EPP（Endpoint Protection Platform）とは、PCやサーバー等のエンドポイントを、マルウェアなど脅威の侵入から保護する、セキュリティソリューションです。アンチウイルス（AV）、ウイルスソフトなども、EPPに含まれます。

多くのサイバー攻撃において起点となるエンドポイントへのセキュリティ対策は必須事項であり、強力なEPPを含むセキュリティ対策は、今や企業にとって欠かせません。

従来アンチウイルスは、既知のマルウェアに関するデータベースとの比較で脅威を識別する、「シグネチャ型」の検知方法が主流でした。しかし昨今は未知のマルウェアにも対策するため、振る舞い検知や機械学習を採用した、高精度なEPP製品も増えてきています。

また、EPPとあわせて検討すべきセキュリティ対策に「EDR」があり、両者は「事前防御」「事後対応」といった異なる目的を持ちます。相互に補完的な役割を備えており、EPPとEDRを併用することで、さらに堅牢なエンドポイントセキュリティを構築することが可能です。

また、エムオーテックス（MOTEX）では、EPPとEDRとの機能・役割の違いをわかりやすくまとめた、お役立ち資料をご用意しました。ぜひ合わせてご活用ください。

EPPとは？

EPP（Endpoint Protection Platform）とは、PCやスマートフォン、サーバーなどのエンドポイントを、マルウェア感染やサイバー攻撃から保護することを目的とした、セキュリティ製品の総称です。

「エンドポイント保護プラットフォーム」とも呼ばれ、エンドポイント内に侵入しようとする脅威を、水際で防ぐのがEPPの役割です。セキュリティ対策として広く知られる、ウイルス対策ソフト（アンチウイルス）は、EPPに該当します。

以前までのEPPは、定義ファイルを用いたシグネチャ型の検知方法によって、マルウェアを検出する製品が一般的でした。しかし最近では、既存の脅威だけでなく未知のマルウェアも検知するため、振る舞い検知や機械学習などを取り入れたEPPも登場しています。

この未知のマルウェア検知にも対応したアンチウイルスを、「NGAV（次世代型アンチウイルス）」と称するケースもあります。

※シグネチャ型…マルウェア検出方法の1種。データ通信時、既知の攻撃パターンやマルウェアのパターンを集約したデータベース（定義ファイル）と照合し、マルウェアを検出する。

があげられます。

より強力なEPPを導入することで、マルウェアなど外部攻撃に対する防御力を高め、エンドポイントへの侵入を高いレベルで防ぐことが可能となります。また、現在は仮にEPPをすり抜け、エンドポイントにマルウェアが侵入してしまった場合に備え、「EDR（Endpoint Detection and Response）」をEPPとあわせて導入するケースも、主流となりつつあります。

EPP市場は2030年、6.91億ドル規模へ成長する見込み

昨今の目覚ましいサイバー攻撃の進化を受け、世界のEPP市場は、2024年現在も拡大傾向にあります。

Emergen Research社の調査によると、2021年に33億3000万ドルだったEPPの市場規模は、2030年までに69億1000万ドルへと成長する見込みであり、8.4%の収益増加が予測されています。

▼EPP市場規模の変化予測

出典：Emergen Research｜エンドポインEmergen Researchト保護プラットフォーム市場（2022年6月）

またEPPには、自社サーバーにて運営する「オンプレミス」と、ベンダーのサーバーを利用できる「クラウド」の2種類に提供方法が分かれますが、特にクラウドベースのEPPが市場を牽引している様子がうかがえます。

クラウド型のメリットとしては、メンテナンスや新機能の適用が容易で、かつ買い切り型のオンプレミスに比べ、導入時のコストを抑えられること等があります。サーバーもベンダー側が提供するため、社内で用意する必要がない点も魅力的です。

今後もEPPはセキュリティ強化に必要な新機能を追加しながら、その市場を拡大することが予想されます。

EPPの中でも、アンチウイルス（AV）とNGAVは何が違うのか？

侵入を試みる脅威を、エンドポイントで検知する

は、ともにEPP製品に分類されます。両者の主な違いは、以下の通りです。

特徴	アンチウイルス（AV）	次世代型アンチウイルス(NGAV)
検出方法	シグネチャ（署名）ベースの検出	機械学習、振る舞い検知、ファイルレス攻撃検出など、複合的な検出方法
対応可能な脅威	既知のマルウェア	既知および未知のマルウェア 高度な持続的脅威（APT）
更新方法	定期的なシグネチャ更新が必要	自動学習を通じて進化

