でたらめだらけの EPP/EDR

SASEの紹介する際に、SASEを導入すれば、EPPやEDR、またはNDRは不要になるのか？という質問をいただくことがあります。
また「EDRやNDRは、導入コストが高額だ」「SOCやマネージドサービスも合わせて導入する必要があるのでさらに高額になる」などと言う話もよく聞きますが、そもそもEPP/EDRがでたらめなので、そのことについて解説をします。

結論から先に言うと、レガシーなEPPを未だに利用されているのであれば、すぐにやめるべきで、きちんとしたEPPを利用されており、SASE を採用されるのであれば、EDRやNDRは不要です。

EPPについて

EPP（Endpoint Protection Platform：エンドポイント保護プラットフォーム）の略称で、エンドポイント、つまりPCやスマホ、サーバなどを保護するプラットフォーム、ソフトウェアを意味しています。
ウイルス対策ソフト、アンチウイルスソフト、あるいは、マルウェア対策ソフト、アンチマルウェアソフトを意味します。

日本では昔から、マルウェアよりウイルスのほうが聞き慣れている方が多いと思います。
「ウイルス」や「コンピューターウイルス」という言葉は、マルウェアと混同されて使われていますが、そもそもマルウェアは悪意を持ったソフトウェアの総称で、ウイルスはあくまでもマルウェアの一種ですので、広義では、マルウェア対策ソフト、アンチマルウェアソフトが正しい表現となります。以下では、EPPをマルウェア対策ソフトと記載します。

数十年前から、マルウェア対策ソフトでは、マルウェア、ウイルスの検知・駆除はできなくなっていると言われていますが、果たしてそうなのでしょうか？

残念ながら、その通りです。

レガシーなマルウェア対策ソフトでは、最近のマルウェアは殆ど検知・駆除することはできません。
最近のランサムウェアについては、殆ど効果が見込めません。

EPP、EDRについて

まず、第一世代、第二世代のマルウェア対策ソフトについては、製品メーカや製品名を含めて、皆さんよくご存知かと思います。
マイクロソフト Defender（ディフェンダー）や、マカフィー（McAfee）、トレンドマイクロ、ノートン（Norton）、シマンテック（Symantec）、イーセット（ESET）、ソフォス（Sophos）、ビットディフェンダー（BitDefender）、カスペルスキー（Kaspersky）等々となり、殆どの企業で、今現在でも利用されているのではないでしょうか？

これらは、すべてレガシーEPPです。

もともと第一世代のアンチマルウェア（AM）は、未知のウイルスには全く対応ができない、事後検知方式であるパターンファイルを中心とした検知・駆除方式です。
その後、機会学習を取り入れた振る舞い検知方式を取り入れた次世代型のアンチマルウェア（NG-AM）がリリースされましたが、これらも攻撃者からすると、人間が指示した機会学習のため、容易にすり抜けを行うことが可能です。

数多くの製品があるため、きちんとしたデータが公表はされていませんが、従来型AMの検知率は約30%、つまり70%のマルウェアは検知できず、次世代型AM（NGAM）の検知率は60%～70%、つまり30%～40%のマルウェアは検知できず、すり抜けると言われています。

著名なマルウェア対策ソフトウェア（レガシーEPP）は、最近のランサムウェアを含むマルウェアを検知・駆除することはできない。

EDRについて

30%～40%のマルウェアが検知できない状況を前提として、EDR（Endpoint Detection and Response：エンドポイント検知と対応）が登場しました。
EDRは、EPPと同じく、PCやスマホ、サーバなどのエンドポイント機器に導入します。
そもそもマルウェア感染する前にマルウェアが仕込まれたファイルを検知し、防御（駆除）するような予防ではなく、マルウェア感染後のマルウェアの挙動を監視し、検知する仕組みになります。
（感染前の検知機能や、事後の復旧機能があるものもあります）

感染後の検知（＝Detection）が主な機能であるため、感染してしまっているため、その後の対応（＝Response）が必須となります。
つまり、EDRは導入するだけではなく、その後の運用となる SOC（Security Operation Center）や、CSIRT（Computer Security Incident Response Team）などの運用体制があることが前提となります。

