NGAV・EDR・DLPの違いとは? エンドポイント情報セキュリティ対策製品比較
クライアントの情報セキュリティ対策といえば、「アンチウイルスソフトウェア」や「ウイルス対策ソフトウェア」という製品の利用が一般的でしたが、昨今のセキュリティベンダーは「エンドポイントセキュリティ」というキーワードを使用するようになっています。
「エンドポイントセキュリティ」とは、エンドポイント(パソコン、サーバー、スマートフォン、タブレットなどのネットワークに接続されている末端機器)自体やそこに保存している情報を、サイバー攻撃から守るための情報セキュリティ対策のことです。
「エンドポイントセキュリティ」には目的に応じた様々な種類がありますが、似たような略語のため混乱してしまう方も少なくないかもしれません。 本ブログでは、それぞれの機能や特徴などについてご紹介いたします。最後に比較表をご用意しておりますのでぜひともお役立てください。
AV(Antivirus)/EPP(Endpoint Protection Platform)
AVまたはEPPとは、コンピュータウイルスからパソコンなどの機器を守るためのソフトウェア総称で、「アンチウイルスソフトウェア」や「ウイルス対策ソフトウェア」のことを指します。 アンチウイルスソフトウェアではパターンマッチング技術が検出手法として用いられております。
 | パターンマッチング技術とは?あらかじめウイルスの特徴を登録したデータベースをウイルス対策ソフト内に持ち、この情報と検査対象のファイルを逐一比較する方法のことです。 昨今ではランサムウェアやワームなどマルウェアの種類が爆発的に増え、新たなウイルスの特徴をデータベースに登録する前にパソコンが感染してしまう被害が増えてくるようになりましたが、登録されたものは確実に防げるというメリットもあります。 データベース登録の有無に問わずマルウェアを防ぎたいというニーズにこたえるように「NGAV」・「NGEPP」という製品が登場しました。 |
NGAV(Next Generation Antivirus)/NGEPP(Next Generation Endpoint Protection Platform)とは
NGAVまたはNGEPPとは、マルウェア特有の動作を手がかりにマルウェアを検知するソフトウェアのことを指します。 これは従来のAV・EPPで使われたパターンマッチング技術とは異なり、振る舞い検知やAI・機械学習といった技術を用いてマルウェアと疑わしいものを検知・ブロックを行い、パソコンをマルウェア感染から守ります。
パターンマッチングと振る舞い検知の違い
パターンマッチング技術のイメージ ポイントマルウェアを人間に例えると、指名手配写真をもとに容疑者を探しだし、警察官が犯人を見つけ逮捕する手法です。つまり、データベース内にあるウイルスの特徴と疑わしいファイルを比較し、合致したファイルを検知・検挙するものです。 | 振る舞い検知技術のイメージ ポイントこれは犯人に関する特徴をもとに、疑わしい行動を起こした人や犯人に似た特徴を持った人物を観察し、犯人の可能性がある人物を逮捕する手法です。つまり、マルウェアの振る舞いを見て疑わしいファイルについては検知・検挙するものです。 |
EDR(Endpoint Detection and Response)とは
 | EDRとは、パソコンなどエンドポイントの操作や動作を記録・監視を行い、サイバー攻撃を発見次第すぐに対処することを目的としたソフトウェア総称です。 これは、NGAVやNGEPPを潜り抜けたサイバー攻撃を受けてしまった場合を想定し、万が一攻撃を受けたとしても被害を最小限にすること狙っています。 また、サイバー攻撃を検知・対処した後も、被害にあった原因の調査や今後のセキュリティ対策に反映させる必要があるため、運用が重要なポイントになります。 |
DLP(Data Loss Prevention)とは
DLPとは、一言で表すとデータに着目した情報漏洩対策のことです。
まとめ
エンドポイントに関するセキュリティ対策製品についてそれぞれの機能や特徴についてご紹介いたしました。 自社にとってどのようなサイバー攻撃被害を防ぎたいのかを考え、適切なセキュリティ対策製品・サービスを導入することになります。
| AV・EPP | NGAV | EDR | DLP | |
|---|---|---|---|---|
| 目的 | データベースに登録されているマルウェア情報をもとにマルウェアを検知する | 未知・既知問わずマルウェア特有の動作を手がかりにマルウェアを検知する | エンドポイントの操作を記録・監視し、サイバー攻撃を発見次第すぐに対処する | 機密情報と特定したデータを監視し、情報漏洩につながる行動をブロックする |
| 特長 | 既知(データベースに登録済み)のマルウェアは防ぐことが可能 | 既知・未知問わずマルウェアからの脅威に対処することが可能 | サイバー攻撃の全体を可視化し、原因究明・影響範囲特定に活用することが可能 | 予め設定したポリシーに基づきデータを見守り、反する行動をブロック可能 |
| 注意点 | データベースに登録されていないマルウェアを防ぐことができないので、新たなマルウェアに対して素早く対応することが困難 | 万が一マルウェアが検知をすり抜け侵入してしまった場合の対処はできない | マルウェアの侵入を防ぐことを目的としていない継続的な運用が必要 | 十分なチューニングと継続的な運用が必要 |
| おすすめ | - | 未知のマルウェア脅威対策がまだ、もしくは強化したい | 未知のマルウェア脅威対策はお持ちのお客様で、有事の際に備えた管理・対処の組織を保有できる | 知的財産や個人情報など守るべきデータを多く持っており、社内外問わず情報漏洩を防ぎたい |
| 主なメーカー | Trend MicroSymantecMcAfeeESETKaspersky LabF-secureSophosMicrosoft | Palo Alto NetworksFFRICylanceSentinelOneBlue Planet-works | Palo Alto NetworksCybereasonFortinetCarbon BlackCrowdStrikeCiscoFireEyeTanium | Digital Guradian |