EDR製品とアンチウイルス対策ソフトとの違い 一覧表で比較

セキュリティ対策製品と言っても、様々な製品が乱立しています。特に、「EDR(Endpoint Detection and Response)」と「アンチウイルス」は、その違いを明確に説明できる方は限られるのではないでしょうか。
本記事では、EDRとアンチウイルスの違いに着目し、それぞれの仕組みや目的を比較しながら分かりやすく説明します。

EDRとアンチウイルスの違いを一覧表で比較

「EDR(Endpoint Detection and Response)」と「アンチウイルス」の違いを一覧表でまとめると、次のとおりです。

EDRアンチウイルス
目的● 事後対策
マルウェアに感染した後の被害を最小化する。
● 事前対策
マルウェアに感染しないようにする。
仕組み● エンドポイントの監視
エンドポイントにある各デバイスにエージェントを組み込み、エージェントから吸い上げた情報を常時監視。
● パターンマッチング方式による検出
マルウェアに見られるデータのパターンをウイルス定義ファイルに登録し、コンピュータ上のファイルに同様のデータパターンがないか、コンピュータをスキャンして調べる。
強みウイルス定義ファイルが不要。検知するのは異常や不審な挙動であるため、未知の脅威であっても対応できる。ウイルス定義ファイルに登録済みの既知の脅威は、ほぼ確実に検出できる。
欠点サイバー攻撃を受けることを前提とした仕組みであるため、脅威の侵入は防げない。
脅威を検知した後の対応には、人手や別の仕組みが必要。
ウイルス定義ファイルに登録されていないマルウェアに対しては無力。

EDRとアンチウイルスは、仕組みが違うだけではなく、そもそも役割が真逆の製品同士だということが分かります。

アンチウイルスとは?

次に、アンチウイルスについて、仕組みや誕生の経緯を詳しく説明します。
不正かつ有害な動作を行う目的作られたソフトウェアやコード、プログラムを総称して、「マルウェア(Malware)」と言います。
かつては、コンピュータウイルスと呼ばれており、そのコンピュータウイルスに対抗する(Anti)ソフトウェアは、「アンチウイルス」と命名されました。現在でも、マルウェアをはじめ、様々な脅威に対抗するソフトウェア商品を、アンチウイルスと呼ぶ場合があります。

アンチウイルスの防御の仕組み

1980年代以降、コンピュータウイルスに対抗して、次々と登場しはじめたアンチウイルス製品。これらのアンチウイルス製品において、要となる技術がパターンマッチングと呼ばれる技術でした。
パターンマッチング方式とは、コンピュータウイルスや感染ファイルに見られるデータのパターンをデータベース化し、コンピュータ上のファイルに同様のデータパターンがないか、コンピュータをスキャンして調べる方法です。不正なファイルと同じパターンを持つファイルがあれば、アンチウイルス製品が不正なファイルとして検出します。

EDR(Endpoint Detection and Response)とは?

では、EDRはどうでしょうか。EDRの仕組みや誕生の経緯を詳しく説明します。

EDR(Endpoint Detection and Response)の仕組み

EDRは、クライアントPCなど、エンドポイントにある各デバイスにエージェントを組み込み、デバイスを監視します。
そして、エージェントから吸い上げた情報を検知サーバで集約し、常時監視します。
いざ、異常や不審な挙動が発生した場合には、異常の内容に加え、各デバイスの状態や通信について管理者に通知したり、遮断するのがEDRの主な役割です。

EDR誕生の背景

近年では、マルウェアはその改良型である亜種を含めると、1日に100万個から200万個も新種が発見されています。それだけの数のファイルをパターンマッチング方式で、データベースに登録しているのでは、マルウェアの数に対し、解析や登録が追いつきません。
また、パターンマッチング方式による事前対策では、過去に解析したことがあるパターンを持つマルウェアは検出できても、全く新しい未知のマルウェアは、データベースに情報がないために検出できません。
このような背景から、脅威を侵入させないという事前対策のアプローチとパターンマッチング方式には限界があるという認識が広がりました。
そこで、発想を転換して、異常や不審な挙動が発生した場合には、即座に検知して、異常発生前の状態に復旧させるという、事後対策が必要という理解が広まりました。このような経緯で誕生したのが、事後対策を目的とする製品「EDR」です。

事前対策と事後対策 アンチウイルスとEDRどっちを使う?

