What is the difference between NGAV and EDR?

EDR and NGAV share a common purpose of helping organizations reduce risk by preventing cyberattacks. However, they differ in terms of when they are used and how they work. NGAV is the prevention component of endpoint security, which aims to stop cyber threats from entering a network. While the NGAV is an important first line of defense for the organization, it is not foolproof. No solution, no matter how advanced, can offer 100% protection. When threats circumvent an antivirus of NGAV solution, EDR detects that activity and allows teams to contain the adversary before they can move laterally in the network. To continue the analogy, if the NGAV is a first line of defense, then the EDR is a safety net which catches any threats that may slip past. In addition to detecting threats, EDR also gathers data about the attack, including the TTPs being used. This delivers contextualized information to the security team that includes attribution where relevant, providing details on the threat actor and any other information known about the attack. This helps the team respond to threats quickly and address them with precision in order to limit damage. Once contained, the EDR tool will also help the team gather more details on how the attack occurred and spread, making it possible to prevent similar attacks in the future.

Does my organization need both NGAV and EDR?

Given the increasing sophistication of adversaries and their constantly advancing and evolving TTPs, it’s important for organizations to leverage both an NGAV and EDR solution to strengthen their defenses. When prevention fails, your organization can be left in the dark by its current endpoint security solution. Attackers take advantage of this situation to linger and navigate inside your network. Without proper threat detection tooling in place, silent failures allow attackers to move around the environment freely for days, weeks or even months. Hackers can use this time to create back doors that allow them to return at will in the future.

EDRとNGAVの比較：違いを評価する方法

今日の脅威の状況の概要

最新の2023年版脅威ハンティング年次レポートの中で、クラウドストライクの脅威ハンターは対話型攻撃（脅威アクターが被害者の環境でハンズオンキーボードによって行う侵入活動）の確認件数が前年比で40%増加したと報告しました。またレポートによると、ブレイクアウトタイム（ネットワーク内での侵入者によるラテラルムーブメントの発生までに要する時間）が79分ほどになり、過去最短を記録した2022年の84分からさらに短くなっています。

2024年版脅威ハンティングレポート

クラウドストライク2024年版脅威ハンティングレポートでは、245を超える現代の攻撃者の最新の戦術を明らかにし、これらの攻撃者がどのように巧妙化し続け、正当なユーザーの振る舞いを模倣しているかを示しています。侵害を阻止するためのインサイトをこちらから入手してください。

今すぐダウンロード

攻撃の速度と発生件数が増加した原因として、次のような理由が考えられます。

COVID-19パンデミックと在宅命令。人々がオンラインに費やす時間が大幅に増えました。
リモートワークへの移行（これまでもその傾向は見られましたが、COVID-19をきっかけに急速に広がりました）。組織の攻撃対象領域が増えました。
接続デバイスとIoTテクノロジーの急拡大。サイバー犯罪者から見ると、攻撃の対象となるエントリポイントが大幅に増えたことになります。
クラウドへの移行。従来のオンプレミスネットワークとは根本的に異なるセキュリティ戦略が必要になります。
5Gテクノロジー。接続デバイスの使用がさらに広まっています。
ハッカーによる「as-a-service」の利用。ランサムウェアやその他のマルウェア攻撃が、個人としてそうした攻撃を実行するには専門知識が不足している人でも可能になります。

ここに挙げた傾向に加え、攻撃者の巧妙化が進み、戦術、手法、手順 (TTP) が継続的に進歩していることで、サイバーセキュリティの包括的な戦略とツールを開発、展開する必要があります。さらに、サイバー脅威検知から重要な教訓を学び、攻撃がどのような攻撃者によってどのような戦術で行われたかを分類する必要があります。

この記事では、あらゆるサイバーセキュリティアーキテクチャにとって最も重要な2つの要素であるエンドポイントでの検知と対応 (EDR) と次世代アンチウイルス (NGAV)、およびこうしたツールを選択して幅広いサイバーセキュリティ戦略に統合するときに組織で考慮すべきポイントを見ていきます。

概要：EDR（エンドポイント検知・対応）

EDR（エンドポイント検知・対応） は、エンドポイントデバイスを継続的に監視し、エンドポイントデータを分析することにより、サイバー脅威を検知および軽減するサイバーセキュリティソリューションです。

すべてのエンドポイントで今何が起こっているかをリアルタイムで継続的かつ包括的に可視化することで、EDRソリューションが機能します。次に、振る舞い分析と実用的なインテリジェンスをエンドポイントデータに適用して、インシデントが侵害へと発展することを防ぎます。

