EPPとEDRの違いとは 両者の比較と組み合わせの効果についても解説
企業の情報セキュリティ対策において、ソリューションの導入と言うのは効果的かつほぼ必然的です。
とは言え、セキュリティ対策ソリューションには様々な種類があり、どれを選んでいいのか分からない、という場合も多いかと思います。
本記事では、そんな中から代表的なEPP、EDRについてそれぞれの概要から違いまで解説します。
目次
EPPについておさらい
EPPとは
EPP(Endpoint Protection Platform)、エンドポイント保護プラットフォームとは、その名の通り、エンドポイントにおけるマルウェア感染やサイバー攻撃の被害を防止するソリューションです。エンドポイントは、端末のことです。
端末内に侵入したマルウェアを検知し、駆除や隔離などの対応をとります。
マルウェアを検知する方法としては、既知のマルウェアに含まれるプログラムと対象を照合し、一致したものを検知するパターンマッチングの手法をとる場合が多いです。
AV(アンチウイルス)やNGAV(次世代アンチウイルス)などもEPPに該当します。
EPPの機能としては、下記が挙げられます
- 脅威の検知
- 脅威の隔離・遮断
- 脅威の分析とレポート
EPPが求められる背景
EPPが求められる背景としては、企業活動における情報の重要性およびその保護の必要性がましつづけていることです。
個人情報や重要情報が企業のサーバーやクラウド上に保管され、それらの多くはインターネットに接続されていることと思います。そのため、悪意ある第三者が不正にそうした情報にアクセスすることを防止する必要が生じ、その手段としてEPPが誕生しました。
EDRについておさらい
EDRとは
EDR(Endpoint Detection and Response)とは、ユーザの利用する端末における不審な挙動を検知し、迅速な対応をうながすソリューションです。
EDRの機能としては、下記が挙げられます。
- 脅威の検知
- 脅威への隔離・遮断
- 脅威の分析とレポート
EDRが求められる背景
近年のサイバー攻撃の高度化・ビジネス化が背景です。
EPPは既知の脅威に対する防御策として有効ですが、一方で、未知の脅威に対しては歯が立ちません。
近年では、サイバー攻撃が毎日膨大に生み出され続けていて、そのひとつひとつのパターンを追い続けるのは不可能になっています。
また、Emotet等、一部のマルウェアでは、自身を暗号化することでパターンマッチングを免れるという手法も見られます。
そこで、端末における異常な振る舞いを検知し、マルウェア感染における早期検知、隔離・遮断、分析、対応をしてくれるEDRが求められるようになりました。
EPPがマルウェアによる感染を防御するソリューションであるのに対し、EDRはマルウェアによる感染を早期に発見し、被害を防止するソリューションです。
EDRについて詳しくは「EDRとは 意味やウイルスソフトやUTMとの違いを解説」を参照してください。
EDRのメリット・デメリット
ここまで読んで、では、EDRだけ導入すれば最悪の事態は防げるのかな、と思った方もいるかもしれません。
EDRは確かにEPP出は防ぎきれない脅威を防止できる可能性がありますが、それだけでは不十分です。
EDRのメリット
未知のマルウェアも迅速な検知ができる
マルウェア感染が発生し、端末が脅かされ始めてからユーザや管理者が被害に気付くまで、意外にもラグがあることが知られています。一説によると、24時間が経過するまでに気付くか否かが大きな分水嶺になるとも言われます。
EDRを導入し、未知のマルウェアに対しても迅速な検知・対応ができることで、被害を抑えることができます。
マルウェアの感染拡大を防げる
また、EDR製品によってはマルウェアを検知したデバイスをネットワークから切断する機能を持っているものもあります。
これにより、当該端末から情報が流出するのを防げるのはもちろん、組織内の他の端末へとマルウェア感染が拡大していくのを防止することができます。
EDRのデメリット
導入・運用のコスト・リソースが膨大
EDRの導入・運用にかかるコストやリソースは膨大です。基本的に24時間365日体制でマルウェア検知にあたるEDRですが、それを管理し、検知・アラートに応じて対応するためには、人員が必要です。
せっかくEDRが迅速な検知をしても、対応に当たる管理者がいなければ、すでに端末に侵入したマルウェアによる感染拡大は進行していってしまうかもしれません。
精度は100%ではない
EDRは振る舞い検知による高度なマルウェア検知が可能ですが、それも100%ではありません。
端末に侵入してから一定時間は活動を開始しないマルウェアもありますし、そうでなくても、複雑な挙動によってEDRの検知をすり抜けてしまうものもあります。
また、逆にEDRの検知を繊細な設定にしすぎてしまった結果、誤検知に頭を悩ませてしまうケースもあります。
EDRだけでは不十分
これらのことから、EDRだけではマルウェア対策として万全とは言えないことがわかります。
EDRによる検知は100%ではないため、例えばEPPのような別手法で検知してくれるソリューションとの組み合わせは必要です。
また、EDRに頼りきりのセキュリティ体制では、過剰にコスト・リソースがかかってしまうため、他のソリューションとの組み合わせによるコスト・リソースの低減も必要です。
エンドポイントセキュリティのEDRとゲートウェイセキュリティのEPP
EPPはマルウェア感染を防ぐことが目的である一方で、EDRはマルウェア感染を迅速に検知し、被害の発生や拡大を防ぐことを目的としたソリューションです。
EPPだけの導入では、未知のマルウェアに対応することができません。
EDRだけの導入では、侵入の未然の防止はできませんし、検知・アラートの際の迅速な対応に遅れが生じれば、大きな被害が出てしまう不安な状態です。
ゲートウェイセキュリティ(エンドポイントの内側と外側の境界でマルウェアからエンドポイントを守る)とエンドポイントセキュリティ(エンドポイント内部でのマルウェアの発見・対応にあたる)の組み合わせで、より強固なセキュリティ環境を実現しましょう。
まとめ
EPPとEDRの違いについて解説しました。
それぞれのソリューションでカバー範囲やアプローチ方法が異なり、それぞれ防ぐことができない脅威が存在します。
両者を組み合わせて、抜け漏れないマルウェア対策を実現しましょう。