPとは何か、EPPが必要とされている背景、EPPが脅威を検知する仕組み、EDRとの違いについて解説します。社内のエンドポイントに対するセキュリティ対策を検討している方は、ぜひ参考にしてみてください。
目次
EPPとは?
EPP(Endpoint Protection Platform)とはどのようなものなのか、近年なぜ需要が高まっているのかについて解説します。
PCやサーバーなどのエンドポイントを保護するセキュリティソリューション
EPPは「Endpoint Protection Platform」の略で、エンドポイント保護プラットフォームと呼ばれるものです。PCやサーバー、スマートフォンなどのエンドポイントを保護するためのセキュリティソリューションで、アンチウイルスソフトやウイルス対策製品なども含まれます。なお、個人向けの製品をアンチウイルスソフト、企業向けの製品をEPPと呼ぶ場合もあります。
PCやサーバー、スマートフォンなどのエンドポイントをマルウェア感染から守るEPPは、セキュリティ対策として欠かせないものです。
従来のウイルス対策ソフトは「シグネチャ型」の検知方法を採用しているタイプが主流でした。既存のマルウェアのデータと比較して脅威を識別するタイプであり、既知のマルウェアしか検知できません。近年のEPP製品は機械学習などもとり入れ、新種や亜種のマルウェアを検出することも可能になっています。新しい技術が登場したことで、未知のマルウェアの検出も可能になりました。
EPPの需要は急激に高まっている
EPPの需要が高まっている背景には、テレワークの普及やセキュリティに対する考え方の変化が起こったことがあります。
新型コロナウイルスの影響でテレワークが普及し、オフィス中心の業務から在宅や移動中の業務が増えました。これにより、社内ネットワークは安全という考え方から、エンドポイントを保護するという考え方にシフトしたため、EPPの重要性が認識されるようになりました。
また、ウイルスなどの侵入を完全に防ぐという従来の考え方だけではなく、侵入されることを前提とした考え方が重要視されはじめます。「ゼロトラスト」というすべてのアクセスを疑うアプローチが採用されるようになったことも、EPPの需要を高めたと考えられます。
Emergen Research社の調査によると、EPPの世界の市場規模は2021年の時点で33億3,000万ドルでした。その後もサイバー攻撃の発生率は急増しており、EPPの市場規模は拡大をつづけています。2030年までに、69億1,000万ドルへ成長する見込みです。
▽あわせて読みたい▽
>>ゼロトラストとは?意味や従来型セキュリティとの違い、導入方法を解説のページへ
EPPが脅威を検知する仕組み
EPPは、マルウェアが侵入する前の防御を行います。検知する方法は、大きくわけるとアンチウイルス(AV)と、次世代アンチウイルス(NGAV)の二種類です。
エンドポイントで侵入を試みる脅威を検知する二種類の方法は、以下のとおり検出方法や対応可能な脅威が異なります。
【EPPの脅威の検知方法】
アンチウイルス(AV) | 次世代アンチウイルス(NGAV) | |
検出方法 | シグネチャベース | 機械学習 振る舞い検知 サンドボックス |
対応できる脅威 | 既知のマルウェア | 既知のマルウェア 未知のマルウェア 高度な脅威 |
検知内容の更新方法 | 定期的にシグネチャを更新する | 自動学習を行う |
ここでは、それぞれの検知方法についてご説明します。
アンチウイルス(AV)
アンチウイルス(AV)による検知方法では、従来どおりシグネチャベースのマルウェアの検知を行います。
シグネチャとは署名ともいわれ、過去に検知したマルウェアのデータや行動パターンが記録されています。このシグネチャファイルと照合することで、過去に起きた脅威かどうかを判定して防御するべきかを判断する仕組みです。
つまり、アンチウイルス(AV)では、既知のマルウェアしか防御できません。新種のマルウェアや亜種のマルウェアなどを検知できないことに、注意が必要です。
新種のマルウェアが次々と登場しているため、アンチウイルス(AV)だけでは対策が不十分です。
次世代アンチウイルス(NGAV)
次世代アンチウイルス(NGAV)は、アンチウイルス(AV)のように、シグネチャに頼らない検知方法です。機械学習や振る舞い検知などの手法を活用して、未知のマルウェアなども検知できる新しい方法です。
検知方法にはいくつかの種類があるので、一つずつご説明します。
機械学習
決まったパターンのシグネチャと照らしあわせるのではなく、膨大なデータを自動学習する方法です。学習した結果を活用してデータを解析し、マルウェアを検出します。
既知のマルウェアだけではなく、高い精度で未知のマルウェアも検知できます。次でご紹介する振る舞い検知の方法と併用することで、より精度の高い検知が可能です。
振る舞い検知
