EPP・EDRとはどのようなもの?違いや機能を徹底解説
「EPPとEDRはどう違う?」
「導入するときはどちらか一つを選択するの?」
このように、エンドポイントのセキュリティ対策で悩んでいる人もいるでしょう。
EPPとEDRはいずれもエンドポイントを対象にしたセキュリティシステムですが、それぞれ異なる機能を持ち、併用することで効果的なセキュリティ対策が可能です。
なお、エンドポイントとはネットワークに接続するための端末や機器のことで、PCやスマートフォンなどを指します。
本記事では、EPPとEDRの機能や違い、エンドポイントセキュリティ対策の必要性をまとめました。
記事を読み終える頃には、効果的なエンドポイントセキュリティ対策を実施できるでしょう。
目次[非表示]
■モバイルデバイスに必要なセキュリティ対策についてはこちら
EPP・EDRとはどのようなもの?
EPPやEDR とは、いずれもエンドポイントのセキュリティ対策システムです。
「そもそもエンドポイントとは何のこと?」と、疑問に感じる人もいるでしょう。
ここでは、エンドポイントやEPP・EDRのそれぞれを詳しく解説します。
エンドポイントとは
エンドポイントとは、ネットワークに接続するための端末や機器のことです。
IT用語の1つで、ネットワークの終点を表し、ユーザーが操作するPCやタブレット端末・スマホなどを指します。
エンドポイントは、企業データへの入り口であり、本質的に攻撃に対して脆弱であるため、マルウェアから狙われやすいといわれています。
また、エンドポイントは、ユーザーが直接操作するものです。
そのため、ユーザーの行動に起因するセキュリティリスクが伴うことが考えられます。
さらに、エンドポイントとなる端末の種類やアクセスする場所は、増加傾向にあります。
オフィスに置き換えると、PCやスマホなど従業員の数以上にエンドポイントが存在する可能性があり、それだけリスクを抱える可能性がある点を覚えておきましょう。
EPPとは
EPPとは、エンドポイント保護プラットフォームのことです。
正式な英語表記は「Endpoint Protection Platform」となり、マルウェア感染の防止に特化したシステムを指します。
そもそもマルウェアとは、コンピュータウィルスやワームなどを含む悪意のあるソフトウェアの総称です。
エンドポイントにダウンロードされたマルウェアを検知し、自動的に駆除したりマルウェアが実行されないように隔離する機能を提供します。
エンドポイント端末に対して、マルウェアの侵入を防ぐ「盾」のような役割を担う点が特徴です。
これまでは、シグネチャをもとにしたマルウェア検出がメインでしたが、現在は振る舞い検知や機械学習などの技術も採用されています。
なお、シグネチャとは、マルウェアの特徴的なデータ断片や受信データパターンなどのことです。
一般的なアンチウィルスソフトでは、シグネチャのログをもとにマルウェアを特定しています。
関連記事:EPPの機能や仕組みとは?購入時に選びたい機能も紹介
EDRとは
EDRとは、エンドポイントのふるまいを監視することで不審な挙動の検知と対応を行うセキュリティシステムです。
正式名称は「Endpoint Detection and Response」となり、マルウェア侵入後の対応を支援するシステムを指します。
たとえば、マルウェア感染した端末がさらなる不正プログラムをダウンロードする挙動を捕捉したり、C&Cサーバとの通信を捕捉することで、セキュリティ侵害の予兆を検知できるようになります。
また、マルウェアの侵入経路を調査する場合に、ログをもとに情報提供が可能です。
EDRは、エンドポイント端末にマルウェアが侵入した後の感染拡大を防ぎ、迅速な対応を促します。
EDRについては、こちらの記事で詳しく解説しています。
導入で得られる効果も紹介しているので、ぜひ参考にしてください。
EPPとEDRの違い
EPPとEDRの違いを以下の表にまとめました。
EPP |
EDR |
|
役割 |
マルウェアの侵入を防ぐ |
マルウェア侵入後の感染拡大を防ぐ |
機能 |
マルウェアの攻撃を検知 |
リアルタイム検知 |
検出方法 |
シグネチャ |
ログをもとにリアルタイムで検知 |
EPPとEDRの主な違いは「マルウェアに対してどのタイミングでアプローチするか」です。
マルウェアに侵入される時点を軸に考えると、マルウェアの侵入を防ぎたい場合はEPP、マルウェアの侵入後に対処したい場合はEDRとなります。
また、EPPの検出方法は一般的にシグネチャやパターンマッチングをもとに行いますが、中には振る舞い検知や機械学習によるものもあります。
一方で、EDRはログをもとにリアルタイム検知を行うため、迅速な対応が期待でき、後からログを参考に対策することも可能です。
EPPとEDRは、いずれもエンドポイントのセキュリティ対策システムとなりますが、それぞれ異なるタイミングで力を発揮するため、どのように使用するかよく検討しましょう。
EPPとEDRは併用したほうがよい?
