EPPとは?EDRとの違い・進化するエンドポイントセキュリティを解説!
EPPとは?近年注目されているEDRとなにが違う?年々高まるマルウェアの脅威への対応を迫られる企業担当者なら知りたいはず。そんな方に向け、EPP / EDRそれぞれの概要や役割の違い、NGAV / XDRに代表される進化するエンドポイントセキュリティの現状を解説していきます。
EPPとは
EPP(Endpoint Protection Platoform)とは、文字通りエンドポイントをマルウェア感染から保護するセキュリティソリューションのこと。ここでいうエンドポイントとは、ネットワークに接続されたPC / モバイルデバイス / サーバなどの端末機器を意味します。
EPPの目的は、端末のマルウェア感染を「水際で防ぐ」こと。そのため、EPPはネットワークに侵入したマルウェアを検知・調査・分析し、端末へ感染する前に駆除・無効化する機能を持つことが一般的です。アンチウイルス(Anti-Virus)が、EPPソリューションの代表だといえばわかりやすいでしょう。
NGAVへと進化するEPP
EPPは、組織で利用する端末を保護する有効なソリューションではありますが、従来型のアンチウイルスは「未知のマルウェアへの対処は困難」な特徴がありました。なぜなら、既知のマルウェア情報と侵入したウィルスを照合して判別する「パターンマッチング型」検知方式を採用するソリューションがほとんどだったからです。
これでは、1日に100万個生み出されるともいわれる「未知のマルウェア」から、エンドポイントを保護できません。そこで登場したのが、次世代型といわれる「NGAV(Next Generation Anti-Virus)」です。NGAVはEPPの1つでもあるため「NGEPP(Next Generation Endpoint Protection Platoform)」と呼ばれる場合もあります。
NGAV / NGEPPの検知方法
NGAV / NGEPPと従来型アンチウイルスの違いは検知方法。パターンマッチング以外の多彩な検知方法に対応することで、NGAV / NGEPPは「未知のマルウェア」を高い確率で検知・駆除できます。ソリューションによっても異なりますが、NGAV / NGEPPの主な検知方法は以下の通り。
|
NGAV / NGEPPの検知方法 |
概要 |
|
AI / 機械学習検知 |
ウイルス攻撃の痕跡を収集し、AI / 機械学習で自動解析。 そのデータをもとにマルウェアを判別する |
|
振る舞い検知 |
挙動・動作パターンなど、 ウイルス特有の振る舞いをもとにマルウェアを判別する |
|
サンドボックス |
ウイルスだと断定できないファイルを仮想空間 (サンドボックス)で動作させ、 挙動を解析することでマルウェアを判別する |
EDRとは
進化を遂げるEPPの一方、別の方向性でエンドポイントを保護するため登場・進化してきたセキュリティソリューションが、近年注目の高まる「EDR」です。
EDR(Endpoint Detection and Responce)とは、文字通り端末に潜むマルウェアを検知し、適切に対処するセキュリティソリューションのこと。ウイルス感染してしまったエンドポイントをいち早く検知し、二次被害の拡大を最小限に抑えることがEDRの役割です。
EDRの復旧プロセス / 機能
エンドポイントを保護するセキュリティソリューションという意味では、EPPもEDRも同じ。ただし、EPPと目的の異なるEDRは、マルウェア検知後の復旧プロセスや機能が異なります。
|
EDRの復旧プロセス / 機能 |
概要 |
|
監視・検知 |
端末の操作・ネットワークの状況を監視し、 不審な挙動を検知した場合、レポート・アラートで管理者に通知 |
|
隔離 |
二次被害を最小限にとどめるため、 マルウェア感染した端末をネットワークから隔離 |
|
調査・分析 |
収集したログデータをもとに調査・分析し、 感染経路、原因、感染した端末を特定 |
|
復旧 |
ウイルス無効化、感染データ削除を実施して復旧 |
EPPとEDRの違い
ここまでの解説でお分かりのように、EPPとEDRの違いは「ソリューションの対応範囲」です。具体的には、マルウェア感染しないようエンドポイントを保護することを目的とするソリューションがEPP。それでもエンドポイントが感染してしまった場合の事後処理を目的とするソリューションがEDRです。
