ITアナリストが見るセキュリティ提案の今
NGAVとEDRを啓蒙し新たな商機を掴め!

2023年に入ってから、Emotetの活動が再び活発化してきています。こうした新たなマルウェアの攻撃を防ぐためにはNGAV(Next Generation Anti-Virus)やEDR(Endpoint Detection and Response)に対応したエンドポイントセキュリティ対策が不可欠です。なぜ、このタイミングでNGAVやEDRの導入提案が重要なのか?その背景を最新の市場調査データと共に見ていきましょう。

昨今では大企業のみならず、中堅・中小企業や零細企業に至る全ての企業がランサムウェアなどの脅威にさらされています。従来は「知らない送信元のメールは読まない」「怪しい添付ファイルは開かない」といった対処が定石でした。ですが、この数年間猛威を振るい続けているマルウェアの代表格とも言える「Emotet」は以下のような特徴を持っています。

  • 正規のメール授受に返信の形で入り込むなど、一見すると不正メールに見えない
    • →なりすまし攻撃

  • 添付ファイルがなく、本文中に記載したURLで不正サイトへ誘導する場合もある
    • →ファイルレス攻撃

  • 不正なプログラムを動かす代わりに、OSが標準で備える正規のツールを悪用する
    • →非マルウェア攻撃

図:従来型の攻撃とEmotetによる攻撃の比較

つまり、怪しいメールかどうか?に注意しつつ、添付ファイルのパターンを照合するといった従来型のセキュリティ対策では対処することが難しくなっているわけです。

一方、年商500億円未満のユーザ企業(有効回答件数1300社)に対して、セキュリティを始めとする守りのIT対策における課題を尋ねた結果の中から、回答割合の高い項目をピックアップしたものが以下のグラフです。

「守りのIT対策を担う社内人材が不足している」が35.1%、「従業員の守りのIT対策に対する意識が低い」が27.3%と高い値を示しており、ユーザ企業におけるセキュリティ対策の備えは万全とは言えない状況であることが確認できます。

つまり、マルウェアの攻撃手法が日々巧妙化する一方、ユーザ企業のセキュリティ対策は依然として不十分な状態であるわけです。そのため、「個々の従業員が送信元や添付ファイルに注意を払いつつ、既に見つかっている不正プログラムと同じかどうか?のパターンを照合する」といった後手の対策では到底防ぐことはできません。さらに、現代ではユーザ企業が利用するほぼ全てのPCが常にLANやインターネットに接続しています。1台のPCが攻撃を受けたことで、社内はもちろん顧客や取引先にも被害が及ぶ可能性があるのです。実際、Emotetにおいてもネットワークを介して短時間で多くの端末に拡大した事例が目立ちます。

つまり、今後のセキュリティ対策には

  1. パターン照合では対処できない新たな攻撃手法への対処
  2. マルウェアに感染した場合、影響を最小限に抑える対処

の2つをカバーしたセキュリティ対策が求められてきます。

1の対処を行うためにはパターン照合に頼らず、PC内で発生した異常な動き(振る舞い)を検知してマルウェアの侵入を防ぐ仕組みが必要です。2については、侵入されてしまった時にマルウェアを封じ込めて隔離する(外部との通信などを遮断する)という対処が有効です。主に1に対応するのがNGAV(=Next Generation Anti-Virus、次世代アンチウイルス)、2に対応するのがEDR(=Endpoint Detection and Response、エンドポイントの検知と対応)と呼ばれるセキュリティ製品/サービスの分野です。こうしたNGAVとEDRの組み合わせによって、未知の攻撃に対しても防御もしくは影響の最小化が可能となってきます。

さらにNGAやEDRに対応したセキュリティ対策ツールの多くはクラウドネイティブの方針を採用しています。ユーザ企業の社内に管理用サーバを置く必要がなく、PC側に導入するモジュールも最小限に抑え、クラウドサービスと連携しながら処理を行う設計です。これによって、サーバ導入/運用の負担がなくなります。PC側の処理も軽くなるため、様々なOSに対応しやすく、動作も軽快/迅速になります。

ところが、先程と同じ1300社のユーザ企業に守りのIT対策における今後の方針を尋ねた以下のグラフが示すように、「未知の攻撃でも防御できる製品/サービスを選ぶ」の回答割合は7.5%に留まっています。

既存の製品/サービスと比較すると、NGAVとEDRの認知度はまだ低い状態と言えます。ですが、認知が低いということは、NGAVとEDRを訴求することで新たな商機を獲得できることを意味しています。ITリセラーとしてはNGAVとEDRの必要性や重要性をユーザ企業に啓蒙し、それらに対応したエンドポイントセキュリティ対策ツール導入を提案することが、セキュリティ提案における今後の重要な差別化ポイントになってくると予想されます。

筆者略歴:株式会社ノークリサーチ シニアアナリスト
     岩上 由高(いわかみ ゆたか)博士(工学)

ITアナリスト歴15年目。ジャストシステム、ソニーグローバルソリューションズ、ITベンチャー企業数社でシステム開発/運用、プロダクトマネージャ、CTOなどの経験を積む。そこで培った知見と人脈を生かしながら、幅広いIT活用分野における市場調査とコンサルティングに従事。

DISは、NGAV機能/EDR機能を搭載した製品としてVMware社の提供するCarbon Black Cloudをご提案いたします。同製品が優れたセキュリティ機能を有することに加え、初めてEDR/NGAV製品をお取り扱いいただく販売店様にも安心してご提案いただける様にDISで(有償)構築支援サービスを提供できるセキュリティ製品として、自信をもっておすすめさせていただきます。

特別企画の記事