マルウェアをはじめとするサイバー攻撃の脅威は、年々巧妙化・高度化しています。どの企業においても、重要な情報を脅威から守るための対策が急がれる現状です。
近年、マルウェア対策として注目されている製品に「EDR」と「EPP」があります。名称は聞いたことがあるけれど、概要や違いがわからないという人も多いでしょう。本記事では、EDRとEPPの違いや導入ポイントを解説します。
目次
EDRとEPPの違い
サイバー攻撃対策を施す前に、EDRやEPPについて把握することが大切です。まずは、EDRとEPPの概要や違いを解説します。
EDRとは
EDRは「Endpoint Detection and Response」の略称で、パソコンやスマートフォン、サーバーなどネットワークに接続されているデバイスを「エンドポイント」といい、これらの保護を目的とした製品です。
EDRの大きな目的として、エンドポイントにおいて発生したサイバー攻撃や疑わしい動き、異常な活動をリアルタイムで監視・検出し、速やかな対応を施すことが挙げられます。つまり、エンドポイントに入り込んでしまった脅威に対して効果的な仕組みであり、従来のアンチウイルス対策では見逃される可能性のある攻撃の検知も可能です。
EPPとは
EPPは「Endpoint Protection Platform」の略称で、マルウェアに特化してエンドポイントを保護する製品です。従来のアンチウイルスソフトがベースになっており、より多機能化かつ高度な保護を提供するプラットフォームとして注目されています。
EPPの大きな特徴は、ネットワークに入り込んだ脅威を速やかに検知し、感染前に駆除したり、不正なファイルのダウンロードや実行時にブロックしたりする点です。
従来のアンチウイルスソフトのマルウェア検出手法は、パターンマッチング方式が採用されていました。パターンマッチングでは、既存のウイルスの行動パターンを元に識別するため、未知の脅威には対応できませんでした。
その点、EPPは、AI技術が搭載されており、学習機能によって新種や亜種のマルウェアも検出できるようになっています。
EDRとEPPの違いについて
EDRとEPPの違いは、以下の表の通りです。
| EDR | EPP | |
|---|---|---|
| 目的 | エンドポイントにおける脅威の検知、対応、調査 | エンドポイントの予防的な保護 |
| 主な機能 | ・脅威のリアルタイム検知・監視 ・ログ収集/分析 ・インシデント対応 | ・ウイルス対策 ・マルウェア防御 ・ファイアウォール |
| アプローチ | 脅威が発生したあとの検知と対応を重視 | 脅威が行動に移す前の予防を重視 |
| セキュリティ範囲 | ・未知の脅威にも対応 ・脅威発生後の調査も可能 | 既知の脅威の防御 |
| 対応能力 | ・攻撃が発生したあとの詳細なトレース ・攻撃の根本的な原因を分析 | ・サイバー攻撃のブロック ・基本的なウイルス駆除 |
| 運用 | 調査や対応に特化しており、セキュリティ運用チームに適している | 基本的な保護を提供するため、一般的なIT部門に適している |
| 主なターゲット | 高度な攻撃 | 既知の脅威 |
EDRとEPPは両方必要?
近年、マルウェアの脅威は高度化しており、エンドポイントを包括的に保護するためには、EDRとEPPの両方を活用したほうが効果的です。
そもそも、EDRとEPPの役割は異なり、基本的にEPPは既知の脅威をブロックする一方で、EDRはEPPをすり抜けた高度な攻撃を検知します。たとえば、ランサムウェアやファイルレス攻撃はEPPだけで対処することが難しく、EDRを備えておくと安心です。
また、EDRは攻撃を受けたあとにも詳細な分析を行うため、将来的な防御強化にもつながります。
ただし、EDRとEPPの両方を導入するには予算がかかる点は否めません。また、通常のIT部門だけでなく、高度なセキュリティ対策を施すための運用体制を整える必要もあります。予算や体制を踏まえたうえで、可能であれば両方導入することを検討しましょう。
EDRが注目される理由
EPPは、基本的なエンドポイントの保護をする製品であり、比較的低予算で導入可能です。こうした背景から、多くの企業がEPPを活用したセキュリティ対策を施しています。
しかし、近年は脅威に対する初動対応を速やかに行い、被害を最小限に抑えることを目的として、EDRの導入を検討する企業が増えてきました。ここでは、EDRが注目される理由を詳しく解説します。
テレワークが普及
新型コロナウイルス感染症の流行を機に、テレワークが広く普及しました。状況が落ち着いた現在も、柔軟な働き方や通勤費、オフィススペースの維持費削減を目的にテレワークを採用し続けている企業が多くあります。
従来は、社内でネットワークを利用するケースが一般的でしたが、テレワークの普及により社外ネットワークの利用が増加しました。これによりエンドポイントが各所に散らばり、攻撃者が狙いやすい環境になった点は大きな課題でした。
こうした、増加するエンドポイントの保護に役立つ製品がEDRです。テレワークでは、社内ネットワークに導入したファイアウォールやプロキシによる保護が受けられません。一方で、EDRは未知の脅威の検出に長けており、テレワーク中も安心してネットワークを使用できます。
セキュリティに対する考え方
テクノロジーやAI技術の進化は、ビジネスや生活面だけでなくサイバー攻撃も大きく変化させました。近年のマルウェア攻撃は、高度化・多様化が進み、より巧妙な手口が使われるようになっています。こうした状況を踏まえると、従来のウイルスソフトだけでは脅威から情報を守ることが不可能です。
未知のウイルスを完全に防御するためには、侵入前の対策を目的としたEPPに加えて、侵入後の防御や被害の拡大を食い止めるためのEDRの必要性が高まっています。
EDRのメリット