画像出典:エムオーテックス株式会社
NGAV / NGEPPの登場で、エンドポイントの保護能力が飛躍的に高まったEPPではありますが、マルウェア感染を100%防げるものではありません。つまり、マルウェア感染後の対処が「その後の被害を最小限に抑える」ポイント。巧妙化 / 高度化するサイバー攻撃を防ぐには、EPP / EDRを組み合わせたセキュリティ体制の構築が欠かせません。
進化するエンドポイントセキュリティ
ただし、EDRはマルウェア検出から復旧までを半自動化してくれるものの、対処するための人的リソースが必要です。EPP / EDRを導入したいが、コスト面でもリソース面でも難しい。そんな企業も少なくないかもしれません。
こうした悩みに応える形で登場したのが、EPP / EDRを統合したセキュリティソリューションです。別々のソリューションを導入するよりも、一連のオペレーションをシームレスに実行可能。「Symantec Endpoint Security」「WatchGuard EPDR」などが代表的なソリューションです。
一方、サイバー攻撃の巧妙化 / 高度化が進む現代では、EPP / EDRのみでセキュリティを担保することが難しくなっています。なぜなら、EPP / EDRが保護するのは「エンドポイント」に限られるから。こうした状況を踏まえ、より総合的な観点で登場した次世代セキュリティソリューションが「XDR(eXtended Detection and Responce)」です。
次世代セキュリティソリューション「XDR」
XDRとは、文字通りEDR(Endpoint Detection and Responce)を拡張(eXtended)したセキュリティソリューションのこと。具体的には、エンドポイントのみにとどまらず、電子メール、クラウド、サーバ、ネットワークなどのIT環境を総合的に保護する考え方で登場したソリューションです。
XDRは、ファイアウォール、EPP / EDRなどのセキュリティソリューションや、操作ログなどの情報を収集 / 一元管理し、悪意ある攻撃を分析します。たとえば、脅威の侵入経路がメールであった場合、件名 / 受信時間 / 感染源となったファイルを特定し、影響を受けたデバイスを封じ込めて復旧を目指します。
XDRで各種セキュリティソリューションのログを一元管理することで、個別対応を排除した集中管理を実現できることもメリット。まだまだ導入が進んでいるとはいえないXDRですが、今後の主流となっていくかもしれません。
主なEPP / EDRソリューションを紹介
EPP / EDRがどういうセキュリティソリューションなのか、どのような違いがあるのかは理解できた。しかし、導入を検討するにあたって具体的なソリューションも知っておきたい。そんな方に向け、主なEPP / EDRソリューション、NGAVツールをいくつか紹介しておきましょう。
|
ソリューション |
特徴 |
費用 |
|
Cybereason NGAV |
・あらゆるタイプの マルウェアに対応するNGAV ・AI振る舞いエンジンで ランサムウェアを防止・ファイル復元 ・ファイルレスマルウェアの 検知・ブロックに対応 |
要問い合わせ |
|
Symantec Endpoint Security |
・次世代EPPのEnterprise / EDRを統合したCompleteを選択可能 ・1つのエージェントのみで エンドポイント効果的に保護 ・オンプレミス / クラウド / ハイブリッド運用に対応 |
要問い合わせ |
|
WatchGuard EPDR |
・EPP / EDRを統合した セキュリティソリューション ・AIを活用したゼロトラスト アプリケーションサービス ・クラウドコンソールによる一元管理 |
要問い合わせ |
Cybereason NGAV
画像出典:Cybereason
Cybereason NGAVのおすすめポイント
- あらゆるタイプのマルウェアに対応するNGAV
- AIの振る舞いエンジンでランサムウェアを防止・ファイル復元
- ファイルレスマルウェアの検知・ブロックに対応
Cybereason NGAVは、サイバーリーズン合同会社が提供する次世代アンチウイルス / EPPソリューションです。パターンマッチング、機械学習による既知 / 未知のマルウェア検知はもちろん、振る舞い検知やAIを活用したあらゆる脅威の検知・ブロックに対応できることが特徴。9層の防御機能で効率的にエンドポイントを守ります。
