いまさら聞けない「EDR」と「アンチマルウェア」の違いとは？：EDRとアンチマルウェアを比較【前編】

企業のエンドポイントを保護する上で役立つのが、EDRとアンチマルウェアだ。両者にはどのような違いがあるのか。仕組みと役割の観点から両者の違いを解説する。

≫ 2024年05月27日 07時15分公開

[Ravi Das，TechTarget]

「EDR」と「アンチマルウェア」の違い

併せて読みたいお薦め記事

エンドポイントのセキュリティ対策

EDRとは？

　オフィスや従業員の自宅といった場所を問わず、企業の管理下にある全てのエンドポイントを監視するのがEDRだ。エンドポイントのアクティビティーや通信に関する情報を記録し、その記録をログにまとめる。セキュリティチームは、このログデータを分析して、異常なアクティビティーや挙動の特定に役立てることが可能だ。不正なアクセスが発覚したらアクセス制御の仕組みを見直すなど、現在のセキュリティ上の問題や将来生じる可能性があるリスクを把握し、改善点を指摘することにも活用できる。

　EDRは、収集したエンドポイントのデータと、セキュリティ担当者が作成したルールを照らし合わせて、自動で脅威に対処する。定義したルールと検出した攻撃の危険性に応じて、決められたアクションを実行して進行中の攻撃を停止したり、被害を緩和したりする試みが可能だ。攻撃への対処に人手の介入が必要な場合は、セキュリティ部門に通知するように設定することもできる。エンドポイントデバイスで実行されているプロセスやアクションの分析を通じて、内部脅威の検出にも役立つ。

　エンドポイントからEDRが収集する主な情報は以下の通りだ。

接続したことがあるIPアドレス
現在接続しているIPアドレス
ログインしているエンドユーザーのアカウント情報
ログインしているエンドユーザーの位置情報
不正な可能性があるパスワード変更の試み
OSやアプリケーションが実行したプロセス
他のエンドポイントデバイスとの接続状況
ローカルストレージ、クラウドサービス、物理サーバにおけるファイルの作成と保存
携帯型ストレージの使用状況および保存したデータの内容

アンチマルウェアとは？

　エンドポイント内のマルウェアや悪意のあるソフトウェアを自動もしくは手動でスキャンし、停止させるソフトウェアがアンチマルウェアだ。画面にポップアップ通知を出すアドウェア（広告付きソフトウェア）の勝手なインストールや、スパムメール（迷惑メール）を防ぐのにも役立つ。ただし一部のアンチマルウェアはエンドポイントの管理者権限を必要とするので、アンチマルウェアそのものを標的とする攻撃者も存在する。そうした攻撃者は、アンチマルウェアを手掛かりにして、エンドポイントでさらなる不正行為を働くことを狙っている。

　アンチマルウェアは、悪意のあるソフトウェアやファイルを検出するために、以下の方法を使用する。

シグネチャベースの検出
- 既知のマルウェアのシグネチャ（マルウェアを判別するためのデータ）と、疑わしいソフトウェアのソースコードを照らし合わせることで、マルウェアかどうかを判別する。
- 最新のアンチマルウェアの中には、ベンダーが用意したシグネチャデータベースを持つものがある。このデータベースに基づいて、アンチマルウェアはエンドポイント内のファイルを評価し、不審なファイルが潜んでいないかどうかを判断する。
振る舞いベースの検出
- ファイルやOSを監視し、不審なファイル実行、API（アプリケーションプログラミングインタフェース）の呼び出し、離れた位置にあるサーバへの接続、ファイルシステムの異常な変更など、疑わしい振る舞いを検出する。
ヒューリスティック検出
- ヒューリスティックは、経験に基づいて正解に近い解を導き出す手法を指す。具体的には、上記2つの手法を組み合わせてマルウェアを検出する手法だ。
- シグネチャベースの検出は、ソースコードを分析して不審なコンポーネント（プログラム部品）が含まれているかどうかを調べる静的解析に相当する。
- 振る舞いベースの検出は、コンポーネントを実行した際の振る舞いに不審な動作がないかどうかを調査する動的解析に相当する。

　次回は、EDRとアンチマルウェアの長所を比較する。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

TechTargetジャパントップセキュリティ