結論からいうと、EPPとEDRは併用がおすすめです。
EPPは、エンドポイントに対する脅威の予防が主な目的となります。
一方で、EDRはエンドポイントに発生したセキュリティイベントや脅威を検出して分析・対応する能力を重視するシステムです。
互いの強みを組み合わせて、マルウェアの侵入前・侵入後の両方のセキュリティ対策を講じることができます。
併用することで、強度の高いセキュリティ対策が可能です。
EDRが注目されている背景
エンドポイントのセキュリティ対策として一般的なのは、EPPの導入です。
しかし、近年サイバー攻撃の高度化や巧妙化が進み、マルウェアの侵入を完全に防ぐことが難しくなりました。
EPPだけでは防御しきれない部分を補う役割として、EDRが注目されています。
ここでは、EDRが注目される背景を詳しく紹介します。
マルウェアを早期発見できる
EDRは、ログをもとにリアルタイムで監視するため、マルウェアをすばやく発見できます。
実際にマルウェアの侵入を検知してから影響範囲の特定を迅速に行うため、事故発生から対応までの時間を短縮できます。
EPPの「盾」をかいくぐったマルウェアを早期に検出・分析するので、被害が拡大する前に必要な対策を講じることができます。
テレワークへの対策もできる
EDRの導入により、テレワークへの対策も可能です。
テレワークの普及により社内と社外の区別が曖昧になり、スマホやタブレットなどの端末のリスクが増加傾向にあります。
エンドポイントを保護するには精度の高い検知や迅速な復旧対応が求められますが、EDRを導入することでテレワーク中の被害にも適切な対処ができます。
たとえばテレワークを行っている誰かのPCでマルウェアの侵入を許した場合、オフィスにいないためどうしても対応が遅れることが予想されるでしょう。
この場合、EDRにより適切な対処法を提供してもらうことで、迅速な対応が可能です。
このように、テレワークの普及や端末の増加によりマルウェア被害のリスクが高くなるため、エンドポイントの適切なセキュリティ対策が求められます。
被害の詳細を把握できる
EDRを導入することで、被害の詳細を把握できます。
EDRによって集められた情報は、サーバ上にログとして蓄積されるためです。
現にマルウェアの侵入を検知すると、早急に原因の究明や侵入経路の特定、影響範囲などが調査されます。
調査結果が記録されるため、攻撃の手口や被害範囲などを詳細に把握でき、十分な対策の検討が可能です。
EPP・EDRと関係性のある4つの用語
IT用語には、EPPやEDRのように英語の頭文字を並べた言葉が多く存在します。
その中でも、EPPやEDRと関係性のある4つの用語を紹介します。
NGAV(Next Generation Anti-Virus)
NGAVとは「次世代型アンチウィルス」のことで、振る舞い検知や機械学習などの技術を使用してマルウェアの検出をします。
EPPの1つで、複合的な検知方法を用いる点が特徴です。
すでに知られているマルウェアだけではなく、未知のマルウェアや高度な持続的脅威なども検知できるため「次世代型」と注目されています。
振る舞い検知とは、プログラムの挙動や行動パターンをもとにマルウェアかどうかの判断を行う手法です。
そのため、シグネチャの存在しない未知のマルウェアも検出できます。
また、機械学習とはアンチウィルス自身が膨大なデータを自動で学習することで、そこで得たデータを解析してマルウェアの検出を行います。
マルウェアを高精度で検知する点が魅力で、振る舞い検知と相性がよく、未知の脅威に備えられるでしょう。
DLP
DLP(Data Loss Prevention)とは、情報漏洩を防止するためのセキュリティシステムです。
たとえば、個人情報・社内の機密データなど、漏洩や消失を回避したい重要な情報のみを監視して防御します。
機密データの漏洩は、企業の信頼を失う可能性のある重大な脅威です。
そのため、多くの企業で機密データにアクセスする際はIDやパスワードを入力する方法を採用しています。
不特定多数がアクセスできないようにしています。
しかし、この方法は内部からの情報漏洩に弱いです。
DLPは、機密データの監視だけではなく、送信やコピーの制限ができるため、外部・内部を問わず情報漏洩対策を強化したい企業に注目されています。
NDR
