EPPとは

EPPとは「Endpoint Protection Platform」の頭文字を取った言葉で、日本語になおすと「エンドポイント保護プラットフォーム」という表現が用いられます。セキュリティ対策ソフトの中でも特にマルウェア感染防止に焦点を合わせた製品で、組織や企業のネットワークに入り込んだマルウェアをEPPが検知して、感染する前に駆除したり、不正なプログラムが実行されることを防いだりする機能が備わっています。

日常的に利用されている代表的なEPPのひとつとしては「アンチウイルスソフト」が挙げられます。従来のアンチウイルスソフトは、あらかじめウイルスのパターンをソフトウェアに登録しておき、侵入してきたウイルスと照合してマルウェアを検知する方式が一般的でした。しかし近年ではAI（人工知能）の発展に伴って、機械学習などの技術を応用することによってまだ発見されていないマルウェアも高い精度で検知できるようになってきています。

アンチウイルスソフトがない状態で業務に取り組むと、マルウェアの侵入に気がつかず社内の大切なデータを詐取されたり破壊されたりするリスクがあるため、多くの企業で導入されています。

とはいえ、どれほど精度の高いEPP製品を導入したとしても、マルウェアの感染を完全に防止することは難しいといえます。そこで「感染した後の被害を最小限に抑えること」を重視して開発されたのが、後述するEDR製品です。

EDRとは

EDRとは「Endpoint Detection and Response」の頭文字を取った言葉で、日本語になおすと「エンドポイントによる検出と対応」という表現が用いられます。EPPはマルウェアがネットワークや端末に感染することを防ぐ役割がありますが、EDRは「マルウェアに感染してしまった後の対応をサポートするための役割」を持っています。

前述のように、どれほど精度が高いEPP製品を導入していたとしても、マルウェアに感染してしまうリスクを0にすることはできません。そこでマルウェアに感染してしまった際に、マルウェアがネットワークや端末を攻撃する前に迫っている危機を検知し、原因とみられるファイルの削除の提案や、ログを取得することでマルウェアがどこから侵入したのか特定できるようにするサポートを行うのがEDRです。

ただし、EDRはマルウェアを検知したときに自動的にファイルの削除や侵入経路の特定を行うわけではないため、マルウェアに感染してしまった端末が複数ある場合は全ての端末に対して手動で対応しなければなりません。感染が広範囲に及ぶとみられる場合は、EDRを利用した対応に多大な工数がかかる点には注意が必要です。

EPPとEDRの違いは

ここまでお伝えしてきたように、EPPとEDRの違いは「マルウェアへの感染防止を目的としているか、マルウェアに感染してしまった後の対応を目的としているか」という部分にあります。

EPPによってマルウェアへの感染を防ぐことができれば、EDRによる二次的対応は不要になります。このことから、理想としては限りなく精度の高いEPPを導入し、侵入・感染しようとするマルウェアを全て遮断できる環境を整えることが望ましいでしょう。とはいえ、現存するどのような技術をもってしても、マルウェアの感染を完璧に防ぐことは不可能な状況にあります。

言い換えればEDRは「マルウェアがEPPをすり抜けて感染する可能性を想定しておき、いざ感染した際に迅速に対応を行えるようにするためのソフトウェア」でもあります。万が一マルウェアに感染してしまった場合は、どれだけ速やかに対策を講じられるかが被害を最小限に抑えるポイントです。その点で、EDRを導入してリスクに備えることは重要といえるでしょう。

EPPとEDRは両方必要なのか

結論からいえば、予算や運用体制が許すのであればEPPとEDRは両方導入することが望ましいといえます。

「EPPを導入しているのだから、EDRは導入しなくても大丈夫だ」と考える企業は残念ながら少なくありません。反対に「EDRを導入しているから、万が一マルウェアに感染してしまったとしても被害は未然に食い止められる」と考える方もいます。しかしEPPだけを導入した状態で万が一検知をすり抜けたマルウェアに感染すると、その後の原因の究明や迅速な対応ができず、被害が拡大するおそれがあります。

さらに、EDRは「マルウェアに感染しているかもしれない、疑わしい動作」を検知しやすく、本来は正常な挙動であってもアラートを出すケースがよく見られます。そのためEDRのみを導入している企業は、EDRが出したアラートを逐一調査しなければならず、対応に膨大なリソースを取られてしまう危険性があるのです。 よって、マルウェア対策の基本は、まず高い検知率のEPPを導入し、マルウェア感染を未然に防ぐことが大切です。その上で、万が一すり抜けてしまったマルウェアをEDRで検知し、速やかに対応することが望ましいでしょう。

