皆さん、こんにちは。koppunです。
朝の出勤時と帰宅時が暗くなってきてライトアップが必要になってきました…
さて、今回はNGAVとEDRについて徒然と書いていきたいと思います。
昔ながらのアンチウイルスソフトのことをよく最近では、EPP(Endpoint Protection Platform)と呼んだりするのを聞いたことがあるかと思いますが、あらかじめマルウェアの特徴を登録したデータベースをセキュリティソフトウェア内に持ち、この情報と検査対象のファイルをリアルタイムで比較するパターンマッチング方式になります。登録されている脅威は防げますが、登録されていないものは防げないものとなっており、昨今では、もはや効果的ではない防御策となっています。
それに対して、NGAV(Next Generation Antivirus)はマルウェア特有の動作を手がかりにマルウェアを検知する機能であり、従来のAVで使われたパターンマッチング方式とは異なり、ファイルとして存在する従来のマルウェアに加え、昨今増加している正規ツールを悪用する脅威へも対応するために、端末上で実行される動作に基づいて脅威を抑制することが可能となります。
よくEPPとEDRを比較される方が、いますがEDR(Endpoint Detection and Response)は侵入後の可視化、対応ができない問題に対応するために、もしも脅威がすり抜けてしまった場合でも、後追いができるよう、平時より端末上の動作を記録し、対応の迅速化を実現するために影響範囲の特定や遠隔からの操作、かつ事後対応の判断材料となるものとなります。
ちなみに、VMware Carbon Black Cloud WorkloadはNGAV+EDRと考えても差し支えなく、VMware Carbon Black Cloud Workload搭載のNGAVは検知率も極めて優秀であり、EDRとの組み合わせで下図のように幅広い範囲をカバーできます。
しかしながら、今後も攻撃は100%は防げないことを前提に侵入後対策を考えていくことがますます重要になってきそうですね。
まさにゼロトラストの概念です。