NDR(Network Detection and Response)とは、ネットワークのトラフィックを収集・監視して異常を検知するシステムです。
EPPやEDRはエンドポイントのセキュリティ対策のため、監視する対象が異なります。
EDRと同様に、リアルタイムで異常の検知が可能です。
迅速な対応によって、マルウェアの感染拡大や情報漏洩の被害を最小限に抑えられます。
NDRとEDRを組み合わせることで、ネットワークからエンドポイントまでのセキュリティ対策を網羅できるでしょう。
XDR
XDRとは、エンドポイントを監視するEDRとネットワークを監視するNDRの機能が統合されたものです。
XDRは「Extended Detection and Response」の略称で、「Extend」は拡張を意味します。
エンドポイントとネットワークのどちらに対してもインシデント調査を行えるため、真の原因を特定し、脅威の封じ込めが可能です。
NDRとEDRの組み合わせと同様の効果が期待できます。
EDRサービスを選ぶ際の3つのポイント
EDRサービスを選ぶ際のポイントを3つ紹介します。
EPPだけで不安な場合は、EDRの導入がおすすめです。
選ぶ際のポイントを把握して、自社にあったEDRサービスを選択しましょう。
対応範囲と検出能力が十分であるか
自社のセキュリティ要件を把握して、対応範囲や検出能力・分析機能が十分であるかを確認しましょう。
マルウェアの検知に使用するアルゴリズムは、サービスによって異なるためです。
そもそも自社のセキュリティ対策として適切なものでなければ、導入する意味がありません。
自社の環境をしっかりと把握したうえで、適切なシステムを導入しましょう。
自社環境との親和性があるか
EDRを比較選定する際は、自社環境との親和性があるかを確認しましょう。
親和性を無視して、一からシステムを構築すると膨大な費用が必要となり、導入までに時間を要します。
導入済のセキュリティシステムとの親和性を考慮することで、導入コストも抑えられ、できるだけ早いタイミングでの導入が可能です。
運用サポートが充実しているか
EDRシステムの機能性だけではなく、運用サポートが充実しているかを確認しましょう。
EDRの運用やメンテナンスには、専門的な知識が必要となるためです。
実際にトラブルが起きた際に、自社のエンジニアでは対応できない可能性もあります。
適切な対処ができる専門のエンジニアからのサポートが受けられるかなど、運用サポートの充実度を考慮しての選択が重要です。
モバイルデバイスを管理するならMDMとの併用もおすすめ
モバイルデバイスを管理するならMDMとの併用もおすすめです。
MDMとは、従業員が使用するスマホやタブレットなどの端末を管理する仕組みを指します。
MDMの主な目的は、セキュリティです。
パスワードの長さやロック画面の解除方法、インストールできるアプリなどのルールを定め、従業員の端末に適用します。
違反を起こすと、警告表示されたり管理者に通知されたりします。
EDRはマルウェアのような「目に見えない脅威に対する対策」ですが、EPP やMDMはエンドポイントの使い方を定めて「目に見えない脅威を未然に防ぐ対策」といえるでしょう。
コネクシオでは、15年以上にわたって57万回線以上のモバイル端末の運用管理に携わってきました。
導入から運用まで法人携帯に関するお悩みの解決をサポートいたします。
ヒアリングをもとに顧客にあったMDMのご提案も可能ですので、EPPやEDRだけでなくMDMにも興味がある人は、ぜひ相談してみましょう。
関連記事:【MDM(モバイルデバイス管理)とは?】できることや導入メリットをわかりやすく解説!
EPP・EDRはいずれもエンドポイントのセキュリティ対策を担う
EPPやEDRは、いずれもエンドポイントのセキュリティ対策を担うシステムです。
EPPはマルウェアの侵入を防ぎ、EDRは侵入したマルウェアの検知や対策を支援します。
どちらもエンドポイントに対するセキュリティ対策ですが、対象範囲が異なるため、併用することでより高度なセキュリティ対策が期待できるでしょう。
また、ビジネスでスマホやタブレットなどのモバイル端末を導入する場合は、MDMとの併用もおすすめです。
エンドポイントの数が増えるほど入念なセキュリティ対策が必要となるため、自社の使用状況を考慮したセキュリティ対策を選択しましょう。
■合わせて読みたいページ
