NGAV（次世代型アンチウイルス）とは？EDR/XDR/MDRとの違いと製品比較のポイント

セキュリティ対策ソリューションを検討する上で、必ず理解しておきたいのが事前対策と事後対策という考え方です。

• 事前対策：脅威を侵入させないための対策。脅威の侵入を防止する。
• 事後対策：脅威が侵入してしまった後の対策。迅速に侵入前の状態に戻す。侵入後の被害を最小限に食い止める。

脅威の侵入を防ぐソリューションであるNGAVは、事前対策の製品です。
一方、事前対策に対し、脅威の侵入は防げないという前提に立ち、万が一、侵入された場合に不審な挙動を検知して、迅速に復旧する事後対策を目的とした製品が生まれました。
後述する「EDR」は、エンドポイントで常時監視し、異常や不審な挙動が発生した場合に通知、復旧を支援するという事後対策の考え方に基づいた製品です。
重要なのは、脅威を侵入させないための対策「事前対策」と、脅威が侵入してしまった後の対策「事後対策」では、どちらがより重要ということではなく、違うのはその役割である点です。
事前対策と事後対策を組み合わせたセキュリティ施策が望ましいとされています。

事後対策の代表的な製品が、「EDR（Endpoint Detection and Response）」です。EDRは、ネットワークに接続する各種機器の中で終端となる機器、例えば、ユーザのPCやサーバにおいて、不審な挙動を検知して対処します。
EDRの大きな特徴は、マルウェアの侵入は防げないという前提に立ち、マルウェア感染後の対応を支援することを目的としていることです。脅威の侵入を防御するのではなく、万が一、感染した場合に、そこからいかに早く復旧するかに着目しています。

▶EDRとは？侵入後のセキュリティ対策の要！比較選定時のポイント

EDRは、ネットワークに接続する各種機器の中で終端となる機器、例えば、ユーザのPCやサーバにおいて、不審な挙動を検知して対処することに対して、XDR（Extended detection and response）は、終端となるPCやサーバのエンドポイントに加えて、ネットワークやクラウドサービスなどにおける挙動も含めて不振なイベントの検知を行います。また、このEDR、XDRの不振イベントの検知後は、人による判断を通じて、正しい検知か誤検知か、自社のシステム環境などを考慮して緊急度や影響度が高いイベントなのか等を確認し、対処の必要性や対処方法を判断し、運用を行う必要があります。そのためEDR/XDRは導入後の運用負荷が高いソリューションと一般的に認識されております。
EDR/XDR活用したインシデントレスポンススキルの担保、24時間365日体制での要員の確保などが、EDR/XDRの運用の主要な課題となっています。その主要課題を解決するソリューションが、MDR（Managed Detection Response）です。MDRは、EDRやXDRのツール提供と平行し、それらツールの導入やチューニング、不振イベント検知後のインシデントレスポンスに対し、セキュリティエンジニアによるサービスを提供します。MDRを活用することで、EDR/XDRの運用やインシデントレスポンスのスキル、また、24時間365日の監視体制の担保などの課題を容易に解決します。

PCに侵入しようとする脅威をエンドポイントで検知し、PCを保護することを目的とした製品が「EPP（Endpoint Protection Platform）」です。
従来型のアンチウイルスやNGAVも、EPP製品に分類されます。
近年では、サイバー攻撃を受けることを前提に、その被害を最小限に抑えることを目指すエンドポイントセキュリティの考え方が普及していますが、アンチウイルスをエンドポイントセキュリティ実現のためのひとつのツールとして捉えたときの名称がEPPです。

そのため、近年では、パターンマッチング型のアンチウイルスとNGAVを包含したソリューションをEPPと呼ぶことが多くなっています。

不正なファイルと正規のファイルとを誤りなく判断するためには、1種類ではなく、複数の技術を組み合わせた多層防御で、何重もの判定と解析することが欠かせません。パターンマッチングは古くから存在する技術ですが、既知の脅威を検知する手法としては今もなお有効です。NGAVを採用する場合においても、パターンマッチングとの併用をすると検知率と誤検知率を両立することができます。