OS正規ツールを悪用したファイルレスマルウェアに対応するほか、ランサムウェアを実行前に無効化し、暗号化されたファイルを自動復元することも可能。同社のEDR製品「Cybereason EDR」と組み合わせることで、効果を最大化可能です。
Cybereason NGAVの概要・実績・価格感
|
会社名 |
サイバーリーズン合同会社 |
|
主な機能 |
9層の防御機能で未知のウイルスを検知・ブロック、ファイルレスマルウェア対策機能 |
|
価格感 |
要問い合わせ |
|
導入実績 |
|
Symantec Endpoint Security
画像出典:Symantec
Symantec Endpoint Securityのおすすめポイント
- 次世代EPPのEnterprise / EDRを統合したCompleteを選択可能
- 1つのエージェントのみでエンドポイント効果的に保護
- オンプレミス / クラウド / ハイブリッド運用に対応
Symantec Endpoint Security(SES)は、EPP製品Symantec Endpoint Protectionを拡張したソリューションです。NGAVとして機械学習 / AI / 振る舞い検知などの防御機能を強化したSES Enterprise。そして、SES EnterpriseにEDR機能、AD防御機能を統合したSES Completeをラインナップ。ニーズにあわせてチョイスできます。
無償のクラウド型管理コンソールが提供されることもSESのポイント。すべての設定を1つのコンソールで変更できるため、管理者の負担を軽減できるだけでなく、設定変更のために出社する必要もありません。
Symantec Endpoint Securityの概要・価格感
|
会社名 |
SB C&S株式会社 |
|
主な機能 |
違反のシミュレートとレポート、脆弱性評価とパッチ適用、 セキュアな接続、エクスプロイト保護、振る舞い監視、高度な機械学習 ネットワークファイアウォール、EDR(Complete)、 AD保護(Complete)、驚異ハンティングサービス(Complete) |
|
価格感 |
要問い合わせ |
WatchGuard EPDR
画像出典:WatchGuard
WatchGuard EPDRのおすすめポイント
- EPP / EDRを統合したセキュリティソリューション
- AIを活用したゼロトラストアプリケーションサービス
- クラウドコンソールによる一元管理
WatchGuard EPDRは、同社のEPP製品、EDR製品を統合したセキュリティソリューションです。シグネチャーパターン、機械学習、振る舞い検知を組み合わせ、さまざまな脅威からエンドポイントを保護可能。クラウドベースのコンソールが用意されているため、エンドポイントの状況を一元管理可能です。
信頼できるプロセスのみ実行させるゼロトラストアプリケーションサービス、結果をEPDRに反映させる脅威ハンティングが提供されることもポイント。包括的なセキュリティサービスを享受できます。
WatchGuard EPDRの概要・価格感
|
会社名 |
ウォッチガード・テクノロジー・ジャパン株式会社 |
|
主な機能 |
未知の脅威の実行を防止するEDR、エクスプロイトの自動検知・ブロック、 振る舞いと攻撃指標の分析、スクリプト・マクロの検出、 URLフィルタリング・ファイアウォールなどのエンドポイント保護機能、 クラウドベースのコンソール、詳細なレポート |
|
価格感 |
要問い合わせ |
【まとめ】EPP / EDRを含むエンドポイントセキュリティを解説しました
EPPとは?近年注目されているEDRとなにが違う?年々高まるマルウェアの脅威へどう対応するか?そんな企業担当者に向け、EPP / EDRそれぞれの概要や役割の違い、NGAV / XDRに代表される進化するエンドポイントセキュリティの現状を解説してきました。
EPP / EDRは、どちらが優れているといった比較の対象ではありません。巧妙化 / 高度化する脅威からエンドポイントを保護するには、どちらも必要なソリューションです。まだ従来型のアンチウイルスを利用しているなら、まずはNGAV / EPPの導入から検討することがおすすめです。