おかしな話ですが、EDRは、マルウェアの事前予防を諦めた製品なので、本来のマルウェア対策ソフト（EPP）が、マルウェアを100%近く検知・防御できれば、そもそもEDRは不要な製品です。また、残念ながらEDRも感染を100%検知できる訳ではありません。

EDRは、第三世代と言われますが、マルウェア感染の予防・駆除を諦めた事後対策製品、マルウェア事後対策ソフトウェアなので、第三世代というのはおかしな話です。

EDRは、3つの有名製品で 3C、つまり、Cybereason EDR、CrowdStrike Falcon Platform、VMware（現：Broadcom） Carbon Black などと言われていた時期もありましたが、SentinalOneや、Apex One等が主な製品です。

EDRは、マルウェア感染の予防は諦めた製品で、EPPが、きちんと予防・駆除できれば、そもそも不必要である

NDRについて

EDRと同じような製品として、NDR（Network Detection and Response：ネットワーク検知と対応）があります。
こちらも、IPS（Intrusion Prevention System：不正侵入防止システム）やIDS（Intrusion Detection System：不正侵入検知システム）での検知・防御が行われなかったことを前提として、エンドポイントではなく、企業のネットワーク上での異常な挙動や不審な動作を監視し、検知し記録する仕組みになります。
IPS/IDS製品を導入されていても、誤検知があることから、通信を遮断するのは業務影響が出るため、通信を停止するIPS機能は停止し、検知し記録するIDS機能のみで運用されている事例も多いです。

NDRもEDRを同じく、IPSが、マルウェア感染後の動作を100%近く検知・防御できるのであれば、全く不要な製品です。

NDRは、マルウェア感染後の不審なネットワーク上の動作を検知・記録する製品で、IPSが、きちんと通信制御できれば、そもそも不必要である

つまり、EDR、NDRは、そもそも前段のEPPやIPSがきちんと役割を果たしていれば、不必要な製品なのです。
不必要なのに関わらず、EDR、NDRの導入を行うとなると、SOCやCSIRTと言った運用体制が必須となります。
しかも、EDR、NDRともに当たり前ですが100%検知（記録）を保証するものではありません。

EDR/NDRはそもそも不要なものだが、導入するとSOC、CSIRTなどの運用体制が必要となり、管理負荷が増大する

EDR、NDRは高額だと言う話を聞きますが、そもそも不要なものなので、高額になるのは当たり前の話です。
社内のセキュリティ体制（CSIRT）や、セキュリティ人材が存在しないのに関わらず、EDR、NDR＋SOCサービスを利用されている場合がありますが、考え直された方がよいです。

最新型EPPについて

マルウェア対策ソフトが30%～40%検知できないから仕方ないのでは？と思われますが、もうかなり昔に最新型の次世代マルウェア対策ソフトがリリースされています。

EDRを第三世代とするのであれば、第四世代になりますが（EDR≠第三世代であれば、第三世代になる）最新世代は、AI型マルウェア対策ソフト（AI-AM）です。

もともとのマルウェア対策ソフトの原点に立ち返り、人間がコンピュータへ指示を行う機械学習（マシンラーニング）方式ではなく、コンピュータ自身が大量マルウェアデータを読み込みを行い自身で学習する深層学習（ディープラーニング）方式を採用することで、マルウェアのDNAを学習し、フレームワークを構築するものです。
深層学習ニューラルネットワークのフレームワークを採用するため、シグニチャ自体不要で、既知・未知を問わず、自律的にマルウェアを検知・駆除を行うことが可能です。
これまでのように限定されたファイル（.exeや、Officeファイル）だけではなく、数多くのファイル形式にも対応することが可能になっています。

実際に、無作為に収集されたマルウェア検体での静的解析（ファイル実行せずに分析を行う）検証結果では、レガシーEPP/EDRにおいては、60%～90%の検知率（10%～40%がすり抜ける）に対して、最新型EPPであるAI-AMでは、ほぼ100%の検知率となっています。

AI型マルウェア対策（AI-AM）は、マルウェアをほぼ100%検知・駆除が可能なのでEDRは不要。EDRが不要のため、SOCも不要

AI-AMの事例

実際に、世界有数の銀行がAI-AMのDeep Instinct（ディープ・インスティンクト）と、Trellix（テリックス）を直接対決させた結果となります。
※ テリックスは、McAfee EnterpriseとFireEyeの統合により誕生した新しいブランドですが、残念ながらレガシーEPPです。

