現在の企業におけるセキュリティ対策の基本として、ゲートウェイを守るUTMやPCを保護するエンドポイントプロテクション（EPP）に加え、EDR(Endpoint Detection and Response)を導入する企業が増えています。台頭するサイバー脅威に対して、サイバー攻撃の侵入口になりやすいPCを保護するセキュリティ対策としてアンチウイルス、次世代アンチウイルス、EDRなどさまざまなものがあります。この記事では、こうしたPCに対するセキュリティ対策について、検出の仕組みやそれぞれの違いを分かりやすく解説します。

EPP（Endpoint Protection Platform）とは？

アンチウイルス（ソフト）、ウイルス対策製品、EPPは同じものを指すことが多いのですが、個人向け製品をアンチウイルスソフト、企業向けをEPPと分けて呼ぶメーカーもあります。本記事では同じものとして扱います。

EPPとは、エンドポイント（PCやサーバーなどの端末）をマルウェア感染から守るセキュリティ対策のひとつです。EPPはエンドポイント保護プラットフォームとも呼ばれ、エンドポイントを保護し、マルウェアなどのウイルス感染を防止したり悪質なプログラムの実行を防いだりします。

個人向けのEPPはマルウェアの検出と駆除を行うアンチウイルス機能を中心とした製品で、最近ではVPNや漏えいしたIDとパスワードの通知機能、フィッシング対策機能などさまざまな個人向けの機能があります。マルウェアとは、広くコンピューターやネットワークに損害を与えるソフトウェアのことでウイルスを含む言葉です。

一方、企業向けのEPPは同じようにマルウェアの検出と駆除をベースにした製品ですが、企業向けにパーソナルファイアウォール、USB制御、HDD/SSDの暗号化、振る舞い検知機能、アプリケーションのホワイトリスト、次世代アンチウイルス（NGAV）機能などの検出・保護機能に加え、組織内のEPP導入デバイスを一括管理可能な管理システムが含まれます。

以降は企業向けEPPの検出方法を中心に説明します。さまざまな検出機能がありますが、実際には複数の機能を組み合わせて総合的に検出する場合もあります。

※個人向けのアンチウイルス製品でも、次世代アンチウイルスなど高度な機能を含んでいるものもあります。

検出方法1：パターンファイル

EPPの中心的な検出機能である マルウェア対策機能は、マルウェアによる侵害および悪意のあるアクティビティをファイルベースで検出し、隔離・駆除といった対応を行う ことができます。

ファイルベースの検出とは、その名の通りファイルを検査するという意味です。通常、マルウェアの実態は不正なプログラムであるため、exeなどの何らかのファイルを使います。このファイルによる攻撃を検出するのがファイルベースの検出です。

ファイルベースの検出は、まず、疑わしいファイルに対してパターンファイルによる検出を行います。ファイルの中のコードを読み込んでマルウェアの特徴的なパターンや実行するコマンドを探します。ファイル内にあるコードをマルウェア対策ベンダーのデータベースにあるパターンと比較することで判定します。このパターンファイルのことをシグネチャやウイルス定義ファイルとも呼びます。

次にファイルハッシュによる検出も行います。これはハッシュというファイルから計算される一意の文字列（ハッシュ値）を用いて、既知のマルウェアの検体のハッシュ値をデータベースと照合し、一致するかをチェックする方法です。

こうした、パターンファイルやファイルハッシュなど、すでにマルウェアと分かっている情報をもとに検出する防御のことを「既知の脅威」に対する防御と呼びます。

検出方法2：振る舞い検知

マルウェアを検出する手法の2つめは振る舞い検知です。

元のマルウェアのコードを改変したマルウェアを亜種と言います。マルウェアのコードが少しでも変わっていればファイルハッシュによる検出は回避されてしまいますし、コードを改変したり難読化したりするツールを変更すれば、容易に異なるコードパターンの亜種が作れます。
こうした亜種に新種を加えると、1日に約40～60万個も新しいマルウェアが発見されているため、パターンマッチング方式では検体の入手と解析が追いつきません。

そこで、マルウェアのコードではなく、プログラムの振る舞い・挙動に着目し、不審な動作をするプログラムをマルウェアと判定する「振る舞い検知」の仕組みが誕生しました。
振る舞い検知にはコードそのものや構造を評価する静的振る舞い検知と、ファイル実行時にプロセスやファイルアクセス、通信、コマンドやレジストリ変更などを評価する動的振る舞い検知があります。

振る舞い検知ではパターンファイルに依存しないため、これまで発見されたことがない未知の脅威も検知できるのが特徴です。

次世代アンチウイルス（NGAV）

次世代アンチウイルスは「Next Generation Anti-Virus」の翻訳であり、メーカーごとに実現方法は少し異なりますが 機械学習をもとにした検出を行うマルウェア対策製品全般 を指します。
機械学習に加え、動的振る舞い検知の手法やホストIPSの機能を組み合わせて、NGAVの機能に利用するものもあります。

これにより、従来のEPPでは検出できなかったファイルレスと呼ばれる、ファイルをダウンロードせず直接被害エンドポイントのメモリ上に読み込んで実行するマルウェアや、ソフトウェアを一切使用しないPowerShellを使う攻撃なども検出することができます。

NGAVはEPPの一部として提供されている場合もあれば、オプション提供されているケースもあります。

EPPのほかのセキュリティ機能

以下はEPPによくある機能の例です。マルウェアを検出する機能ではないものもありますが、こうした機能によってマルウェアの実行を食い止めたり、マルウェアの侵入を防いだりします。
※機能名は、メーカーによって異なります。

