Written by WizLANSCOPE編集部
目 次
「EPP」とは、PCやスマートフォンなどのエンドポイントを、脅威の侵入から保護するセキュリティソリューションです。
一方「EDR」とは、エンドポイントを常時監視することで、迅速に脅威を検知し、被害の拡大を防ぐセキュリティソリューションです。
EPPとEDRは、どちらもエンドポイントを保護するセキュリティソリューションですが、担う役割や考え方に明確な違いがあります。
適切なセキュリティ対策を検討するうえで、両者の違いを理解することは非常に重要です。
本記事では、EPPとEDRの概要や両者の違い、必要性などを解説します。
▼本記事でわかること
- EPP、EDRの概要
- EPPとEDRの違い
- EPPとEDRの必要性
- EPPとEDRの選定ポイント
「EPPとEDRにはどのような違いがあるのか」「両方必要なのか」などを知りたい方はぜひご一読ください。
EPPとは
EPPとEDRの違いを確認する前に、まずはそれぞれのソリューションの役割や特徴について解説します。
EPP(Endpoint Protection Platform)とは、PCやスマートフォン、サーバーなどのエンドポイントをサイバー攻撃から守るためのセキュリティソリューションの総称です。
EPPには、主に以下の機能が搭載されています。
- マルウェアの検出
- 検出したマルウェアの自動ブロック
- マルウェア感染デバイス・ファイルの隔離・駆除
EPPの具体例としては、アンチウイルスソフトが挙げられます。
マルウェアはエンドポイントを起点に感染を拡大するケースが多いため、そもそも侵入させないことが重要です。
この前提から、アンチウイルスソフトを含むEPPの導入は、いまや欠かさずに行うべき必須かつ基本的なセキュリティ対策といえます。
一方で、EPPは主に「予防」を目的としたセキュリティ対策です。
そのため、すでに侵入された攻撃に対する詳細な調査や、被害状況の可視化、攻撃経路の追跡などには限界があります。
そのため近年では、侵入後の挙動を継続的に検知・分析し、迅速な対応を行うEDRと組み合わせて導入されるケースが増えています。
EDRとは
EDR(Endpoint Detection and Response)とは、エンドポイントを常時監視することで、脅威を迅速に検知し、被害の拡大を防ぐセキュリティソリューションです。
EDRは、エンドポイント上の各種ログを継続的に収集し、サーバー側で解析することで、マルウェアや不審な挙動を検出します。
検出した脅威をアラートとして管理者に通知する役割も担っており、通知を受けた管理者は遠隔から感染したエンドポイントを隔離したり、脅威となるファイルやプロセスを削除したりすることができます。
これにより、被害の拡大を抑えつつ、迅速な封じ込めと復旧が可能となります。
なおEDRは、予防を中心とするEPPやアンチウイルスとは役割が異なります。
EPPが侵入を防ぐための「入口対策」であるのに対し、EDRは侵入後の挙動を監視・分析し、検知・対応を行う「事後対策」に位置付けられます。
そのため、EDR単体ですべての攻撃を防げるわけではありません。
EPPなどの基本的な対策と組み合わせることで、侵入前後の両面からリスクに備える体制を構築でき、より実効性の高いエンドポイントセキュリティが可能になります。
EPPとEDRの違い
改めて、EPPとEDRの違いについて整理します。
EPPとEDRの大きな違いとして、EPPは「事前防御」を役割としているのに対し、EDRは「事後対策」を役割にしている点が挙げられます。
EPPは、エンドポイントにマルウェアが侵入しないように防御する役割を担います。
対してEDRは、侵入後の不審な挙動を検知・分析し、迅速な対応で、被害の拡大を抑える役割を担います。
このように、目的と機能が異なるため、「どちらか一方だけを導入する」のではなく、両者を組み合わせて活用するのが望ましいといえます。
| EPP | EDR | |
|---|---|---|
| 目的 | ・マルウェアをはじめとした脅威の侵入を未然に防ぎ、エンドポイントを保護する | ・侵入後の脅威を検知・分析し、被害拡大を防ぐ |
| 機能 | ・マルウェアの検出 ・脅威の自動ブロックおよび隔離・駆除 ・調査分析や復旧支援 |
・エンドポイントの監視 ・脅威の分析および検知 ・インシデント対応 ・フォレンジック調査 |
| 対策のタイミング | ・攻撃前 | ・攻撃後 |
EDRが注目を集める理由・背景
近年EDRが注目を集めている背景として、「サイバー攻撃の高度化」と「境界型防御の限界」という2つの変化が挙げられます。
従来のアンチウイルスソフトは、あらかじめ定義されたマルウェアの特徴(シグネチャ)をデータベース化し、それと照合することで検知する「パターンマッチング方式」の仕組みが中心でした。
