EPP(Endpoint Protection Platform)とは、PCやスマートフォン、タブレット、サーバ、プリンターなどのエンドポイント(通信ネットワークに接続された端末や機器)を保護するセキュリティ製品のことです。「エンドポイント保護プラットフォーム」とも呼ばれています。
EPPの主な目的は、マルウェアによるウイルス感染などを未然に防止することです。マルウェア(malware)とは、コンピューターやユーザーに被害をもたらすことを目的としている、悪意のあるソフトウェアやプログラムのことを指します。
エンドポイントにマルウェアなどが侵入すると、企業などのネットワークに拡がり、そこから機密情報や個人情報などが盗まれるといった被害につながります。マルウェアの侵入によるセキュリティ事故を未然に防ぐためにも、EPPによるセキュリティ対策が必要とされています。
EPPには様々な検出方法があり、複数の検出機能を組み合わせた上でマルウェアの検出や駆除を行います。EPPの主な検出方法は「パターンファイル活用による検出」と「振る舞い検知」「次世代アンチウイルス」の3つです。
既知のマルウェアを検出できる「パターンファイル」
パターンファイルとは、既知のマルウェアの特徴を記録したファイルのことです。マルウェアは不正なプログラムを実行し、ウイルスなどを拡大させることがあります。
パターンファイルは、以下の手順でマルウェアの検出に活用されます。
① マルウェア感染の疑いがあるファイルを検出し、ファイル内のコードを読み込んでマルウェアを実行するコマンド、マルウェア独自のパターンが存在するかを確認する。
②検出したファイル内のコードとEPP製品のデータベースにある「定義ファイル」を比較し、マルウェアかどうかを判定する。
③特定のファイルを識別するファイルハッシュとマルウェアのハッシュ値を比較し、一致しているかどうかを確認する。
パターンファイル活用による検出は、既にマルウェアと分かっている情報をもとにして行います。
未知のマルウェアを検出できる「振る舞い検知」
振る舞い検知とは、プログラムの挙動に着目し、不審な動作をするプログラムをマルウェアと判定する検出方法です。マルウェアは、コードを改変することで新しいタイプのマルウェアを簡単に作ることができます。振る舞い検知では、プログラム自体の挙動や振る舞いを検知し、未知のマルウェアを検出します。
既知・未知どちらにも対応できる「次世代アンチウイルス」
次世代アンチウイルス(Next Generation Anti-Virus)とは、AIや機械学習の技術を活用した検出方法、またはセキュリティ製品のことを指します。NGAVでは既知・未知を問わず、様々な種類のマルウェアを検出することができます。