振る舞い検知とは、プログラムの振る舞いや行動パターンなどを分析し、不正なプログラムかどうかを判断する方法です。
実際にプログラムを動作させて挙動を確認し、その結果から脅威かどうかを判断します。そのため、シグネチャファイルがない未知のマルウェアも検知することが可能です。
未知のマルウェアを検知できるというメリットがある一方で、正常なプログラムでも脅威であると誤検知してしまう可能性もあります。そのため、機械学習による検知と併用することで、検知の正確性を高めることが多いです。
サンドボックス
サンドボックスとは、パソコンやサーバーなどの重要な情報が保管されているエリアから隔離された、安全な仮想空間のことです。サンドボックス環境でなら、脅威となるマルウェアを安全に検証できます。
サンドボックス環境のなかで、マルウェアと思われるプログラムを動作させたり解析したりすることで、マルウェアかどうかを判断します。仮にマルウェアだった場合でも、サンドボックス環境は隔離された環境なので、脅威が大事な場所におよぶことはありません。
EPPとEDRの違い
EPPは、EDRとセットで活用されることが多いです。EPPは、マルウェアが侵入する前の防御を行うのに対し、EDRは侵入した後の対応を行います。
それぞれの違いは、以下のとおりです。
【EPPとEDRの違い】
EPP | EDR | |
目的 | マルウェアの感染防止 | マルウェア感染後の被害拡大を防止 |
対象となる脅威 | 侵入前の脅威 | 侵入後の脅威 |
機能 | 脅威の検知 | 脅威の検知、分析、隔離、復旧 |
脅威の検知方法 | シグネチャファイル 機械学習 振る舞い検知 サンドボックス |
ログによる検知 |
上記の表のとおり、EPPとEDRの目的や対象となる脅威、機能は異なり、それぞれ役割が明確にわかれています。
EPPとEDRは組み合わせて使うもの
上記でご説明したとおり、EPPとEDRは対応するフェーズが異なるため、組み合わせて使うことで効果を発揮します。
EPPは、既知のマルウェアや未知のマルウェアを侵入前に検知して、防御します。しかし、完全に防御することはむずかしく、侵入を許してしまうこともあるでしょう。その場合には、EDRが侵入後の対処を行います。
このようにEPPとEDRを併用して、侵入前の脅威を防ぎつつ、侵入後の脅威による被害が拡大することを防ぎます。
ここでは、EDRの機能について確認していきましょう。
①マルウェア攻撃の検知
対象のパソコンやサーバーの操作ログや、ネットワークのアクセス状況などを監視し、不審な挙動を検知します。マルウェアを検知した場合には、レポートやアラートにより、管理者に通知を行います。
②デバイスの隔離・マルウェアの除去
侵入したマルウェアの被害が拡大し、二次被害が起こることを最小限に抑えるために、マルウェアが感染した端末をネットワークから隔離します。感染を検知してからすぐに隔離を行わないと、感染がネットワークを介してすぐに広がってしまいます。そのため、リアルタイムでログ監視を行い、不審な挙動を検知したらすみやかな対応が必要です。
③調査・分析
不審なプログラムの挙動やネットワークアクセスなどをログデータから分析、調査します。そして、感染経路や原因、最初に感染した端末などを突き止めます。
これにより、原因がどこにあるのかが判明し、二次被害を防ぐための効果的な対処を行うことが可能です。
④復旧支援
ウイルスの無効化や不審なプログラム、感染データの削除などを行います。これにより、脅威を排除することが可能です。
また、ほかにも脅威が潜んでいないかを確認するために、フルスキャンを行います。脅威が潜んだままだと、後で不正なプログラムが作動して、気づかぬうちに機密情報が流出するといったことも考えられます。そのため、ほかの脅威が潜んでいないか、不正なプログラムが残留していないかなどを慎重に調査する必要があるでしょう。
▽あわせて読みたい▽
>>EDRとは?その必要性や機能、製品の選び方について解説しますのページへ
まとめ
この記事では、EPPとは何か、EPPが必要とされている背景、EPPが脅威を検知する仕組み、EDRとの違いについて解説しました。
近年はリモートワークなど働き方が多様化し、社内ネットワークを守れば安全という考え方が崩れてきました。エンドポイントに対するセキュリティ対策が重要視されるようになっています。
クラウドベースのセキュリティゲートウェイと接続する端末には、高度な検知技術をもつEPPやEDRを導入することで、セキュリティ機能の強化を行うことが可能です。
SHIFTでは、セキュリティソリューションの導入支援を行っています。お客様の環境にあわせた最適なセキュリティモデルの導入を一気通貫でご支援します。社内のセキュリティ対策にお悩みの場合は、お気軽にご相談ください。
>>セキュリティソリューション導入支援のページへ
>>お問い合わせページへ
>>料金についてページへ