従来のウイルス対策と EDR の違い
2023 年 7 月 7 日 By Iratxe Vazquez 著
デバイスが多様化し、任意の場所からネットワークリソースにアクセスできるようになったことで、セキュリティ境界がオフィスの外にまで広がっています。ウイルス対策ソリューションとエンドポイント検出・対応(EDR)ソリューションは、いずれもデバイスを保護するために設計されていますが、各ソリューションが提供する保護のレベルは大きく異なります。
ウイルス対策と EDR の主な 6 つの違い
従来のウイルス対策ソフトウェアは、デバイスやサーバに直接インストールされることで、悪意のあるプログラムから保護します。一方 EDR システムは、ネットワーク上のデバイスの可視化と制御を提供しながら、サイバー脅威を検出して阻止します。
この 2 つのソリューションの機能には若干の重複がありますが、以下が主な相違点です。
- セキュリティアプローチ:
ウイルス対策システムはリアクティブ(事後対応型)です。このツールは、脅威が発生したときにのみ作動します。対照的に EDR ソリューションはプロアクティブであるため、何らかの理由でデバイスにアクセスした脅威を検出して阻止し、その後従来のウイルス対策が行うように、アクセスをブロックします。 - 保護範囲:
従来のウイルス対策は、範囲が限定された分散型のセキュリティシステムです。そのため EDR ソリューションよりもシンプルです。一方 EDR は集中型のセキュリティを提供し、ネットワークのすべてのエンドポイントにおける脅威を継続的に監視するため、保護がより包括的かつ全体的なものになっています。 - 検出方法:
ウイルス対策システムは静的な脅威シグネチャとパターンに基づいて対策を行うため、認識できるのは既知の脅威のみです。ふるまいベースの EDR は、ネットワークエンドポイントにおける異常なふるまいを特定することで、既知または未知の脅威をリアルタイムで監視・検出します。 - 自動化と可視化:
EDR は常にデータを収集・分析しています。人工知能(AI)と自動化により、EDR はデータを実用的なインテリジェンスに変換し、企業ネットワーク内のデバイスを完全に可視化します。これによりデータパターンを迅速に分離できるため、潜在的な脅威を示す異常なふるまいについて、セキュリティチームが迅速かつ正確に評価できるようになります。検知にかかる時間も短縮されます。セキュリティ担当者は雇用コストが高く、人手不足も深刻ですが、そのような高度なスキルを持つ従業員に頼る必要性を減らせます。 - レスポンス方法:
ウイルス対策は、脅威がシステムに侵入したときに、それが悪意のあるアクションを実行し始める前に、通常、その実行を阻止し、ファイルやその途中で残した可能性のある痕跡を削除するなどのアクションを、すべて自動化された方法で実行します。EDR は、マルウェアの拡散を防ぐために、実行のブロックやエンドポイントの隔離など、自動化されたアクションで対応し、アナリストに潜在的な脅威、その影響、そこから回復する方法を調査する時間を与えます。 - レスポンスタイム:
ウイルス対策のレスポンスは即時行われ、かつ自動化されていますが、その検知能力の及ぶ範囲は既知の脅威に限られています。EDR システムは、高度かつ未知の脅威を検知することができます。検出とレスポンスにかかる時間は、EDR システムが提供する自動検出、可視化、封じ込め、修復の速度によって決まります。ソリューションによっては、実行され、疑わしいアクションを実行したファイルを分類するときに、アナリストに責任を委ねる場合もあります。EDR ソリューションは、レスポンスタイムを短縮するために、可能な限り早期に検出、調査、自動化されたアクションを取ることが理想的でありつつも、誤検出をゼロに漸近させる努力も必要です。
対照的にウイルス対策システムは、新しいものが特定されるたびにウイルスや亜種をマルウェアリストに追加するウイルス対策ソリューションの開発者に依存しています。対象がリストに載っていなかった場合、新しいマルウェアは検出できません。
最良の選択肢は?
従来のアンチウイルスのシグネチャやパターンに基づく検知は、高度なマルウェアや新しい亜種を特定し、防御する上で効果がない場合があります。今日、マルウェアの作成者は、従来のウイルス対策ソリューションによる検出を回避するために、ファイルレスマルウェアなどのテクニックを使用しています。
このような場合に効果的な検知を行うには、より多くの情報とコンテキストが必要です。EDR ソリューションに統合されたセキュリティ機能は、攻撃や侵害の行動や指標をうまくピンポイントで特定し、対応機能を自動化することで、セキュリティアナリストは対応をシステムに委ねたり、より迅速に行動したりできるようになり、潜在的なセキュリティインシデントに対処する際の効率性が向上します。
しかし、ウイルス対策ソフトウェアが適切なソリューションである場合もあります。それは、予算が少なく、保護機能に関する自動化されたアクションを設定・監視するセキュリティ管理者がいない場合です。エンドポイントセキュリティソリューションを幅広い観点から監視できるのであれば、リモートワーカーなどが所持している多数のデバイスを高度な脅威から保護するために、EDR の方が適しています。
ウイルス対策ソリューションを選択する場合は、高度な、次世代のソリューションを選択してください。マルウェアレス技術などを使った高度な脅威もカバーできるソリューションを推奨します。
WatchGuard EPDR のようなエンドポイント検知・対応ソリューションを使用すれば、予防、検知、封じ込め、 レスポンスは自動化され、既知および未知の脅威からの保護が可能です。ウォッチガードは単一のクラウドプラットフォームで利用できる統合型のセキュリティベンダであり、すべてのセキュリティソリューションを同じ場所から管理可能です。ウォッチガードは単体のセキュリティ製品ではなく、包括的なサイバーセキュリティ戦略における付加価値の高いソリューションであり、高い保護レベルを維持しながら、インフラコストを削減し、サイバーセキュリティチームの管理を簡素化します。
EDR とエンドポイントセキュリティについてご興味のある方は、以下も併せてご覧ください:
EDR と XDR の違いについて
企業エンドポイントの 68% がデータ侵害攻撃の標的に
水飲み場型攻撃に対抗する高度なエンドポイントプロテクション