情シス運用サポートBlog

2023.12.21

EDRと振る舞い検知の併用でセキュリティ対策を強化! それぞれの仕組みと違いを解説

関連サービス
セキュリティ対策

目次

サイバー攻撃対策のうち、未知の脅威を発見する技術として「EDR」と「振る舞い検知」があります。どちらも未知の脅威に対抗する技術ですが、併用することでセキュリティ対策の大幅な強化が可能です。
この記事では、EDRと振る舞い検知の違いや、併用する重要性を詳しく解説します。

既知・未知の脅威も エンドポイント セキュリティで防御!

EDRと振る舞い検知の違い

EDRと振る舞い検知は、どちらもPCといった端末(エンドポイント)上の挙動を監視し、異常を発見する手段です。未知の脅威に対応できる点は共通していますが、具体的な役割が異なります。
EDRはマルウェア侵入後の対策で、振る舞い検知は侵入前の対策です。
EDRはエンドポイントに侵入した不正なプログラムを検知し、他のエンドポイントやネットワークへの感染が広がる前に対処します。
一方の振る舞い検知は、エンドポイントへの侵入をそもそも防ぐ技術です。エンドポイントのマルウェア感染を未然に防ぐ水際対策といえます。

EDRと振る舞い検知が行うセキュリティ対策をエンドポイントセキュリティと呼びます。
PC、スマホ、タブレット、サーバー、ネットワーク機器といったすべてのエンドポイントと、エンドポイントからアクセスできるデータを脅威から守ります。

エンドポイントセキュリティの役割

ここでエンドポイントセキュリティの役割について解説します。

境界型防御で守れない領域を保護できる

エンドポイントセキュリティは、ファイアウォールなどの「境界型防御」がカバーできない領域の保護に効果的です。境界型防御も有効なセキュリティ対策であるものの、現代のIT環境では境界型防御のみだと不十分といえます。

境界型防御は、社内ネットワークに存在するPCやデータを保護するシステムです。
例えば、リモートワークの場合、保護対象のPCが社内ネットワークの外に存在します。クラウドサービスも同様に、保護すべきデータがインターネット上にあるわけです。こうした現代のビジネス環境により、境界型防御で守れない領域が発生しました。エンドポイントセキュリティであるNGAV(Next Generation Anti-Virus:次世代型アンチウイルス)やEDRを組み合わせることで、境界型防御の保護範囲外をカバーできます。

ゼロトラスト実現に必須の対策

エンドポイントセキュリティの導入は、「ゼロトラスト」を実現するために欠かせません。

ゼロトラストとは、内部ネットワークや外部ネットワークといった境界の概念を用いず、すべての通信を検証する考え方です。境界型防御に頼らない新たなセキュリティモデルとして、必要性が高まっています。

ゼロトラストという考え方については、こちらの関連記事もあわせてご覧ください。
▼ゼロトラストネットワークと従来のセキュリティの違いについて解説

また、エンドポイントセキュリティについてさらに詳しい記事をご用意しております。
▼エンドポイントセキュリティとは? 重要性や対策によるメリット、製品の選び方などを解説

EDRとは|マルウェア侵入を前提とした事後対策

改めて解説すると、EDR(Endpoint Detection and Response)とは、マルウェア侵入後の素早い対処を支援するセキュリティソリューションを指します。
PCやスマホなどの端末(エンドポイント)は、悪意ある第三者がサイバー攻撃を始める起点となりやすい箇所です。従業員のセキュリティ知識不足や操作ミスによって、端末がマルウェアに感染するリスクがあるためです。人の手によってマルウェアを招いてしまっては、セキュリティシステムによって防御してもサイバー攻撃を完全には防げません。そこで登場した技術が、マルウェア感染を前提としたEDRです。
さらに具体的なEDRの特徴を紹介します。

EDRの仕組みはイベントログを常に取得

EDRは、各端末にエージェントソフトを常駐させます。エージェントソフトが端末の操作や挙動を監視し、通常のイベントログを常に取得する仕組みです。
機械学習の技術によって異常なイベントを検知すると、管理者にアラート通知します。サイバー攻撃の疑いがある端末のネットワーク隔離など、EDRの管理画面から遠隔操作による対処が可能です。
また、サイバー攻撃の全体像や被害範囲が提示され、素早い復旧にも役立ちます。