しかし近年では、未知・亜種のマルウェアやファイルレスマルウェアなど、シグネチャに依存しない攻撃手法が増加しています。
これらの攻撃は、パターンマッチング方式の防御をすり抜けてしまうケースもあり、その結果、「侵入を完全に防ぐことは困難」という前提で対策を講じる考え方が広まりつつあります。
そこで重要になるのが、侵入後の挙動を継続的に監視し、不審な動きを検知する「EDR」の仕組みです。
また、EDRの必要性が高まっているもう一つの要因として、境界型防御の限界が挙げられます。
従来のセキュリティ対策は、社内ネットワークと外部を分離する「境界型防御」が一般的でした。
しかし現在は、テレワークやリモートワークの普及、クラウドサービス利用の拡大、モバイルデバイスの業務利用増加といった環境変化で、社内・社外のネットワークの境界が曖昧になっています。
従来のように社内ネットワークの内側を守るだけでは不十分となり、エンドポイントそのものを監視・保護する重要性が高まっています。
こうした背景から、エンドポイントの挙動を常時監視し、迅速な隔離・封じ込めが可能であり、場所を問わずにエンドポイントの状況を可視化できるソリューションとして、「EDR」への注目が高まっています。
EPPとEDRは両方必要か?
結論から言うと、EPPとEDRは組み合わせて運用することが推奨されます。
EPPとEDRの違いの部分でも説明したように、それぞれ目的や機能が異なり、補完する関係にあるためです。
EPPはマルウェアの侵入を防ぐ「事前防御」、EDRは侵入後の挙動を常時監視し、被害拡大を抑える「事後対策」の役割を担います。
仮にEPPのみを導入した場合、万が一侵入を許してしまうと、被害が拡大してしまう恐れがあります。
逆に、EDRのみを導入している場合、そもそもの侵入を防ぐ力が弱くなり、アラートが頻発し、運用負荷が増大する恐れがあります。
そこで、EPPとEDRの両者を組み合わせることで、予防と侵入後の対応の両面をカバーでき、エンドポイントセキュリティの実効性が大きく向上します。
このように、EPPとEDRそれぞれの役割を理解したうえで、自社のリスクや運用体制に応じて適切に組み合わせることが重要です。
EPPとEDRの両方を導入することで、より強固なエンドポイントセキュリティを構築できるでしょう。
自社の運用体制や管理リソースなどを踏まえたうえで、EPPとEDRを適切に組み合わせて運用することが、現在のセキュリティ対策には欠かせない考え方といえます。
自社に適切な製品を選ぶには、具体的にどのようなポイントを確認するべきなのかは、次章で紹介します。
EPP・EDRを選ぶ際のポイント
EPPやEDRを導入する際は、製品の機能や価格だけで判断するのではなく、自社のセキュリティリスクや運用体制に合っているかを踏まえて選定することが重要です。
ここでは、EDR・EPP製品を選定する際に特に重視すべき4つのポイントについて解説します。
検知精度
検知精度は、EPP・EDR製品を選ぶ上で最も重要な評価項目です。
検知精度が低い場合、重大な脅威を見逃してしまうリスクがあります。
また、誤検知が多い製品にも注意が必要です。
誤検知が多いと、業務に必要なアプリまでブロックして業務が停止してしまったり、不要なアラート対応が増え、運用負荷が高まったりする可能性もあります。
そのため、脅威検知率の高さ、誤検知率の低さ、さらにアラートの質の観点を総合的に評価することが重要です。
また、実際の業務環境や業務アプリとの相性を確かめるためにも、無料トライアルなどを活用することが推奨されます。
事前に既存環境との相性を確認しておくことで、想定外のトラブルなどをなくした上で、スムーズに導入できるでしょう。
導入・運用コスト
導入・運用コストを検討する際は、初期費用やライセンス費用だけでなく、日常的な運用にかかる人的コストや教育コストも含めて検討する必要ことが重要です。
具体的には、以下のコストを考慮することが推奨されます。
- 日常的なアラート監視・対応にかかる人的コスト
- インシデント発生時の対応工数・復旧コスト
- 運用担当者への教育コスト
- 外部支援サービスを利用する場合のコスト
特にEDRは、検知後のアラート分析や対応に一定の専門知識が求められるため、社内で対応可能か、外部の運用支援サービスを利用する必要があるかを事前に整理し、想定されるコストを検討しておく必要があります。
単純な価格だけでなく、継続的な管理・運用にかかるコストまでを検討しておくことが、導入後のトラブルや想定外の負担増を防ぐポイントです。
サポート体制
サポート体制も、製品選定時に確認しておくべき重要なポイントです。
