NGAV・EDR・DLPの違いとは? エンドポイント情報セキュリティ対策製品に関する用語解説
更新日 : 2022年08月26日
AV(Antivirus)/EPP(Endpoint Protection Platform)
AVまたはEPPとは、コンピュータウイルスからパソコンなどの機器を守るためのソフトウェア総称で、「アンチウイルスソフトウェア」や「ウイルス対策ソフトウェア」のことを指します。 アンチウイルスソフトウェアではパターンマッチング技術が検出手法として用いられております。 |
パターンマッチング技術とは?あらかじめウイルスの特徴を登録したデータベースをウイルス対策ソフト内に持ち、この情報と検査対象のファイルを逐一比較する方法のことです。 |
NGAV(Next Generation Antivirus)/NGEPP(Next Generation Endpoint Protection Platform)とは
NGAVまたはNGEPPとは、マルウェア特有の動作を手がかりにマルウェアを検知するソフトウェアのことを指します。 これは従来のAV・EPPで使われたパターンマッチング技術とは異なり、振る舞い検知やAI・機械学習といった技術を用いてマルウェアと疑わしいものを検知・ブロックを行い、パソコンをマルウェア感染から守ります。 |
パターンマッチングと振る舞い検知の違い
パターンマッチング技術のイメージポイントマルウェアを人間に例えると、指名手配写真をもとに容疑者を探しだし、警察官が犯人を見つけ逮捕する手法です。つまり、データベース内にあるウイルスの特徴と疑わしいファイルを比較し、合致したファイルを検知・検挙するものです。 |
振る舞い検知技術のイメージポイントこれは犯人に関する特徴をもとに、疑わしい行動を起こした人や犯人に似た特徴を持った人物を観察し、犯人の可能性がある人物を逮捕する手法です。つまり、マルウェアの振る舞いを見て疑わしいファイルについては検知・検挙するものです。 |
EDR(Endpoint Detection and Response)とは
EDRとは、パソコンなどエンドポイントの操作や動作を記録・監視を行い、サイバー攻撃を発見次第すぐに対処することを目的としたソフトウェア総称です。
これは、NGAVやNGEPPを潜り抜けたサイバー攻撃を受けてしまった場合を想定し、万が一攻撃を受けたとしても被害を最小限にすること狙っています。 また、サイバー攻撃を検知・対処した後も、被害にあった原因の調査や今後のセキュリティ対策に反映させる必要があるため、運用が重要なポイントになります。 お勧めしたいEDR製品はこちら |
DLP(Data Loss Prevention)とは
DLPとは、一言で表すとデータに着目した情報漏洩対策のことです。 この用語についての詳細説明は別途コラムを設けておりますので、詳細はこちらからご参照ください。 |
まとめ
エンドポイントに関するセキュリティ対策製品についてそれぞれの機能や特徴についてご紹介いたしました。 自社にとってどのようなサイバー攻撃被害を防ぎたいのかを考え、適切なセキュリティ対策製品・サービスを導入するようにしましょう。 |
AV・EPP | NGAV | EDR | DLP | |
---|---|---|---|---|
目的 | データベースに登録されているマルウェア情報をもとにマルウェアを検知する | 未知・既知問わずマルウェア特有の動作を手がかりにマルウェアを検知する | エンドポイントの操作を記録・監視し、サイバー攻撃を発見次第すぐに対処する | 機密情報と特定したデータを監視し、情報漏洩につながる行動をブロックする |
特長 | 既知(データベースに登録済み)のマルウェアは防ぐことが可能 | 既知・未知問わずマルウェアからの脅威に対処することが可能 | サイバー攻撃の全体を可視化し、原因究明・影響範囲特定に活用することが可能 | 予め設定したポリシーに基づきデータを見守り、反する行動をブロック可能 |
注意点 | データベースに登録されていないマルウェアを防ぐことができないので、新たなマルウェアに対して素早く対応することが困難 | 万が一マルウェアが検知をすり抜け侵入してしまった場合の対処はできない |
|
十分なチューニングと継続的な運用が必要 |
おすすめ | - | 未知のマルウェア脅威対策がまだ、もしくは強化したい | 未知のマルウェア脅威対策はお持ちのお客様で、有事の際に備えた管理・対処の組織を保有できる | 知的財産や個人情報など守るべきデータを多く持っており、社内外問わず情報漏洩を防ぎたい |
主なメーカー |
|
|
|