EDRで複雑化するサイバー攻撃に対応可能

現代のサイバー攻撃は複雑化しており、マルウェア侵入や不正アクセスをすべて遮断することは難しい時代です。
例えば、「標的型攻撃」はターゲット企業のセキュリティ状況を調べてぜい弱性を見つけ、独自のマルウェアを開発します。次々と登場するサイバー攻撃すべてへの対応は難しいため、EDRによる事後対策が必要です。
EDRを導入すれば、サイバー攻撃を受けた後の対処を迅速化し、被害拡大を阻止できます。

EDRの運用には一定の知識が必要

EDRは重要性が高いソリューションではあるものの、運用には一定の情報セキュリティ知識が求められます。EDRは攻撃が疑われるログを検知し、時には正常なログを誤検知する場合があるのです。アラートの正誤を判断するには、ログの内容を正しく理解するための知識が必要となります。

自社に情報セキュリティ部門がない場合、EDR運用サービスの利用がおすすめです。EDRソリューションである「CrowdStrike Falcon」など、運用代行サービスを利用できる製品であれば、セキュリティベンダーにEDR運用を一任できます。
CrowdStrike Falcon導入支援サービス

振る舞い検知とは|マルウェア侵入の事前対策

EDRで事後対策ができるとはいえ、マルウェア侵入を水際で防ぐ事前対策も重要です。この事前対策に有効な技術が振る舞い検知となります。
振る舞い検知とは、プログラムの動き方や特徴を検査し、マルウェアであるかどうか判断するセキュリティ機能です。多くの場合、ウイルス対策ソフトに導入されています。
さらに具体的な振る舞い検知の特徴を紹介します。

振る舞い検知の仕組み

振る舞い検知の仕組みには、「静的ヒューリスティック法」と「動的ヒューリスティック法(ビヘイビア)」の2種類があります。単独で使用するケースはほとんどなく、双方を組み合わせてマルウェアを検出する形が一般的です。それぞれの詳しい仕組みを解説します。

1.静的ヒューリスティック法

静的ヒューリスティック法とは、プログラムのコードの特徴や内容を見て、マルウェアであるかを判断する方法です。
特徴を観察するため、プログラムは実行しません。単にヒューリスティック法と言う場合、基本的には静的ヒューリスティック法を意味します。

動的ヒューリスティック法(ビヘイビア)

動的ヒューリスティック法とは、プログラムを実行して動作を確認し、不審な動きをするプログラムをマルウェアとして判定する方法です。
仮想の隔離環境「サンドボックス」でプログラムを実行するため、仮にマルウェアであってもコンピューターに被害は生じません。静的ヒューリスティック法と区別し、「ビヘイビア」と呼ぶ場合もあります。

振る舞い検知と従来のアンチウイルスとの違い

従来のアンチウイルス(AV)は、パターンマッチング方式でマルウェアを発見します。
パターンマッチング方式とは、既知のウイルスの特徴を定義した「シグネチャファイル」を使ってマルウェアを検知する方法です。対象のプログラムとシグネチャファイルを照合し、合致するプログラムをマルウェアと判断します。したがって、過去に検知された既知のマルウェアしか発見できません。

アンチウイルスは未知のマルウェアに対して無防備なため、解決手段として新たに登場した技術が振る舞い検知です。プログラムの挙動や構造を検査する振る舞い検知であれば、既知だけでなく未知のマルウェアにも対応できます。そのため、ファイルを持たず従来のアンチウイルスでは検知しづらい「ファイルレス攻撃」も発見できます。

振る舞い検知機能を持つ「NGAV」と「EPP」

振る舞い検知機能は、NGAVに搭載されています。
NGAVは、日本語訳の通り「次世代アンチウイルス」ともいい、未知のマルウェアや高度な脅威に対応するために進化したアンチウイルスの概念です。
NGAVは従来のシグネチャベースのアンチウイルスではなく、機械学習や挙動分析などの先進的な技術を使用して新たな脅威に対処し、特に次世代のアンチウイルス機能に焦点を当てたセキュリティソリューションです。
NGAVは振る舞い検知の他、従来のパターンマッチング機能も用います。パターンマッチング機能により、既知のマルウェアも確実に検出するためです。