EPPやEDRは導入して終わりではなく、継続的な運用が必要になるため、インシデントやトラブル発生時を想定し、サポート体制の充実度を確認しておくことが推奨されます。
例えば、以下のポイントは事前に確認するようにしましょう。
- 日本語でのサポート対応が可能か
- 自社の業務時間とサポート対応時間があっているか
- 導入時の初期設定サポートがあるか
- 導入・運用開始後にもサポートを受けられるか
これらのポイントを事前に確認しておくことで、スムーズに運用を開始でき、万が一トラブルがあった際にも迅速に対応できるでしょう。
特に、セキュリティ専任担当者が少ない組織や、情報システム部門のリソースが限られている組織では、サポートの充実度が重要な検討ポイントとなります。
既存システムとの連携体制
EPP・EDRは単体で完結する製品ではなく、既存のIT環境と連携することで、より効果的なセキュリティ運用が可能です。
現在の企業環境では、SIEMやログ管理ツール、資産管理システム、クラウドセキュリティソリューションなど、複数のセキュリティ・IT資産管理ツールが併用されているケースが一般的です。
そのため、既存システムと連携できるか、標準連携機能やAPIによる柔軟な連携が可能かなどは、事前に確認しておくことが重要です。
連携性が低い、もしくはできない製品を選んでしまうと、手作業が発生したり、情報が分散したりなど、かえって運用負荷が高まるリスクがあります。
既存システムとの親和性が高い製品を選ぶことで、導入後の設定や運用負荷を抑え、スムーズなセキュリティ運用につなげられます。
EPP・EDRは、もちろん「導入すること」も重要ですが、組織全体のセキュリティ体制の中で、円滑に「運用すること」も重要です。そのため、既存環境との連携体制までを視野に入れて選定することが求められます。
EPP・EDRの運用が難しい場合
EPPやEDRは、導入するだけで自動的に安全が保たれるものではなく、継続的な運用が求められる製品です。
特にEDRは、検知後に「そのアラートが本当に脅威なのか」「どのように対応すべきか」を判断する必要があり、これには一定の専門知識と経験が欠かせません。
そのため、セキュリティ人材が不足している場合や、運用に十分な時間を割けない場合には、導入しても十分に活用できないケースがあります。
このような課題を解決する方法として、「MDR(Managed Detection and Response)」の導入が挙げられます。
MDRとは、EDRなどのセキュリティツールをベースに、脅威の監視・分析・対応までを外部の専門チームが担うサービスです。
アラートの精査やインシデント対応を外部の専門家に任せられるため、社内の運用負荷を大きく軽減しつつ、高度なセキュリティ体制を維持できます。
特に、セキュリティ人材の確保が難しい企業や、少人数でIT運用を行っている組織にとっては、MDRの活用は有力な選択肢といえます。
EPPやEDRを導入自体が目的化しないよう、自社の運用環境や人員体制までを含めた最適な形を選択することが重要です。
EPPとEDRをセットで利用できる「Auroraシリーズ」
ここまで確認してきた通り、エンドポイントセキュリティでは、EPPによる事前防御と、EDRよる侵入後対策を組み合わせた運用が効果的です。
また、運用負荷や人材不足といった課題を抱える企業・組織の方には、「MDR」の活用も推奨されます。
こうしたエンドポイントセキュリティを支援するのが「LANSCOPE サイバープロテクション」の「Auroraシリーズ」です。
「Auroraシリーズ」では、AIアンチウイルス「Aurora Protect」、EDR「Aurora Focus」、MDR「Aurora Managed Endpoint Defense」を提供しています。
アンチウイルス単体での防御にとどまらず、EDRによる検知・対応、さらに専門家による監視体制までを組み合わせることで、自社の体制に応じたセキュリティ強化が可能です。
エンドポイントセキュリティの強化を目指す企業・組織の方は、ぜひご確認ください。
最新のアンチウイルス「Aurora Protect」
「Aurora Protect」は、AI(人工知能)を使った、次世代型アンチウイルス製品(NGAV)です。
AIの機械学習によってマルウェアの特徴を自動で分析し、その結果をもとに、未知・亜種を問わず最新のマルウェアやランサムウェアを、実行前に検知・隔離することが可能です。
シグネチャの更新も不要なため、運用コストが軽減できることに加えて、CPU負荷も平均0.3%と低く、快適なパフォーマンスを維持できます。
AIアンチウイルス統合型EDR「Aurora Focus」
「Aurora Focus」は、「Aurora Protect」とあわせて導入可能な、AIアンチウイルス統合型のEDRサービスです。
