NGAVとEDRの違い

エンドポイントセキュリティは大きく分けて 4種類あります。その中で、次世代型といわれるNGAVと事後対策を行うEDRをピックアップし、両者の役割やセキュリティ範囲の違いについて解説します。

知っておきたいNGAVとEDRの役割

NGAVとEDRの違いを正しく理解するために、それぞれどのようなセキュリティ対策なのか簡単に説明します。

NGAV

NGAVはNext Generation Anti-Virusの略で、日本語にすると次世代型アンチウイルスになります。悪意のあるプログラムやマルウェアを検知し、エンドポイントへの侵入や感染を防ぐことが目的です。

EPPと同じでは？と思った方がいるかもしれません。EPPは既知のマルウェアを検知しますが、NGAVは未知のマルウェアまで検知ができます。これはAI・機械学習や振る舞い検知機能を搭載しているからで、EPPの進化版といってよいでしょう。

EDR

EDRはEndpoint Detection and Responseの略で、その意味はエンドポイント検出対応です。
検出対応という言葉がわかりにくいのですが、EDRは エンドポイントに侵入した後のマルウェアを検知し被害拡大を抑えます。

エンドポイント検出対応とはこうした機能・役割のことです。NGAVは侵入前の対応を行い、EDRはそれを通過して侵入してしまったマルウェアを検知します。それを管理者に知らせたり、通信ログを取得して原因究明に役立つデータを提供するのです。

NGAVとEDRの必要性

NGAVはマルウェアが侵入する前に既知・未知を問わずにマルウェアの検知が可能です。既知のマルウェアしか検知できない従来型の弱点をカバーできるのが、次世代型と呼ばれる理由です。

EPPと同様にNGAVはマルウェア侵入前が対応範囲になっていることから、EPPの一種として同じ分類にいれることもあります。エンドポイントを外部脅威から保護するという意味では役割は同じだからです。

NGAVの登場により未知のマルウェアまで検知できるとなれば、侵入後の対応を役割とするEDRは不要になると考えてよいのでしょうか？残念ながらその答えはノーです。確かに検知精度は上がりますが100％ではありません。

仮に1％エンドポイントに侵入できる可能性があるとすれば、攻撃者はその1％を狙ってきます。また、EDRの役割は侵入後のマルウェア検知だけでなく、被害を最小限にするための管理者サポートもあるため不要になることはありません。

強固なエンドポイントセキュリティ対策に必要なこと

セキュリティ対策で重要なのは安心しないことです。今後はさらに技術が進歩してNGAVのさらに次世代型が出てくる可能性もありますが、技術の進歩は防御側だけでなく攻撃側にも起きていることを忘れてはいけません。

セキュリティの基本は外部と内部の両方を固めることです。その意味では侵入前のNGAVと侵入後のEDRはセットで導入したほうが効果的ということになります。また、侵入されたらどう行動すべきか管理者側も事前に考えておくことが大切です。