アンチウイルスは、脅威が侵入する前に食い止め、脅威の侵入を防止することが目的です。
ただし、アンチウイルスは、一旦脅威が侵入してしまうと、その後はほぼ無力です。
一方、EDR(Endpoint Detection and Response)は、ユーザのPCやサーバなど、エンドポイントで不審な挙動を検知します。脅威の侵入を防ぐのではなく、侵入した脅威を検出し、修復を行うのがEDRの目的です。

出典:https://www.ipa.go.jp/files/000084974.pdf

このように、セキュリティ対策を大きく2つに分けると、アンチウイルスのように脅威が侵入する前の対策である「事前対策」と、EDRのように脅威が侵入した後の対策である「事後対策」とに分けられます。

  • 事前対策:脅威を侵入させないための対策。脅威の侵入を防止する。
  • 事後対策:脅威が侵入してしまった後の対策。迅速に侵入前の状態に戻す。侵入後の被害を最小限に食い止める。

事前対策と事後対策は、そもそも目的が違うため、どちらを選ぶべきかという問いはナンセンスです。事前対策と事後対策の両方を多層的に組み合わせて、抜け目のないセキュリティ対策を行うことが重要です。

次世代型に?進化するEDRとアンチウイルス

昨今では、特定の組織を狙い撃ちするサイバー攻撃「標的型攻撃」が、各企業を震撼しています。
標的型攻撃では、攻撃者がターゲット企業のセキュリティ上の弱点を、時間をかけて見つけ出した上で攻撃を開始するため、アンチウイルスとEDRの2重の対策を施していても、簡単に侵入口が発見されてしまいます。
このような背景から、サイバー攻撃を迎え撃つ側も、新しい技術でアンチウイルスとEDRの双方を進化させてきました。
一般的には、”次世代型”などと呼ばれている次のような新しいサービスや機能が該当します。

振る舞い検知

パターンマッチング方式では、マルウェアの検体を入手し、解析した上で、得られた情報をアンチウイルスに覚えさせ、ユーザのコンピュータをスキャンします。ところが、亜種を含めるとマルウェアの新種が、1日に100万個から200万個も発見されている現状では、パターンマッチング方式では、検体の入手と解析が追いつきません。
そこで、マルウェアのコードではなく、プログラムの振る舞い・挙動に着目し、不審な動作をするプログラムをマルウェアと判定する「振る舞い検知」の仕組みが誕生しました。
振る舞い検知では、検体を必要としないため、これまで発見されたことがない未知の脅威も検知できます。

MDR(Managed Detection and Response)

EDRで脅威を検知した後には、侵入経路の特定や情報流出経路の遮断などの対応が必要ですが、適切に対処するためには、高度なスキルとノウハウが必要です。脅威の検知後に、その情報を適切に活用するという難易度の高い工程を、自社の従業員だけで行える企業は限られています。
そこで、脅威の検知から対応までの工程を、マネージドサービスとして代行してくれるのが、”検知と対応のマネージドサービス”という意味のMDRです。

クラウドサンドボックス

本来「砂場」という意味のサンドボックス(sandbox)。
公園の砂場と同じように、プログラムを自由に実行するための区切られた環境が「サンドボックス」です。
サンドボックス内でプログラムを実行することで、それが悪意のあるプログラムであったとしても、他の正規のソフトウェアに影響を与えることなく、その動作を確認できます。
すなわち、不正かは断定できないものの疑わしいといったファイルを、実際に実行できる場所を用意することで、より正確な判定・検知ができます。
クラウドサンドボックスについては、「クラウドサンドボックスとは?セキュリティ製品比較時の迷いどころを解説」記事でも詳しく解説しています。

機械学習

パターンマッチング方式では、マルウェアの検体一つ一つを解析して得られた特定のコードやハッシュ値をデータベースに登録していきます。
ところが、標的型攻撃など検体の入手が困難なケースに対しては、パターンマッチング方式では太刀打ちできません。そこで、検体を入手して分析するという手法からは脱却し、マルウェアによる“異常な現象や振る舞い”を、学習を積んだエンジンで検知する仕組みが誕生しました。機械学習を活用した手法では、検知するのは特定のコードではなく、マルウェアによる異常行動であるため、パターンマッチング方式では必須だったウイルス定義ファイルを必要としません。

NGAV(次世代型アンチウィルス)とEDRに関しては、詳細記事「NGAV(次世代型アンチウィルス)とは?EDRとの違いと製品比較ポイント」をご覧ください。

まとめ

「EDR(Endpoint Detection and Response)」と「アンチウイルス」の違いについて、解説してきました。
事前対策を目的としたアンチウイルスと事後対策を目的としたEDR。どちらが優れるということではなく、違うのはソリューションの役割・目的である点に注意してください。

ESETでは、事後対策向けのEDR(Endpoint Detection and Response)ソリューション、「ESET Enterprise Inspector」を提供しています。詳細はこちらをご覧ください。

また、高度な事前対策として、未知の脅威も検出するクラウドベースのサンドボックスセキュリティ機能を含む統合エンドポイント製品「ESET PROTECT Advanced」も提供しています。「ESET PROTECT Advanced」詳細はこちらをご覧ください。