アンチウイルス（AV）の特徴

アンチウイルス（AV）とは、EPPの中でも、従来の「シグネチャ（署名）ベース」のマルウェア検知を採用する製品を指すことが一般的です。

シグネチャとは、過去に検知されたマルウェアのコードやふるまいパターンが記録されたファイルです。
警察が犯罪者の識別に「指名手配書」を使用するように、アンチウイルスはシグネチャと照らし合わせることで、エンドポイント上のマルウェアを識別します。

この手法は、既に発見されているマルウェアは高精度に検出できる反面、まだシグネチャに登録されていない未知や亜種のマルウェアには、そもそも対応できないというデメリットがあります。

▼シグネチャ型の検出方法の限界（いたちごっこのマルウェア検知に）

よって、昨今のEPPでは、シグネチャベースに依存しない、新たな手法で脅威を検出する製品が登場しています。

NGAV（NGEPP）

EPPの1つである「NGAV（=次世代型アンチウイルス）」は、振る舞い検知や機械学習などの技術を使用して、マルウェアの検出をする、エンドポイントセキュリティです。「NGEPP」と呼ばれるケースもあります。

先述した、従来のアンチウイルスとの違いは、シグネチャベースに頼らない検知方法により、未知や亜種のマルウェア検出もできる点です。

NGAVで用いられる代表的な検知方法として、や「振る舞い検知」「静的ヒューリスティック」「機械学習」「サンドボックス」などがあげられます。

・振る舞い検知（動的ヒューリスティック）

振る舞い検知では、プログラムの挙動や行動パターンをもとに、不正なプログラムかどうかの判断をします。実際にプログラムをリアルタイムで動作させ、その挙動から脅威を判定するため、シグネチャの存在しない未知のマルウェアも検出することが可能です。

デメリットは、プログラムの挙動で判断するため、正常なプログラムをマルウェアと誤検知する可能性がある点です。よって静的ヒューリスティックや、機械学習と併用されるのが一般的です。

・静的ヒューリスティック

ファイルの静的な特徴（コード構造、特定のパターン）を分析することにより、マルウェアを検出します。振る舞い検知と異なり、ファイルを実際に実行することなくマルウェアを検出できます。

ファイルを実行する前にマルウェアを検出できる点は強みですが、未知のマルウェアを検知する精度は「振る舞い検知」や「機械学習」に比べ高くありません。それらの検出方法と、静的ヒューリスティックが組み合わさった製品が主流です。

・機械学習

シグネチャを手動で登録するのではなく、アンチウイルスが膨大なデータを自動学習することで、そのアルゴリズムを駆使してデータ解析を行い、マルウェアを検出する手法を「機械学習」といいます。

既知、未知を問わずマルウェアを高い精度で検出できるのが魅力で、振る舞い検知や静的ヒューリスティックなどの検知方法とも相性が良いです。

・サンドボックス

サンドボックスとは、マルウェアなどの脅威検証を安全にできる仮想環境を指します。

コンピュータから隔離された「安全な仮想空間」であり、マルウェアなのか判断が難しいプログラムを、実際にサンドボックス内で動作させることにより、脅威判定を行うことが可能です。

またNGAVであってもシグネチャ型が用いられないわけではなく、振る舞い検知や機械学習と組み合わせて導入された製品もあります。既知のマルウェア検知に関してはシグネチャ型の方が処理負荷も少なく、高精度で検知できるといったメリットがあるためです。

NGAVについては、以下の記事にも詳しくまとめています。

EPPとあわせて知りたい「EDR」とは？

エンドポイントのセキュリティ対策において、EPPとセットで知りたい概念に「EDR」があります。

EDR（Endpoint Detection and Response）とは、エンドポイント上の不審な挙動をリアルタイムで検出し、管理者にいち早く通知することで、脅威に即時で対応するためのセキュリティソリューションです。

EPPとEDRの違いは、「マルウェア検出する対象範囲」です。EPPが「マルウェアの侵入前の防御」を担うとすれば、EDRは「侵入後の対応」を主な目的とします。EDRは、万が一マルウェアがEPPをすり抜けてしまった場合も、侵入した後のマルウェアを素早く検出し、隔離や駆除といった事後対応ができるという強みを持っています。