アプリケーションコントロール

PC内で実行可能なアプリケーションをホワイトリスト制限する。

ホストIDS（ホストIPS）

ホスト（PC）内のログやファイル、プロセスの情報を監視して、検出するホスト型のIDS。ファイルに限定されず、ウイルス以外の攻撃も検出する。

パーソナルファイアウォール

ネットワークファイアウォール同様、エンドポイントへアクセス可能なポート、IPアドレスを制限する。

Webレピュテーション

インターネット通信時にWebアクセス先URLをセキュリティメーカーのデータベースと照合して、不正なURLへのアクセスをブロックする。

クラウドサンドボックス

不審なファイルをクラウドへ送信し、クラウド上の仮想環境上でファイルを実行したりファイル内のURLをクリックしたりする。振る舞い検知との違いは、安全な仮想環境上で実行しているかという点です。

デバイス制御

USBメモリなど外部接続デバイスの制御を行います。

EDRとは

EDRとは「Endpoint Detection and Response」の略で、その名の通り、脅威の検出（Detection）と対処（Response）に主眼を置いたセキュリティ対策です。ここでは、混同しがちなEPPの機能との違いについて説明します。

EDRの目的

高度化する昨今の脅威に対し、EPP（境界防御）だけで侵入を100％防ぐことは困難です。また、EPPには侵入後の調査機能が備わっていないという課題もあります。そこで、「侵入を前提」として被害を最小化するのがEDRです。EDRは、エンドポイントから継続的にログやイベント情報を収集・分析することで、ネットワーク全体を可視化します。これにより侵入の早期検出から迅速な調査・対処までを一貫して行い、被害を最小化します。

EDRにおける検出の仕組みは、エンドポイント内で生成されたプロセス、派生した子プロセスやレジストリ、通信などの挙動をチェックして、一連のイベントから脅威であるかを判別します。また、エンドポイントをまたいだ挙動も追跡できるため、侵入後の内部展開活動であるラテラルムーブも捉えられます。もし、怪しい挙動があればコンソールから調査が可能で、エンドポイント内のログやイベントをチェックし、前後で何が起こっていたか、根本原因は何なのかの調査まで行えます。調査の結果、対処（Response）としてプロセスやファイルを削除したり、検体を管理者側で取得して追加分析したりできます。

このように、侵入した脅威に対する調査と対処に主眼を置いた対策を行うのがEDRです。

EPPに加えてEDRが必要な理由とは

EPPは既知の脅威に対して非常に強いため、今でも重要なセキュリティ対策です。一方で、侵入を許した後に脅威を追跡する仕組みがないため、侵入後の早期検知・調査・対処による被害の最小化を目的にEDRも追加して導入するのがおすすめです。

米国においては、過去にCISA（サイバーセキュリティー・インフラセキュリティー庁）から連邦政府機関に対して、連邦政府のネットワークにおけるサイバーセキュリティの脆弱性およびインシデント検出の向上を達成するために、ゼロトラストの推進、MFA（多要素認証）の義務化に加えて、EDRの導入を求める大統領令が出たことで、政府機関においてEDRの導入が進んだことがあります。

EPPの振る舞い検知機能との違い

EDRとEPPの振る舞い検知は、検出の仕組みで似ている部分がありますが、検出のタイミングと導入する目的が異なります。振る舞い検知による検出は、ファイルの実行前と実行時に振る舞いを検出するのに対して、EDRは実行後の複数の挙動から脅威の動きを捕捉します。つまり、検出するタイミングが異なります。

また、前述の通り、振る舞い検知は侵入を防ぐことを目的にしている一方、EDRは侵入後の検出に加えて侵入経路の調査、被害範囲の特定を主眼に置いているため、導入の目的も異なります。

EDRとEPPの共存について

ウイルス対策製品同士は競合するため、EDRとEPPを同じエンドポイントに導入した場合、競合しないか懸念されるかもしれません。
一般的に、EPPとEDRは共存して使うことが前提となっています。ただし、製品によっては導入時の注意事項がある場合もあるので、事前にメーカーへの確認や検証、ドキュメントを読むことをおすすめします。

MDRとは？

EDRに似た言葉でMDRがあります。MDRとはManaged Detection and Responseのことで、24時間365日企業のセキュリティインフラの監視・運用を行うサービスです。
EDRに限らず、UTMやIDなどが監視対象で、脅威の特定と監視、対処に主眼を置いた一連のアウトソーシングサービスで、高度なマネージドセキュリティサービスとも言えます。

MDRを導入すれば、組織内にセキュリティオペレーションセンター（SOC）を設置したり、すでにあるSOCの規模やセキュリティ担当者の数を大幅に増やしたりしなくても、脅威に対処することができます。
当社では単体でのEDR監視だけでなく、EDRを包含するゼロトラストセキュリティソリューションである Microsoft 365 E5 向けのマネージドセキュリティサービスとしてMDRも提供しています。

まとめ

本記事では、EPPの各機能とNGAV、そしてEDRについて説明してきました。

EDRは検知後の「調査」や「対処」までを担うため、その運用には高度な専門知識と24時間365日の監視体制が不可欠です。こうした運用の壁を解消するため、当社のマネージドセキュリティサービスは、CrowdStrike Falcon、Cybereason、Microsoft Defender for Endpoint P2、Trend Micro Apex One XDRといった主要なEDR製品の監視・運用をサポートしています。自社でのセキュリティ運用に課題や不安がある場合は、ぜひ当社までご相談ください。

関連サービス

同じカテゴリーの記事をみる