EPPの機能や仕組みとは?購入時に選びたい機能も紹介
ウイルスやマルウェア感染対策として、EPPの重要性が注目されています。
EPPは、エンドポイント端末へのマルウェアの侵入を防ぐことを目的とした製品です。
しかし、これだけの説明ではどのように活用するものなのか、わからない方もいるでしょう。
本記事では、初心者向けに分かりやすくEPPについて解説します。
機能や仕組み、種類を理解して、EPPを導入する必要性を把握しましょう。
また、EPPの購入時に選びたい機能も紹介しています。
EPPの導入を検討している方は、ぜひ参考にしてください。
■モバイルデバイスに必要なセキュリティ対策についてはこちら
EPPとは?
EPPとは、Endpoint Protection Platform(エンドポイントプロテクションプラットフォーム)の略です。
マルウェア感染防止に特化した製品を指します。
感染前に脅威を検知・ブロックし、デバイスへの侵入を未然に防止する点が特徴です。
EPPと似たものに「EDR(Endpoint Detection and Response)」があります。
EDRは、エンドポイント端末と呼ばれる末端の機器において、デバイスのふるまいを監視することで不審な挙動(マルウェアなど)の検知に重点を置くソリューションを指します。万が一EPPで検知できないマルウェアに感染しても"ふるまい監視"によって検知して対処できる点が特徴です。
EPPで感染前にウイルスをブロックできず、すり抜けられてしまった場合には、EDRで対処します。
関連記事:「EDR」をわかりやすく解説!従来のセキュリティとの違いとは
関連記事:EPP・EDRとはどのようなもの?違いや機能を徹底解説
EPPの主な機能
EPPの主な機能は以下の5つです。
なお、検知方式によっては、別の機能もあります。
- マルウェア検知
- 不正行為のリアルタイム検知
- 自動防御と隔離
- エンドポイントの一元管理
- ファイアウォールとの統合
各機能の詳細について、詳しく見ていきましょう。
マルウェア検知
マルウェア検知は、エンドポイント端末から既知および未知のマルウェアから保護します。
従来型のシグネチャベースの検知に加え、機械学習や振る舞い検知、さらにはサンドボックスなどの技術を活用し、日々巧妙化する新たな脅威にも対応可能です。
シグネチャベースの検知 |
システムやアクティビティを既知の攻撃パターン・シグネチャのデータベースと比較して、脅威の特定や悪意的な行動を検出する |
機械学習 |
正常な振る舞いから逸脱した通信パターンを検知し、データベース上にない未知のマルウェアを防ぐ |
サンドボックス |
通常使用しているシステム領域から隔離された環境の中で、マルウェアなどの分析を行うセキュリティシステム |
これにより、ウイルスやトロイの木馬、ランサムウェアなどのマルウェアを早期に発見し、侵入や実行を未然に防げるでしょう。
なお、シグネチャベースの検知については後の段落で詳しく解説します。
不正行為のリアルタイム検知
不正行為のリアルタイム検知は、エンドポイント上での不審な活動や攻撃の兆候を即座に捉える機能です。
ログファイルの監視、通常とは異なるシステムコールの呼び出し、特権昇格(システムへの侵入者が追加の探索やコード実行、データを盗むために行う手法)の試み、不正な通信などを常時監視します。
機械学習やAIを活用して正常な状態を学習し、そこから逸脱する振る舞いを検知することで、ゼロデイ攻撃(既存の脆弱性が解消される前に行われるサイバー攻撃のこと)や標的型攻撃など、未知の脅威にも迅速に対応し、被害を最小限に抑えられるでしょう。
自動防御と隔離
自動防御と隔離は、検知された脅威に対して迅速かつ自動的に対処する機能です。
マルウェアや不正なプロセスを検知すると、即座にその実行をブロックしたり、関連ファイルを削除したりします。
さらに、感染が疑われるエンドポイントをネットワークから隔離することで、ほかの端末への被害拡大を防ぎます。
これによりウィルス感染時の対処を利用者に委ねずに、脅威の封じ込めと初期対応を迅速に行える点がメリットです。
エンドポイントの一元管理
組織内に多数のエンドポイントが存在する場合も、セキュリティ対策状況を単一の管理コンソールから集中的に把握し制御可能です。
各エンドポイントへのセキュリティポリシーの適用、ソフトウェアの配布やアップデート、脅威の検知状況の監視、インシデント発生時の対応指示などを効率的に行えます。
これにより、運用負荷を軽減し、組織全体のセキュリティレベルを均一に保てるでしょう。
ファイアウォールとの統合