また、NGAVと似ているものの、脅威へ異なるアプローチを行うセキュリティソリューションとしてEPP(Endpoint Protection Platform)が挙げられます。EPPは、エンドポイントを包括的に保護するプラットフォームで、単一のセキュリティ機能だけでなく、複数の機能を統合しています。EPPの機能は振る舞い検知、アンチウイルス、ファイアウォール、侵入検知・防止、デバイス制御、セキュリティ情報管理(SIEM)、エンドポイント暗号化などがあります。

EDRと振る舞い検知の併用でセキュリティを強化

エンドポイントセキュリティを万全にするには、EDRと振る舞い検知、両方の導入をおすすめします。
事前と事後の対策を固めることで、エンドポイントセキュリティはより一層強化できるでしょう。

EDRとNGAVを片方だけで運用するデメリット

エンドポイントセキュリティを強化するためには、EDRとNGAVの併用が望ましい対策です。どちらかのみだけで運用すると、事前対策もしくは事後対策に対応が偏ってしまいます。
仮にNGAVのみ導入した場合、マルウェア侵入後の対策がおろそかになるでしょう。事後対応が後手に回り、マルウェアによる被害が拡大し、復旧も時間がかかる恐れがあります。

一方、EDRのみであれば、マルウェアの侵入が頻発します。したがって、EDRのアラートが増大し、管理者は事後対応にばかり追われて運用負担が重くなるでしょう。

EDRとNGAVを併用しない場合、こうした大きなデメリットが生じます。EDRまたはNGAVの導入を検討している場合は、併用をおすすめします。

EDRと振る舞い検知を搭載したセキュリティ製品

セキュリティ製品の中には、EDRと振る舞い検知の両機能を持つ製品があります。EDRとNGAVを個別に導入しなくて良いため、導入と運用の負担を格段に抑えられます。
EDRと振る舞い検知の両機能を持つおすすめの製品を3つ紹介しますので、ぜひ参考にしてみてください。

VMware Carbon Black Cloud

「VMware Carbon Black Cloud」とは、既知と未知の脅威に対応するクラウド型EDRです。高精度なNGAVがほとんどの脅威の侵入を防ぎ、ごく一部のすり抜けた脅威をEDRが見つけ出します。EDRが検知した脅威は即座に分析され、遠隔にある感染端末もリモートで隔離が可能です。
VMware Carbon Black Cloud(EDR)導入支援サービス

CrowdStrike Falcon

「CrowdStrike Falcon」は、シングルプラットフォーム&シングルエージェントで提供されるEDRです。NGAVなどの機能ごとにエージェントを増やす必要はなく、すべての機能を1つのエージェントで提供します。また、管理画面も1つのプラットフォームに集約しており、利便性の高さが強みの製品です。
CrowdStrike Falcon導入支援サービス

Sophos Intercept X Advanced

EDR「Sophos Intercept X Advanced」は、高性能AIを搭載したセキュリティ製品です。疑わしいログの検知と駆除、端末のネットワーク隔離および復旧など、一連の動作を自動で行います。インシデント対応の運用負荷が下がる上、Sophos Intercept X Advancedの運用を代行するMDR(Managed Detection and Response)サービスも提供しています。
Sophos Intercept X Advanced導入支援サービス

EDRと振る舞い検知の導入でエンドポイントを常時監視・保護

EDRと振る舞い検知は、どちらも未知の脅威に対応する技術です。役割が異なっており、EDRはマルウェア侵入後の事後対策に、振る舞い検知はそもそものマルウェア侵入を阻止します。
振る舞い検知の機能はNGAVに備わっており、EDRとあわせて活用することでエンドポイントの強力な保護が可能です。個別に製品を導入するのが難しい場合、EDRとNGAVの機能を兼ねた製品を導入してみてはいかがでしょうか。
テクバンへセキュリティ対策の相談をする

お気軽に
ご相談ください