課題を解決

基礎からわかる NGAV/EDR の必要性
〜サイバーセキュリティ対策の基盤となるエンドポイントセキュリティ〜

2023/01/13

ランサムウェア攻撃などサイバーセキュリティ侵害に関する被害が後を絶たない中、従来のエンドポイントセキュリティの弱点を補うソリューションとしてNGAV(次世代アンチウイルス)およびEDR(Endpoint Detection and Response)が注目されています。しかし、今一つよくわからないのがNGAV/EDRではないでしょうか。改めてNGAV/ EDRが果たすべき役割と求められる機能を再確認しながら、製品選定のポイントを紹介します。

※VMware Explore Japan Day 1(2022年11月15日)におけるセッションの概要です。

目次

ランサムウェアを中心としたサイバー攻撃の動向

サイバー脅威の変遷と攻撃の進化

コンピュータウイルスの歴史は1980年代に始まりましたが、特に大きな変化が起こったのは2000年で、この頃を境にさまざまなマルウェアが登場し、攻撃テクニックも多様化しました。インターネット回線の高速化に伴い、セキュリティインシデントも爆発的に増加しました。また、攻撃理由も「金銭目的」だけでなく政治、歴史、文化など、さまざまな背景に起因するものが増えてきました。以降、サイバー脅威と防御技術はイタチごっこが続いています。

防御の観点からは、パターンマッチング、シグネチャーとも呼ばれている技術に始まり、ヒューリスティクス、ファイアウォールで実装されているディープパケットインスペクションといった技術が開発されました。
しかし、これらの技術を回避する新たな攻撃テクニックが編み出されています。たとえばサンドボックスを回避するために、マルウェアはシステムリソース情報を読み込み仮想環境であれば動作しない処理、起動しても一定時間(例えば1時間)何も動作しないといった処理を組み込むようになりました。

そこで開発されたのがエミュレーションという技術ですが、今度はエミュレーションを回避するために環境寄生型と呼ばれる攻撃が登場しました。環境寄生型の攻撃は、OSに組み込まれているコマンドや、他の正規の実行可能ファイルを使用して、攻撃の痕跡を残さないようにする手法です。

このような状況を解決するためには、もはや侵入を前提としたセキュリティ対策をとるしかありません。

職場環境の変化に伴いセキュリティリスクも増大

さらに職場環境の変化もセキュリティ対策を困難とし、被害を増大させる要因となっています。これまで企業は、ファイアウォールやその他ネットワークセキュリティ機器を活用した、いわゆる境界セキュリティによって社内ネットワークを保護してきました。

ところがコロナ禍後は一気にテレワークが加速し、在宅で仕事をする従業員が増えています。自宅にもホームルーターと呼ばれるパケットフィルタリング型のファイアウォールが設置されていますが、オフィスに設置されているものと比べると強固ではありません。その脆弱性を突かれる形で、セキュリティ侵害が大幅に増加しているのです。

侵入を前提としたセキュリティ製品であるEDR

そこで求められるのが、EDR(Endpoint Detection and Response)と呼ばれるセキュリティ製品です。さまざまなセキュリティ製品の中でサイバー攻撃の侵入を前提としており、インシデントのトリアージから復旧まで対応していることがEDRの特徴です。

VMwareでは、このEDRとNGAV(次世代アンチウイルス)を組み合わせたセキュリティ対策を推奨しています。

NGAV/EDRとは何か

NGAV、EDRとはいかなるものでしょうか。

まずNGAVは、従来のAV(アンチウイルス)がパターンマッチングやシグネチャーに依存し、リアクティブな対応しかとれなかった弱点を補うものとなっています。マルウェアの振る舞いなどから攻撃を予測し、侵入を防ぎます。

そしてEDRは、AVやNGAVをすり抜けて侵入したマルウェアに対して、検知と対処(マルウェアの削除やネットワーク隔離など)、復旧などの対応を行う仕組みです。

コラム: 身近な犯罪対策に例えたNGAV/EDRの役割

サイバー攻撃を窃盗のような身近な犯罪に例えて、NGAVとEDRが防犯に果たす役割を考えてみます。

まず玄関ドアに該当するのがNGAVです。従来型のアンチウイルスは、普通の鍵が設置されただけの玄関ドアでした。これに対してNGAVは、二重ドアや生体認証機能付きのドアなどをイメージしていただくと、違いを理解しやすいのではないでしょうか。

一方のEDRは、住宅内に設置されている監視カメラに該当します。それも単なる監視カメラではなく、高解像度で犯罪を極力早く見つけ出すために「目の動き」や「異常行動」を見つけ出すことができる警備の高度化を支援する最新の監視カメラです。

NGAVとEDRをシームレスに連携させる効果

NGAVはマルウェアの表面上の証跡(ハッシュ値など)だけでなく、アプリケーション起動時の振る舞い(動き)も見ることで、従来型アンチウイルスよりも高い精度でマルウェアを検知します。ただし、メールやWebなどの機能を使った複合的な攻撃を仕掛けられると効果が低下するため、万全とは言えません。

そこでNGAVをすり抜けたサイバー攻撃にEDRが対処します。前述したようにEDRは侵入を前提としたセキュリティ製品であり、エンドポイント内部の動きを全て記録します。今まで見えていなかった、メモリ動作やデバイスのI/Oといった情報も記録します。