ファイアウォールとの統合では、エンドポイントレベルでの通信制御を強化し、ネットワーク全体のセキュリティを向上させます。
従来のネットワークファイアウォールに加え、各エンドポイントにパーソナルファイアウォール機能を具備し、不正な通信のブロックやアプリケーションごとの通信制御を実現可能です。
社内ネットワークにおけるマルウェアの拡散防止や、外部からの不正アクセスに対して多層的に防御できます。
EPPの仕組み
EPPの仕組みには、パターンマッチング方式とヒューリスティック方式があります。
それぞれの仕組みについて、詳しく見ていきましょう。
パターンマッチング方式
パターンマッチング方式は、既知のウイルスの特徴的なデータ(シグネチャ)をパターンとしてデータベースに登録し、検査対象のファイルやデータと照合することでマルウェアを識別する方式です。
特定の文字列やバイトシーケンスを検索し、登録されたマルウェアのパターンに一致するものを検知し、駆除します。
パターンマッチング方式の特徴は、データベースに登録された既知のウイルスのパターンに基づいて識別する点です。
データベースを定期的に更新すれば、新しい脅威の情報が追加され、厳重なセキュリティ対策を維持できます。
ただし、データベースに登録されていない未知のマルウェアや新種のウイルスに対しては検知できないため、注意が必要です。
ヒューリスティック方式
ヒューリスティック方式は、パターンマッチング方式のデメリットを補うために開発された方式です。
マルウェアの静的な特徴(コード構造など)や動的な挙動(ファイル操作、通信内容など)を分析し、プログラムの振る舞いがマルウェア特有のものであるかを判断します。
未知のマルウェアであっても「ほかのファイルを勝手に変更する」「不審な通信を行う」などの疑わしい動作から危険性を判断し、検出と隔離が可能です。
マルウェアのパターン定義を待たずに被害の抑制につなげられるでしょう。
EPPの種類
EPPの種類は、主に以下の2つです。
- AV(Anti-Virus)
- NGAV(Next Generation Anti-Virus)
それぞれどのような違いがあるのか、詳しく解説します。
AV(Anti-Virus)
AV(Anti-Virus)は、パターンマッチング方式に搭載しています。
PCやモバイル端末内をスキャンし、事前に登録したマルウェアと同じパターンのファイルがあれば検知し削除する仕組みです。
企業全体のエンドポイントセキュリティを強化できるため、全体的なセキュリティ対策に欠かせません。
NGAV(Next Generation Anti-Virus)
NGAV(Next Generation Anti-Virus)は、ヒューリスティック方式により、実際の挙動からマルウェアかどうか判断する点が特徴です。
機械学習とAIにより、マルウェア亜種も認識します。
また、検出したプログラムにおける悪意の有無を確かめるため、隔離空間で検証するサンドボックス機能がある点も特徴です。
機械学習を活用した「振る舞い検知」や「リアルタイム分析」により、新しいタイプの攻撃にも迅速に対応できます。
EPPに期待されていること
EPPに期待されている内容は、以下の4つです。
- 予測・予防強化
- AIと機械学習による検知精度向上
- リアルタイムな脅威インテリジェンスの取得と反映
- 企業内外のデバイス管理の効率化
上記の内容について、詳しく解説します。
予測・予防強化
EPPは、既知の脅威への対応だけでなく、未知の脅威やゼロデイ攻撃を予測し、攻撃を受ける前に防御する能力の向上が強く期待されています。
この中には攻撃者の行動パターンや過去の攻撃事例を分析し、潜在的な脆弱性や攻撃の予兆を早期に特定するといった技術も含まれています。
たとえば、特定の業界や地域を標的とする攻撃キャンペーンの情報を活用したり、エンドポイントの挙動から通常とは異なるパターンを検知したりすることで、プロアクティブな防御態勢を構築できるでしょう。
インシデント発生そのものを未然に防ぎ、事業継続性の確保に貢献することが求められています。
AIと機械学習による検知精度向上
EPPにおけるAI(人工知能)と機械学習の活用は、脅威検知の精度を飛躍的に向上させることが期待されています。
膨大な量の正常なファイルやプロセスのデータを学習し、そこからの逸脱を異常として検知することで、従来のシグネチャベースでは対応困難だった未知のマルウェアや巧妙な攻撃手法を見つけ出します。
また、振る舞い検知においても、より複雑な攻撃パターンを認識し、誤検知を低減することが可能です。
これにより、セキュリティ運用者の負担を軽減しつつ、高度化するサイバー攻撃に対する防御力を高め、より迅速かつ的確な対応を実現します。