DeepInstinct.pdf

322 KB

ファイルダウンロードについて

ダウンロード

有効性（Efficacy）：ディープ・インスティンクトは複数のファイルタイプやサイズにわたる既知および未知の脅威の約99％以上を防止しましたが、一方で、テリックスの有効性は遥かに低く劣っていました。
スケーラビリティ/スピード（Scalability/Speed）：Deep Instinct Prevention for Storage（以下、DPS）はパフォーマンスとスキャンスピード面でテリックスを大きく上回り、平均してファイルを約10倍速くスキャンしました。これは、固有の遅延を持つNAS環境で大きな利点となります。なぜなら、ローカルのディープラーニングモデルはクラウド呼び出しを必要としないためです。
展開の容易さ（Ease of Deployment）：銀行ではストレージセキュリティ向けに特別に設計されたDPSの展開および操作の容易さに高い評価を与えました。これには、実装と管理の効率化、直感的なポリシー構成、スキャン統計、可視性が含まれます。
総所有コスト（Total Cost of Ownership）：パフォーマンスデータに基づいて、銀行はディープ・インスティンクトによって500台未満のDPSサーバーでストレージ環境をセキュアに保つことができると判断しました。これは、テリックスで必要な3,200台のサーバに比べて、約2,700台の驚異的な削減が可能であり、かつ、優れた予防第一のサイバーセキュリティが確立できることになります。
結果、ディープ・インスティンクトへの切り替え
直接対決の評価が完了した後の選択は明らかです。その銀行はテリックスからディープ・インスティンクト（DPS）への置き換えを行い、NASインフラ全体で予防を標準化することが可能になりました。

EPP/EDRの市場調査結果について

Gartner Magic Quadrant for Endpoint Protection Platforms 2023

ガートナーのEPP、EDRのマジッククアッドランド（MQ）にAI型マルウェア対策（AI-AM）は選出されていないじゃないか？あるいは、ガートナーがリーダに選出している製品なのに、10%～40%がすり抜けるなんてあり得るのか？と思われる方が殆どかと思います。

日本国内でもっとも有名なのは、ガートナーのMQなので、これを製品採用の判断にされている日本企業が非常に多いですが、殆どの調査会社がそうですが、公的機関ではありませんし、あくまでも営利目的の企業となりますので、1つの調査会社の結果だけを鵜吞みにするのは危険かと思います。

ちなみに、全く関係ないですが、以下は、2024年7月に開催される日本のガートナーが行う「セキュリティ＆リスク・マネジメントサミット2024」のスポンサー企業の一覧となります。

ガートナー セキュリティ＆リスク・マネジメント サミット2024　出展企業

まとめ（最新型EPPだけで良いのか？）

それでは、最新型（第三世代）のAI型マルウェア対策（AI-AM）さえ入れておけば、他には何も必要ないのか？と言えば、そうではないです。

AI-AMも、必ず100%検知・駆除できる保証はないですし、そもそもエンドポイントのセキュリティだけでは、企業のセキュリティとしては十分とは言えません。

エンドポイント以外、企業内のネットワーク・セキュリティの保護、強化については、SASE（Secure Access Service Edge）が非常に有効であると言えます。

殆どのSASEには、IPSが含まれており、またNDRの一部の機能を含んでいます。また、最新のSASEについては、EPP機能を提供し、EDR連携を含めてXDR機能を提供するものもあります。

SASEについては、以下の記事にしていますので、こちらを是非ご覧ください。

きちんとしたEPP＋SASEで、非常にシンプルな構成となり、セキュリティも大幅に向上することが可能になります。
つまり、きちんとしたEPPを利用されて、SASE を採用されるのであれば、EDRやNDRは不要になります。

レガシーEPPでは、最近のマルウェア、ランサムウェア対策には殆ど役に立たないので、もしEDR/NDRを採用を検討されているのであれば、先にEPPの見直しを行い、EDR/NDRの前に、SASEの採用を検討された方がよいです。