以下の機能を備えていれば、真のEDRツールと言えます。

インシデントデータの検索と調査
アラートのトリアージまたは不審なアクティビティの検証
不審なアクティビティの検知
脅威ハンティングまたはデータ探索
悪意あるアクティビティの阻止

NGAV（次世代アンチウイルス）とは

NGAV（次世代アンチウイルス） は、人工知能 (AI)、振る舞い検知、機械学習 (ML) アルゴリズム、エクスプロイト緩和を共に活用して、既知と未知の脅威の両方を予測して防御するサイバーセキュリティツールです。

従来のアンチウイルスソリューションと異なり、NGAVはクラウドベースであるため、エンドポイントに過度に負担をかけることなくすばやく展開できます。また、ソフトウェアの保守、インフラストラクチャの管理、シグネチャデータベースの更新に伴う負担を排除または大幅に削減します。

NGAVソリューションには次の機能があります。

ファイルレス型攻撃を含む、既知/未知の脅威を検知します。
クラウドベースのアーキテクチャは、エンドポイントのパフォーマンスに影響を与えず、追加のハードウェアやソフトウェアを必要としません。
実装と更新が迅速かつ簡単です。

Expert Tip

このブログでは、従来型アンチウイルスとはどのようなもので、なぜ今日の脅威に対処できないのかと、最新のエンドポイントセキュリティで優れた保護対策を実現する4つの方法をご紹介します。

NGAVとEDRの違いとは

EDRとNGAVは、サイバー攻撃を防御して組織のリスク軽減を支援するという共通の目的を持っています。ただし、どのようなときに使用し、どのように機能するかという点に違いがあります。

NGAVはエンドポイントセキュリティの防御を担うコンポーネントであり、その目的はサイバー脅威がネットワークに侵入するのを阻止することです。NGAVは組織にとって重要な防御の最前線ですが、完璧ではありません。ソリューションがどれほど高度であっても、100%保護できるものはありません。

脅威がNGAVソリューションのアンチウイルスをすり抜けても、EDRがその活動を検知するため、ネットワーク内で攻撃者によるラテラルムーブメントが発生する前に封じ込めることができます。この比喩でNGAVが防御の最前線だとすると、EDRは気づかないうちにすり抜けた脅威を捕捉するセーフティネットだと言えます。

EDRは、脅威を検知するほかに、使用されているTTPなど攻撃に関するデータを収集します。これにより、関連する場合は属性、脅威アクターの詳細、攻撃について既知のその他の情報など、コンテキスト化された情報がセキュリティチームに提供されます。そのため、脅威にすばやく対応し、的確に対処して被害を抑えることができます。封じ込めに成功したら、攻撃がどのように発生し拡散したか、EDRツールを使って詳しい情報を収集して、今後同様の攻撃を回避できるようにします。

NGAVとEDRは両方必要か

攻撃者の巧妙化はますます進み、そのTTPは継続的に発展、進化し続けているため、NGAVとEDRの両方のソリューションを利用して防御を強化することが重要です。

防御に失敗すると、組織は現在のエンドポイントセキュリティソリューションからは把握できない問題を抱えたままになります。攻撃者はこの状況を利用して、ネットワーク内に留まり、活動を続けます。

適切な脅威検知ツールを導入しないと、サイレント障害により攻撃者が環境内を何日も何週間もさらには何か月も自由に移動することが可能になります。ハッカーはこの機会を逃さず、将来意のままに環境に戻れるようにバックドアを作成するでしょう。

EDRとNGAVの優れた機能を組み合わせる必要があるか

NGAVとEDRのほとんどのシステムはそれぞれ独立したソリューションですが、まったくのスタンドアロンツールというわけではありません。個別に展開することも望ましくありません。

むしろ、これらのツールが互いに補完し合うようにし、組み合わせて使用してセキュリティポスチャ全体を強化するべきです。さらに、これらのツールを組織の包括的なサイバーセキュリティ戦略とアーキテクチャ内に統合することをお勧めします。これにより、脅威ハンティングといったセキュリティ機能を強化し、そのうえアイデンティティおよびアクセス管理 (IAM)、多要素認証 (MFA)、ゼロトラストに関して明確で説得力のあるポリシーを規定できるようになります。

単一のソリューションで完全な保護は提供できないため、多層的なセキュリティ戦略を策定して個々のツールに見られるギャップと限界を埋めるようにすると有益です。そうしたギャップなどが往々にして攻撃者が最も狙いやすいポイントになるからです。

エンドポイント保護バイヤーズガイド

NGAVやEDRといったサイバーセキュリティツールセット内の要素を評価するときに、数ある重要な特長と機能のどこに注目すればよいかをご確認ください。詳細な評価をご覧ください。サイバーセキュリティツールやパートナーを選ぶときに必要な機能、評価基準、尋ねるべき質問について説明しています。