EDRにはさまざまなメリットがあります。ここでは、3つのメリットを詳しく解説します。
脅威を把握する
EDRの大きな特徴は、エンドポイントで発生する脅威を細かく把握し、速やかに対応する点です。
たとえば、攻撃者の侵入経路をマッピングし、どのように拡散したかを視覚的に表示できます。これにより、脅威に感染した原因を詳細に特定することが可能です。
脅威が広く拡散されてしまう理由として、原因や被害の状況が特定できない点が挙げられます。EDRであれば、脅威に見舞われている現状を的確に突き止め、可視化できるため、将来的な分析や監査にも活用しやすくなります。
感染後の対応が効率化
EPPは、感染する前の予防をメインとしている一方で、EDRは感染後の対応にも効果を発揮します。マルウェアの高度化が進むなかで、予防だけに重点を置いていては確実に情報を保護できません。感染することを前提とした製品であるEDRの導入によって、EPPをすり抜けた脅威に対して冷静に対応することが可能です。
万が一、マルウェアに感染した場合、被害を最小限に食い止めるには、できる限り早く対処する必要があります。
EDRであれば、異常を感知した際にリアルタイムでアラートが鳴り、感染デバイスをネットワークから自動的に切り離すため、他システムへの感染防止に効果的です。また、改ざんされたファイルやシステムを元の正常な状態に復元可能であり、速やかに通常業務に戻れます。
原因の特定ができる
万が一、脅威に見舞われた場合は、原因を特定して将来的な対策に活用することが大切です。EDRでは、感染に関するログの取得が可能であり、感染経路や感染の理由を根本的に特定できます。
EDRによって特定される主な情報は、マルウェアの被害に遭ったデバイスと侵入経路の2点です。ログが時系列で記録されているため、遡ると不正なプログラムが侵入した状況や端末を細かく把握できます。これにより、当該デバイスを速やかにネットワークから切り離し、被害の拡大を抑えることが可能です。
また、被害を受けたデバイスが特定できるので、原因となったプログラムやファイルを細かく追跡しやすい点も、EDRの魅力といえます。
EDRを導入する際の選定ポイント
近年、EDRは広く注目されており、さまざまなベンダーからリリースされています。そのなかから、ベストな製品を選ぶには、選定するポイントを押さえておくことが大切です。ここでは、EDRを導入する際の選定ポイントを4点解説します。
利用目的を明確にする
EDRと一括りにしても、製品によってサービス内容が異なります。EDRに特化した製品もあれば、EDRの機能を内包したものもあるため、自社にマッチした製品を選ぶことが大切です。
最適な製品を使用するためにも、事前に利用目的を明確にしておきましょう。たとえば、すでにEPPを使ったセキュリティ対策を施している場合は、EDRに特化した製品が適しています。EDRに関するコストのみが発生するため無駄がなく、導入の手間も抑えられるでしょう。
一方で、マルウェアの侵入防止から万が一感染した場合の対策まで一貫してサポートしてほしいという場合は、EDRの機能を内包した製品がおすすめです。
動作環境を確認する
EDR製品によって、対応しているデバイスやOSなどが異なるため、動作環境の確認も不可欠です。とくにOSのバージョンが古いと確実に脅威からデバイスを守れなくなる恐れがあります。
また、EDRではログを細かく分析することから、サーバに負荷がかかりやすい点も注意が必要です。加えてデバイスの台数もチェックし、EDRを導入した際、自社のサーバにどの程度影響があるか確認したうえで、製品を選ぶことをおすすめします。
そのほか、クラウド型・オンプレミス型も確認しておきたいポイントです。テレワークが多い企業では、場所を問わず管理できるクラウド型が適しているでしょう。
分析の精度を確認する
新種・亜種のウイルスが続々と現れている昨今、既知のマルウェアのみを検知するセキュリティでは、すべてのデバイスを守りきれません。脅威の高度化・巧妙化が進むなかで、未知のウイルスに対応するには、分析の精度が高いEDRを選ぶ必要があります。
ただし、高度な検知や分析が可能なEDRを採用する場合は、コストも嵩む点に注意しなければなりません。すでにEPPなどのセキュリティシステムを導入している場合は、予算のバランスを踏まえて検討するように留意しましょう。
コスト面を明確にする
前述したように、EDRは分析精度や対応範囲などによってコストが変動します。また、月額・年額などの課金形態も異なるため、導入や運用に向けたコスト面を明確にすることも重要です。
たとえば、導入時には費用が抑えられる製品でも、オプションをつけることで思わぬ出費につながる可能性もあるでしょう。EDRを導入する前には、ベンダーに初期費用とランニングコストの両方を確認して、予算にあった製品を選ぶ必要があります。
また、コスト面に加えて、運用にかかる手間や自社で対応するべき作業内容なども確認しておくと、導入後もスムーズな活用が可能です。
セキュリティ対策に「ibisStorage」がおすすめ
テクノロジーやAI技術が進化する昨今、マルウェアに代表される脅威も日々進化を遂げています。こうしたなかで、自社の大切な情報を守るためには、エンドポイントとなるデバイスの保護も欠かせません。
ibisStorage(アイビスストレージ)では、端末認証や接続元IP制限などの機能が搭載されています。いずれもエンドポイントを守るための機能であり、脅威を未然に防ぐことが可能です。
たとえば、端末認証では、未承認のパソコンからのアクセスをすべてブロックします。許可されたデバイスのみネットワークにつなげられるため、テレワーク中にも役立つ機能です。
また、接続元IP制限を使う場合、オフィスの固定IPを取得しておけばオフィス以外からibisStorageにアクセスできなくなります。
セキュリティ対策を検討している人は、ぜひibisStorageをご検討ください。
