エンドポイントセキュリティは、現在、統合の真っただ中にあります。実行前の阻止、実行後の検知、応答および修復機能を提供するために、2つの重要なセキュリティツールが1つに統合されようとしています。

ガートナーは、 40%のEDR導入環境が同一ベンダーの提供するEDRとEPPを利用していると推定しています。EDRベンダーが各自の阻止機能を追加しているかまたは向上させている一方で、従来型のEPPベンダーはEDR機能を統合しています。

エンドポイントセキュリティは、これまでどうやって発展してきたのでしょうか？最初のアンチウイルス製品から今日のエンドポイント保護プラットフォーム（EPP）に至るまでの発展は1980年代に始まっており、それ以降40年にわたって、エンドポイントセキュリティは曲がりくねった道を行きつ戻りつしながら試行錯誤を続けてきました。

ニーズの確立：最初のコンピュータウイルス

2000年代初頭までに、コンピュータウイルスはグローバルなスケールでの拡散を始めました。Melissaウイルスは8千万ドルもの被害を引き起こしたと言われており、ILOVEYOUウイルスは1千万台ものマシンに感染したと言われています。

最初のアンチウイルス製品は1980年代末に発売されましたが、アンチウイルス業界はマルウェア開発の活発化と並行する形で拡大を続けた結果、1990年代末には、SymantecやF-Secureのような大手企業が各自の最初のアンチウイルス製品を発売するようになりました。

アンチウイルスの限界

アンチウイルスは、一時は効果的なソリューションでしたが、進化し続ける「ポリモーフィック」型のマルウェアや「パックされ暗号化された」ファイルが主流になると、アンチウイルスは、永続的なスタンドアロンのソリューションからはかけ離れたものになってしまいました。ウイルスの数がせいぜい数十種類に留まっていた時代では、シグネチャベースのアンチウイルスソリューションは一時的に有効でした。

しかし、ウイルスの数が数千種類に達した初期の時点で、シグネチャベースの方法はトラブルに陥りました。アンチウイルスは、2つの主な課題を企業にもたらしました。

1つ目は、シグネチャベースのアンチウイルス手法はもはや高い有効性を持たず、企業エンドポイント全体でサイズの大きいシグネチャファイルを最新の状態に保つのは運用上困難であり、かつ正規のシグネチャがアップデート時に誤ってブラックリスト化されてしまう場合がたまにあることです。

2つ目は、アンチウイルスは「深層防御（prevent-in-depth）」が行えないため、被害を未然に防ぐことができないことです。

1990年代末には、 個人向けファイアウォールや、後にホストベースの侵入防止システムとなる製品の開発を通じて、ウイルスやハッカーの先手を打つための新しいアーキテクチャ上の方法がすでに模索されていました。

その後、2000年代初頭になると、ホワイトリスティングのプロトタイプ化が行われるようになり、それまで優勢だった「性善説」に基づくシグネチャベースのブラックリスティングに代わって、「性悪説」に基づいたセキュリティ手法が追及されるようになりました。

アンチウイルスから次世代アンチウイルスへの発展

2000年代末になると、アンチウイルスの能力に対する疑いが高まり、先述したような従来とは異なるタイプのセキュリティツールの開発が、次世代アンチウイルスへと業界を動かしました。

アンチウイルスにおける多くのリーダー企業が、正規のソフトウェアと悪意あるソフトウェアに関するより適切な検査を実行するために、機械学習やクラウドベースの分析のような新しい手法を活用し始めました。

一部では、このような手法がスタンドアロン型の次世代アンチウイルスとなった場合もありましたが、多くの場合、そのような手法は既存のアンチウイルスに対する単なる追加機能にすぎませんでした。

単一のセキュリティオプションは、もはや選択肢になりませんでした。企業エンドポイントセキュリティの次なる進化では、エンドポイントを保護するために、結合されたソリューションの一部として複数の方法を適用する必要がありました。すなわち、エンドポイント保護プラットフォーム（EPP）の誕生です。

新しいテクノロジーに投資する際の失敗と成功

一部の企業や組織は、悪意あるアクティビティの検知、調査、および修復を行うテクノロジーへの投資を始めました。このようなテクノロジーは現在、EDR（Endpoint Detection and Response）と呼ばれています。当社の共同設立者であるLior、Yossi、Yonatanの3人は、EDRを使って現代の脅威に立ち向かうために、2012年にサイバーリーズンを設立しました。

それは単なるEDRではありませんでした。業界は他のネットワークベースのアプローチを実験しましたが、実行可能な結果を生み出すことはできませんでした。この例としてはUEBAが挙げられます。UEBAは現在、SIEMの分析機能の1つとして広く受け入れられています。

エンドポイントを保護するために複数のアプローチを使用するという防御に関するこのようなニーズは、2013年の標的型データ漏洩以降、大きくクローズアップされることになりました。このデータ漏洩は、6千万の顧客に影響を与え、標的の企業に1850万ドルの被害をもたらしており、これは、2017年までに複数の州で確認されたデータ漏洩の金額としては最大のものでした。

従来型のEPPに含まれていた欠陥を補う

従来型のEPPは、アンチウイルス、データ暗号化、個人向けファイアウォール、侵入防止、データ漏洩対策（DPL）の組み合わせを通じて、初期感染を防ぐことだけに注力していました。多くの場合、従来型のEPPには、ハードニング、インシデント検知、インシデント応答のような、新しいタイプのクリティカルなセキュリティアーキテクチャ機能が欠けていました。これにより、次世代アンチウイルスの持つ防止機能を、検知および応答機能と組み合わせることや、ネットワーク検知、SOAR、SIEMのようなその他の統合と組み合わせる機会が、セキュリティ企業に与えられました。

主にMITRE ATT&CK評価により主導された形で、業界は現在の状況に適応し、敵対者の行動を検知する機能を強化するためにEPPには何ができるかを再定義しました。ガートナーによるEPPの定義は、同社が過去に定義したものとは異なっており、2018年の時点で、EPPは「ファイルベースのマルウェア攻撃の阻止、悪意あるアクティビティの検知、動的なセキュリティインシデントやアラートに対応するための調査および修復機能を提供することを目的として、エンドポイントデバイスに配備されるソリューション」であると定義されています。

これは、EDRベンダーにより大規模な産業へと参入する機会を与え、10億ドル規模のEDR市場から70億ドル規模のEPP市場へと移行することを可能にしました。さらに、この結果、従来型のEPPベンダーには、競争力を維持するためにアンチウイルスから大きく転換し、EDR機能を開発するよう圧力がかけられました。

このような経緯で、我々は現在、EDRベンダーがEPPに参入し、またそれとは逆にEPPベンダーがEDR機能を採用するという状況に置かれています。

EPPとEDRの未来

エンドポイントセキュリティは、業界のニーズを満たすために常に適応を実現しています。競争力を維持するために、ベンダーは、防止および検知/応答からなる二重のアプローチを採用する必要があります。これにより、将来、EDRの可視性や機能を利用する最新の防御システムの実装が促進されることが望まれます。ファイルレス攻撃のような新しいタイプの検知しにくい攻撃が台頭している現在、防御をさらに進化させる絶好の機会です。

ホワイトペーパー「次世代アンチウイルス(NGAV)とEDRが高度な脅威に対処」を公開中

EDRとNGAVの組み合わせの優位性をご紹介するホワイトペーパーを公開しております。ぜひご活用ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=1826