▼EPPとEDRの対象範囲

また、EDRには大きく分けて、「エンドポイントの監視と脅威検知」「封じ込め」「調査・分析」「復旧対応」という、4つの機能があります。

▼EDRの検知から復旧までの流れ

EDRはエンドポイントを常時監視しているため、リアルタイムでマルウェアの検知が可能です。検知後は取得したログをもとに調査分析を行い、被害範囲や原因・侵入経路を特定。スムーズな復旧やその後の対策立案を支援します。

EPPとEDRの違い

EPPは「事前防御」を目的としたセキュリティであるのに対し、EDRは「事後対策」を目的にしている点に違いがあります。

▼EPPとEDRの違い

特性	EPP	EDR
目的	マルウェア感染の防止	感染後の被害拡大を防止
主な対象	「侵入前」の防御	「侵入後」の対応
検出方法	パターンマッチング、機械学習、振る舞い解析	ログを元にしたリアルタイム検知

EPPではエンドポイントをマルウェアやサイバー攻撃から予防的に保護しますが、EDRはマルウェアの侵入を前提としたセキュリティです。万一、EPPをすり抜けて脅威がPCに侵入した際に、素早く脅威を検知することで、被害を最小限にとどめることが可能です。

▼EPP（NGAV）とEDRの対応範囲

両社はエンドポイントセキュリティにおいて、相互に補完的な役割をもっており、併用することでより強固なセキュリティ体制の構築を実現できるでしょう。

AIで未知のマルウェア検出も可能！
EPPとEDRをセットで提供する Cylanceシリーズ

エムオーテックス（MOTEX）では、機械学習によって未知のマルウェアも検知する、業界最高峰のAIアンチウイルス「CylancePROTECT」を提供しています。また「CylancePROTECT（EPP）」のオプションとして、EDRをセットで導入することも可能です。

1.最新のアンチウイルス「CylancePROTECT」

CylancePROTECTは、AI（人工知能）を使った、次世代型アンチウイルス製品（NGAV）です。

AIの機械学習によってマルウェアの特徴を自動で分析し、その結果をもとに、未知・亜種を問わず最新のマルウェアやランサムウェアを、実行前に検知・隔離することが可能です。

シグネチャの更新も不要なため、運用コストが軽減できる上、CPU負荷も平均0.3%と低く、快適なパフォーマンスを維持できます。

2.AIアンチウイルス統合型EDR「CylanceOPTICS」

CylanceOPTICSは、CylancePROTECTと合わせて導入可能な、AIアンチウイルス統合型のEDRサービスです。

CylancePROTECT（EPP） と OPTICS（EDR） を併用することで、エンドポイントの「多層防御」を実現し、単体に比べより強固なセキュリティ体制を構築できます。

CylancePROTECT のオプション機能として提供するため、リーズナブルで導入しやすい価格帯である点も魅力です。

▼CylancePROTECT ✕ CylanceOPTICSの価格

3.アンチウイルス✕EDR✕監視サービス（MDR）をセットで利用可能な「CylanceGUARD」

EDRは堅牢なエンドポイントセキュリティを築く上で欠かせませんが、監視やアラート発生時の対応など、リソース面でも技術面でも「組織内での運用が難しい」という懸念があります。

そんな企業様のために、MOTEXでは CylanceのEDR製品をセキュリティのプロが代理で運用するMDRサービス「CylanceGUARD」を提供しています。24時間365日、プロが代理監視を行うため、企業のリソースを割くことなく、迅速に侵入したマルウェアを検知し、お客様のエンドポイントを保護することが可能です。

お客様環境に合わせた最適なチューニングと独自の検知ルールにより、お客様の確認が必要なアラートは、月7件^※まで厳選。また監視するプロは、全員がサイバーセキュリティの修士号を持っており、世界トップレベルの高品質なサービスを提供します。

※BlackBerry社サンプル事例より、1万台規模の月平均の件数

またCylanceシリーズでは、3製品セットでの提供はもちろん、アンチウイルスのみ、アンチウイルス＋EDRのみ提供するなど、柔軟な提案も可能です。

まとめ

今回は「EPP」をテーマに、その概要や検知方法・EDRとの違いなどを改めて解説しました。

昨今の働き方の変化やサイバー攻撃の増加・高度化などに対応するため、EPPとEDRはどちらも重要なセキュリティ対策の1つです。2つの対策を組み合わせて、組織のセキュリティ対策をより確実なものすることが理想的です。

また自社の環境やリソースに応じて、機能や特徴が最適なEPP製品を選定しましょう。