今すぐダウンロード

NGAVとEDRのソリューションを評価する方法

この数年サイバーセキュリティに参入するベンダーが増え続け、組織固有のニーズに適したツールを選択することが難しくなっています。

ここでは、NGAVやEDRなどのエンドポイント保護ツールを評価し選択する際に確認するべき最も重要な基準をいくつか詳しく見ていきます。

統合：NGAVやEDRソリューションを選択する際に考慮すべき重要な要素として、オンプレミスの管理インフラストラクチャの必要なしに、広範なサイバーセキュリティアーキテクチャと統合できることがあります。重要な検討事項は次のとおりです。

脅威インテリジェンスと統合して、環境内の脅威の発生源、影響、重大度を直ちに評価し、脅威に対応し修正する最善の方法を把握できるかどうか
広範なアプリケーションプログラムインターフェース (API) を利用して、さまざまなアプリケーションに接続し、タイムリーかつ効率的にデータ共有を共有できるかどうか
デバイス制御、ファイアウォール、脅威ハンティングといったセキュリティツールやソリューションなど、密接に関係するテクノロジーと統合できるかどうか

クラウドベースのソリューション：エンドポイントへの影響をゼロにし、リアルタイムの検索、分析、調査を可能にするためには、クラウドテクノロジーを活用する以外に方法がありません。クラウドネイティブなEDRとNGAVを導入すると、展開にかかる時間が短くなり、エンドポイントのパフォーマンスが向上し、ITチームが担う運用が容易になります。

高度なテクノロジー：EDRとNGAVのどちらのソリューションも、AI/ML、振る舞い保護、エクスプロイト緩和など革新的なテクノロジーを利用して、コモディティマルウェア、ゼロデイマルウェア、さらには高度なマルウェアフリー攻撃など攻撃者が組織を侵害するために使用するTTPを防御する必要があります。こうしたTTPは急速に変化するので注意が必要です。NGAVの場合、シグネチャベースの方法や侵害の痕跡 (IOC) にのみ依存すると、データ侵害を許す「サイレント障害」につながることがあります。一方、効果的なエンドポイントでの検知とインシデント対応には、攻撃の痕跡 (IOA) を見つけ出すための、振る舞いに基づくアプローチが必要です。これによって、侵害が発生する前に疑わしいアクティビティについてのアラートを受け取ることができます。

オンラインとオフラインでの防御：エンドポイントは、オフラインかオンラインかに関係なく保護する必要があります。エンドポイントでデータ処理と意思決定をサポートするソリューションを導入すると、検知と防御を高精度に実施し、エンドポイントを使用中かどうかに関係なくどこでも保護できます。

即座に価値を実現：今日のサイバーセキュリティを取り巻く状況では、時間が重要な要素となります。ハードウェアやソフトウェアを追加したり、チューニングや設定を行ったりすることなく、EDRとNGAVソリューションを数時間で展開して運用できれば、組織のセキュリティポスチャが大幅に強化されます。

Falcon Preventのトライアル

アン・アーネス（Anne Aarness）は、カリフォルニア州サニーベールを拠点とするクラウドストライクの製品マーケティング担当シニアマネージャーです。

EDRとNGAVの違い

今日の脅威の状況の概要

2024年版脅威ハンティングレポート

概要：EDR（エンドポイント検知・対応）

NGAV（次世代アンチウイルス）とは

Expert Tip

NGAVとEDRの違いとは

NGAVとEDRは両方必要か

EDRとNGAVの優れた機能を組み合わせる必要があるか

エンドポイント保護バイヤーズガイド

NGAVとEDRのソリューションを評価する方法

クラウドストライクを15日間無料でお試しください

クラウドストライクを15日間無料でお試しください

EDRとNGAVの違い

今日の脅威の状況の概要

2024年版脅威ハンティングレポート

概要：EDR（エンドポイント検知・対応）

NGAV（次世代アンチウイルス）とは

Expert Tip

NGAVとEDRの違いとは

NGAVとEDRは両方必要か

EDRとNGAVの優れた機能を組み合わせる必要があるか

エンドポイント保護バイヤーズガイド

NGAVとEDRのソリューションを評価する方法

特集記事

EDR（エンドポイント検知・対応）

EDR、MDR、XDRについて

エンドポイントセキュリティ

クラウドストライクを15日間無料でお試しください

クラウドストライクを15日間無料でお試しください

トライアルを開始

会社

パートナー

既存のお客様

サポート