未知のサイバー攻撃からエンドポイントを守る
「NGAV」「EDR」とは

セキュリティ対策をアップデートすべき理由

ー従来型のセキュリティソリューションでは、なぜ攻撃を防げなくなったのでしょうか。

①従来のアンチウイルスソフトでは検知できない攻撃が増加

菊川氏：例えばアンチウイルスソフトやファイアーウォールは、シグニチャーといわれるマルウェアの指紋のようなものと照らしあわせてブロックするのですが、未知のマルウェアの場合はデータベースにシグニチャーの情報がないので特定できません。かつてはすぐにシグニチャーの情報をアップデートすれば攻撃を防げるケースもありましたが、毎日新しいマルウェアが出現する昨今では情報の更新が追いつかない状況です。

　また、PowerShellのようなWindowsのデフォルト機能を利用したファイルレス攻撃では、正規のプログラムを悪用しているためアンチウイルスソフトでは検知できません。ほかにも、Emotetのような悪意のあるスクリプトを含む文書ファイルや、脆弱性を悪用したエクスプロイト攻撃は、従来のセキュリティを簡単に突破してしまいます。

※エクスプロイト攻撃：OS・ソフトウェア・ハードウェアの脆弱性を利用してPCやスマートフォンで不正なプログラムを実行させる攻撃。

②手口が巧妙になり、注意していても防げない

菊川氏：最近はEmotetなどで使われるフィッシングメールの手口が非常に巧妙になっていて、実際にやり取りしたメールへの返信や本文の引用、実在する社員のメールアドレスが差出人になっているといった事例が確認されています。どの企業でも社員に対して注意喚起を行っていますが、このように違和感のないメールであればうっかり添付ファイルを開いてしまう可能性が高いと思われます。

③リモートワークの増加により境界型防御で守れない

菊川氏：在宅勤務など社外のネットワーク環境で業務を行う機会が増えたことも、サイバー攻撃のリスクを高める一因です。社内にいればファイアウォールやプロキシサーバなどの境界型防御で保護されていますが、リモートワークではそれらの盾を経由せずに直接インターネットに接続してしまいます。また、リモートワークの際にグローバルIPアドレスを割り当てられる場合は、端末を特定されて攻撃される可能性が高まります。

ーより強固なセキュリティ構築のために重要なポイントを教えてください。

船山氏：今も昔もハッカーが狙うのはエンドポイントです。これまでもエンドポイントを守るためにサンドボックスやIPS、最近で言えばゼロトラストといった対策が進められてきましたが、前述の通りこれらの防御では対策できない攻撃が増えました。これからのエンドポイントセキュリティで重要になるのは、未知の攻撃であっても未然に排除できる機能を強化しつつ、侵入された場合の対応と復旧を迅速に行う仕組みを作ることです。

　これを実現する新たなエンドポイントの防御手法として注目されているのが、マルウェアへの感染をより強力に防ぐ「NGAV」（Next Generation Anti-Virus）と感染後の被害を最小限に抑える「EDR」（Endpoint Detection and Response）です。

エンドポイントセキュリティの要「NGAV」「EDR」とは

ーNGAVとEDRは従来のセキュリティ製品とどのように異なるのでしょうか。

菊川氏：NGAVはエンドポイント上のあらゆるプロセスを常に検査していて、未知の攻撃や巧妙な攻撃をアルゴリズムを使って特定・防御します。従来のアンチウイルスソフトとは異なり、「振る舞い検知」や「AI分析」でマルウェア特有の動作を検知するため、シグニチャーとのパターンマッチング方式ではすり抜ける攻撃でも脅威を特定することができます。

　しかし、NGAVでも攻撃を100%防ぐことは難しいため、わずかながらすり抜けてしまう場合があり、対応までの時間が長引くほどダメージが大きくなります。ここで有効なのがEDRです。EDRはエンドポイントの状況や通信内容を監視して、異常や不審な挙動を検知すると管理者に通知します。また、取得されたログをEDRで可視化して分析することで、迅速な対応と復旧、その後のセキュリティ対策の改善が可能になります。EDRが従来のセキュリティソリューションと異なるのは、エンドポイントがサイバー攻撃を受けることを前提としていて、防御ではなくスムーズな初動対応を目的としている点です。

　この２つをセットで運用することで、NGAVが大半の攻撃を未然に排除し、EDRでより脅威度の高い攻撃への対応に注力できるというメリットがあります。また、EDRで攻撃を検知しても対応できる人材がいないという場合、MDR（Managed Detection and Response）というインシデント発生時の対応アウトソーシングを同時に契約する企業が多くなっています。

次世代エンドポイントセキュリティ「Cybereason（サイバーリーズン）」

御社が提供するNGAVとEDRの特長を教えてください。

船山氏：当社のエンドポイントセキュリティ「Cybereason」は、EDRにNGAVを統合したサービスで、侵入防止から検知・対応まで全ての攻撃ステージでのセキュリティ対策を実現できます。さらに、当社のセキュリティアナリストが、お客さまの代わりに脅威監視、対応するMDRサービスもご提供しています。

船山氏：また、MITRE社という米国の第三者機関の調査で、「Cybereason」は最高評価を獲得しました。この調査では疑似的にセキュリティ製品やエンドポイントを攻撃するのですが、当社のNGAVは全ての攻撃をブロックし、EDRでの検知率も100%を達成しました。リアルタイム性の評価では、常時毎秒800万クエリのデータを解析できるため、遅延が発生せず瞬時に脅威を把握可能なことが実証されています。

　管理・運用のしやすさも重要視していて、日本のお客さま向けに管理画面やレポート、サポート体制を最適化しています。１つのエージェントで検知・対応・復旧までカバーできるので、運用負荷が少ないことも特長です。加えて、NGAV・EDR・MDRをセットでご提供できますので、ワンストップでセキュリテを担保できるというメリットがあります。

　ISMAPという政府のセキュリティ評価制度をクリアして登録されているサービスですので、官公庁だけでなく企業のお客さまにも安心してご利用いただけます。

外部機関からの評価も非常に高いサービスなのですね。ありがとうございました。

資料ダウンロード

関連サービス

導入事例