EPP「Aurora Protect」とEDR「 Aurora Focus」 を併用することで、エンドポイントの「多層防御」を実現し、より強固なセキュリティ体制を構築できます。
「Aurora Focus」は、「Aurora Protect」のオプション機能として提供するため、リーズナブルで導入しやすい価格帯である点も魅力です。
専門家が24時間365日監視するMDR「Aurora Managed Endpoint Defense」
EDRは堅牢なエンドポイントセキュリティを築く上で欠かせませんが、監視やアラート発生時の対応など、リソース面でも技術面でも「組織内での運用が難しい」という懸念があります。
高度なエンドポイントセキュリティ製品を導入しても、適切に運用できなければ意味がありません。
「LANSCOPE サイバープロテクション」 では、このようなEDR運用に課題をお持ちの企業・組織の方に向けて、EDR製品をセキュリティのプロが代理で運用するMDRサービス「Aurora Managed Endpoint Defense」を提供しています。
専門家が、24時間365日代理監視を行うため、担当者のリソースを割くことなく、迅速に侵入したマルウェアを検知し、エンドポイントを保護することが可能です。
「Auroraシリーズ」は、3製品セットでの提供はもちろん、アンチウイルスのみ、アンチウイルス+EDRのみ提供するなど、柔軟な活用が可能です。
エンドポイントセキュリティを強化したい企業・組織の方は、ぜひ「Auroraシリーズ」の導入をご検討ください。
3分で分かる!
Aurora Managed Endpoint Defense
世界トップレベルの専門家が24時間365日監視するMDRサービスについて、製品概要や一般的な製品との比較などをわかりやすく解説します。
まとめ
本記事では「EPPとEDR」をテーマに、それぞれの概要や両者の違い、必要性などを解説しました。
本記事のまとめ
- EPPとは、エンドポイントをサイバー攻撃から守るためのセキュリティ製品で、マルウェアの検出、検出したマルウェアの自動ブロックおよび隔離・駆除する機能などが搭載されている
- EDRとは、エンドポイントを常時監視することで、迅速に脅威を検知し、被害の拡大を防ぐセキュリティソリューション
- EPPとEDRの大きな違いとして、EPPは「事前防御」を目的としているのに対し、EDRは「事後対策」を目的にしている点が挙げられる
- EPPとEDRは目的や機能が異なり、補完関係にあるため、エンドポイントセキュリティ強化を目指す場合は、2つの製品を組み合わせて活用することが推奨される
- 自社にあったEPP、EDRを選ぶためには、機能・価格だけでなく、導入・運用コストやサポート体制、既存システムとの連携体制なども含めて比較検討することが推奨される
EPPは、マルウェアをはじめとした脅威の侵入を未然に防ぐものであり、EDRは侵入した後の脅威を迅速に検知して、被害の拡大を防ぐものです。
それぞれ目的が異なるため、エンドポイントセキュリティをより強固なものにしたいのであれば、EPPとEDRを組み合わせて活用することが推奨されます。
ただし、EDRが生成するログやアラートの分析には、高度な専門知識や経験が求められます。
さらにEDRは、24時間365日体制での監視が必要となる場合も多く、セキュリティ人材が不足している企業においては、運用が難しいと感じるケースも多いでしょう。
このような課題を抱えている企業・組織の方向けに、LANSCOPE サイバープロテクションではMDRサービス「Aurora Managed Endpoint Defense」を提供しています。
「Aurora Managed Endpoint Defense」では、セキュリティのプロがお客様の代わりにアンチウイルスとEDRの運用を代理で行います。
24時間365日監視を行うため、担当者のリソースを割くことなく、エンドポイントを保護することが可能です。
「エンドポイントセキュリティを強化したいが、セキュリティ人材が不足している」「社内だけでセキュリティ強化を目指すのが難しい」といった課題を抱えている企業・組織の方は、ぜひ「Auroraシリーズ」「Aurora Managed Endpoint Defense」の活用をご検討ください。
Auroraシリーズは、30日間の無料体験版の利用が可能です。
実際に自社環境で活用し、既存環境や業務アプリとの相性をお確かめください。
関連ページ
3分で分かる!
Aurora Managed Endpoint Defense
世界トップレベルの専門家が24時間365日監視するMDRサービスについて、製品概要や一般的な製品との比較などをわかりやすく解説します。
おすすめ記事