リアルタイムな脅威インテリジェンスの取得と反映
EPPには、世界中で発生している最新の脅威情報をリアルタイムに収集・分析し、それを即座に自社の防御策に反映する能力が求められています。
これには、セキュリティベンダーや研究機関が提供する脅威インテリジェンスフィードの活用、ほかのEPPユーザー間で匿名化された脅威情報の共有などが含まれます。
新たなマルウェアのハッシュ値、攻撃に使われるIPアドレスやドメイン、不正なファイルの挙動パターンといった情報を迅速に取り込むことで、常に最新の脅威に対応できる状態を維持できるでしょう。
攻撃者の先手を打ち、被害を未然に防ぐプロアクティブなセキュリティ体制の構築が期待されています。
企業内外のデバイス管理の効率化
EPPには、働き方の多様化にともない、オフィス内外に存在する多様なエンドポイントを一元的に、かつ効率的に管理し、セキュリティレベルを維持し向上させることが期待されています。
特にリモートワークやBYOD(私物端末の業務利用)の普及により、管理対象となるデバイスの場所や種類が複雑化してしまうことがあるかもしれません。
EPPはこれらのデバイスに対して、場所を問わずに統一されたセキュリティポリシーを適用し、ソフトウェアの配布やアップデート、脆弱性管理、脅威の監視などをクラウド経由で効率的に実施します。
結果としてセキュリティ管理者の運用負荷を軽減し、あらゆる場所から安全な業務遂行を支援できるでしょう。
EPP購入時に選びたい機能
EPPにはさまざまな製品がありますが、搭載されている機能は異なります。
初めて購入する場合、どの機能が必要かわからないこともあるでしょう。
- 新しいアプリに対する検知機能
- 不正URLの検知機能
- ダッシュボードレポート
- セキュリティツールとの統合機能
- オフライン保護機能
ここでは、購入時にあると便利な機能を5つご紹介します。
新しいアプリに対する検知機能
ウイルスやマルウェアは、アプリケーションを介して侵入するケースもあります。
スパイウェアのようにインストールと同時に侵入するマルウェアもあるため、新しいアプリに対する検知機能が搭載されている製品がおすすめです。
不正URLの検知機能
不正URLへのアクセスにより、ウイルスやマルウェアに感染するかもしれません。
悪意のあるWebサイトは一見してわからないこともあるため、感染防止のために不正URLの検知機能を搭載したEPPを使用するとよいでしょう。
ダッシュボードレポート
ダッシュボードで、ネットワーク内でEPPが検出した悪意のある脅威の活動を表示可能な製品も多いです。
検出された脅威の総数や時間範囲のほか、最も脅威にさらされているユーザーや悪意のあるファイルなどが確認できる製品もあります。
セキュリティツールとの統合機能
ファイアウォールなど、ほかのセキュリティツールと統合できる製品もあります。
自社開発のセキュリティのみと統合できるケースもあるため、既存のセキュリティツールと統合できるか確認したうえで導入を検討してください。
オフライン保護機能
マルウェアの進化により、オフライン状態でも端末を保護する必要性が高くなっています。
オンラインでインターネットやメールを介して感染するだけでなく、USBメモリやSDカードなどから感染するリスクもあるでしょう。
たとえば社外の人間がIDカードを偽造して侵入したり、外部メモリにマルウェアやウイルスを入れられたりするケースも考えられます。
そのようなリスクを回避し、情報漏洩やファイルの破損を防ぐために、オフラインでも保護できる機能が搭載された製品がおすすめです。
EPPは情報漏洩やファイルの保護に必要不可欠
EPPはマルウェア感染の防止に特化した製品で、デバイスへの侵入を未然に防止します。
EPPの分野ではAIと機械学習の技術が進んでおり、今後の検知精度の向上が期待できるでしょう。
リアルタイム検知も可能なため、顧客情報など大切なデータをPCで管理している企業では積極的な導入をおすすめします。
なお、EPPを導入する際は企業規模や体制に応じ、必要な機能が搭載された製品を選びましょう。
すでに利用しているセキュリティツールとの統合が可能であれば、より精度の高い検知と防御が期待できるほか、管理者の負担軽減にもつながります。
コネクシオでは「CLOMO エンドポイントセキュリティsecured by Deep Instinct」を提供しています。
ディープラーニングを活用して既存マルウェアや未知の攻撃を防ぎ、高度なエンドポイントセキュリティを実現可能です。
EPPを導入するにあたって製品選びに悩んでいる場合は、ぜひ一度お問い合わせください。
■合わせて読みたいページ