これらの記録データをクラウド上で解析し、不審な振る舞いを発見するのです。単にアラートを発報するだけでなく、不審な振る舞いを除去することも可能です。

このようにNGAVとEDRを組み合わせることで、より強力にエンドポイントを保護するとともに、調査・復旧に係る時間を大幅に短縮することができます。

NGAV/EDR製品選定における最重要ポイント

世に数あるNGAVやEDRの中から、どんな製品を選べばよいのでしょうか。
セキュリティ対策で目指すべきは、マルウェア感染した端末から周りの端末に被害が起きないようにする「封じ込め」を行うことにあります。

そのためには侵害が確認されていない端末についても、「マルウェア感染していないことを証明するだけの情報を集める」必要があります。通常このような作業のことをインシデントレスポンスといい、高度な知見を持ったセキュリティエンジニアが実施し、専門の業者に依頼するのが一般的です。仮に専門的な業者に依頼しても、彼らも調査できるだけの情報がなければ、調査はできません。

侵害が発生したことを検出できる情報の収集力だけでなく、「侵害が発生していないことを証明できる情報の収集力」こそが、NGAV/EDR製品を選定する上で最も重要なポイントとなります。

情報収集力にフォーカスした強みをもつ VMware Carbon Black Cloud

VMware Carbon Black Cloud – 3つのラインナップ

「侵害が発生していないことを証明できる情報の収集力」をもつNGAV/EDR製品として、VMwareはVMware Carbon Black Cloudを提供しています。これには下記の3つのラインナップが用意されています。

まずはVMware Carbon Black Cloud Endpoint。一般的なPC端末や仮想マシンに適用するためのシリーズです。

次にVMware Carbon Black Cloud Workload。こちらはVMware vSphereやVDI環境、ネイティブクラウドのワークロード向けのシリーズで、これらの環境に最適化した形でのアドオンが可能です。

そしてVMware Carbon Black Cloud。次世代型のECサイトや開発環境として注目されているコンテナに適用できるシリーズです。

VMware Carbon Black Cloud 主な機能

情報収集力にフォーカスしたセキュリティ製品として、VMware Carbon Black Cloudの強みの源泉となっているのが、次の4つの機能です。

1. 脆弱性診断機能

これはクライアントOSやサーバOSの脆弱性を洗い出して見える化し、リスク診断を行う機能です。Carbon Blackセンサーをインストールするだけで、各エンドポイントに潜在している脆弱性を可視化することができます。また、これらの脆弱性を解決するOSベンダーやアプリケーションベンダーが発行するパッチを適用することで、セキュリティを強化することができます。

2.健全性チェック機能

Live Queryと呼ばれる機能を活用し、各エンドポイントにインストールされているセンサーを介して、直接的にエンドポイント内部の詳細な情報を取得します。さらにインシデント発生時は、インシデントレスポンスツールとしても利用が可能です。

3. 次世代アンチウイルス(NGAV)機能

クラウド分析技術を駆使することで、従来型アンチウイルスでは検知が困難だったファイルレス攻撃なども検知・ブロックします。また、防御したファイルがその後どのようなことを実行したのかまで、すべてを可視化することができます。他社のAV/NGAVと同等の機能を有しているだけでなく、EDRの守備範囲であるIoA(攻撃の兆候)も可視化や防御ができることが特徴です。

4. EDR機能

VMware Carbon Black Cloudの中核となっている機能です。すべてのプロセスログを保存し、脅威を検出することが優位性となっています。
また、VMware Carbon Black Cloud独自の脅威インテリジェンスはもとより、サードパーティ製も含めた複数の脅威インテリジェンスをすべて無償で提供しています。これらはTAU(Threat Analysis Unit)と呼ばれるチームが、世界中で発生しているさまざまなサイバー攻撃を日々分析しているもので、更新したほうが良いと判断されたものはバックグラウンドで自動更新されます。

さらに被疑端末に対して管理者は、プロセスの強制終了やファイルを削除、レジストリの修正といった対処をリモートから実行することができます。

上記のような特徴を備えたVMware Carbon Black Cloudが、悪質化・高度化の一途をたどるサイバー攻撃からエンドポイントを保護し、経営リスクを軽減します。

本記事について詳しくは、次のダウンロード資料をご覧ください

いまさら聞けない!? 基礎からわかる NGAV/EDR の必要性

本資料では、サイバー攻撃の基本部分に焦点を当てて、改めて EDR が果たすべき役割と求められる機能を再確認しながら、サイバーセキュリティ対策の基盤となるエンドポイントセキュリティについて紹介します。

詳しくはこちら

おすすめ資料ダウンロード

最新の「課題を解決」

一覧を見る

人気の記事

  1. 1VMware vSphereのライセンス
  2. 2vCenter Converter が戻ってきた!〜 新しい仮想化基盤に移行するための手順を改めて解説 〜
  3. 3わかるSRM(VMware Site Recovery Manager)
  4. 4仮想基盤を将来にわたって安全かつ快適に使い続けるために 〜vSphere のライフサイクル対応をしっかり検討〜
  5. 5いまさら聞けないVMware Workspace ONEってなに?
  6. 6令和時代のエンジニア育成 〜 VMware 認定資格で保有するスキルを「形」に 〜
  7. 7新しいVMware vSphereのコスト・機能はどう変わるのか?VMwareディストリビューター2社が徹底解説
  8. 8サーバ仮想化とは?
  9. 9コンテナのメリットと課題とは?〜仮想マシンとの比較と、Kubernetesが注目される理由
  10. 10VMware vCenterのライセンス

関連する記事

関連する資料ダウンロード

関連情報

  • 本サイトに掲載されているコンテンツの内容、製品・ソリューションやスポンサーなどの情報は、予告なく変更となる場合があります
  • 本サイト内に記載されている社名、製品名またはサービス名は、各社の商標または登録商標です
TOP