しかし、検知率が高くないEPPを導入してしまうとすり抜けが多く発生し、EDRが反応してしまう件数が増えてしまいます。結果、現場のリソース消費が増えてしまうので導入前の検証をしっかりと行うことが重要です。

EDRが注目されている理由

組織や企業では、EPPの導入が一般的となっています。脅威に備えるためにマルウェアの検知が重要であることは多くの現場担当者が認識していることであり、「アンチウイルスソフトを導入せずにネットワークに接続して業務を行う」と聞けば不安を覚えるはずです。

EPPの普及が進んでいる現状において、EDRが注目されている理由はどこにあるのでしょうか。その答えは「初動対応をスムーズにして、被害を最小限に抑えること」です。

「感染しないこと」のみに重点を置くと、サイバー攻撃の発見・初動対応が遅れる

アンチウイルスソフトを導入することによって、多くのマルウェア感染リスクを回避することができます。しかし「リスクを0にできるわけではない」という点を深く考えずにいると、いざすり抜けによって感染したときにサイバー攻撃を受けていることに気がつかず、被害が拡大してから対応に追われることになりかねません。

近年ではAI（人工知能）の発展によって未知のマルウェアであっても検知しやすくなりましたが、それでも100%検知することは不可能です。万が一すり抜けた場合にも素早く対応するためにEDRとの両軸での運用が重要です。

EDR導入のメリット

これまでにも簡単にお伝えしてきましたが、今一度EDRを導入することによって得られるメリットについて整理してみましょう。EDR導入のメリットは、主に次の3つが挙げられます。

事後対応の効率化

EDRを導入することで、マルウェア感染後の事後対応を効率化できます。もしEDRを導入していない状態でEPPをすり抜けたマルウェアに感染してしまうと、どのような対応を取ることで事態が沈静化するのかをスムーズに突き止めることができず、被害が拡大していく可能性は高くなります。

一般的に、マルウェアに感染した後の対応が早ければ早いほど被害を小さく抑えやすくなります。EDRを導入していれば「どのような対応を取ればマルウェアがもたらす被害を食い止められるのか」を素早く判断できるため、被害の鎮静化を早めることができます。

根本原因の特定

EDRはログを取得しているため、「どこからマルウェアが侵入したのか」「なぜ侵入してしまったのか」といった根本原因の特定が可能になります。

そもそも、EDRが特定できる情報は2つあります。1つは「マルウェアの被害を受けた端末の特定」であり、もうひとつは「侵入経路や原因、被害の特定」です。ネットワーク上の端末で記録されたログを検索することによって、不正なプログラムが侵入した端末を特定することで、素早く該当の端末をネットワークから切り離す措置が可能になります。

また被害端末を特定できれば、どのようなプログラムが外部から侵入し、どういったファイルが実行されているのかを詳細に追跡できるため、被害の全容を明らかにすることができます。

脅威の把握

前述のように、EDRはマルウェアが侵入した端末や侵入経路や侵入原因を詳細に把握できます。つまりEDRを導入しておくことで、「組織にとってどのような脅威が発生しているのか」を明確にできるというメリットがもたらされるということです。

マルウェアの被害を拡大させる原因として「被害の状況がわからない」というものが挙げられます。何が原因で被害を引き起こしているのかが特定できていれば、原因に対して迅速かつ冷静な対処が可能になります。

EDRの機能

EDRの機能には、大きくわけて「監視機能」「感染後の調査」「感染端末の対応」の3つがあります。それぞれの機能について詳しく見ていきましょう。

監視機能

監視機能はEDRのメインともいえる機能です。端末の操作ログやレジストリ情報などを監視しログを記録することによって、問題が起こったときに速やかに原因の特定を行うことを可能にします。

製品によってはEDRにEPPの機能が統合されているものもあり、従来はEPPとEDRを別々に導入していたところを1つの製品でカバーできるケースが増えてきました。ただし、EPPの機能を利用するためにはEDRライセンスと別にEPP用のライセンスを購入する必要がある場合も多いため、EPPと一体になった製品を導入したいと考えている場合は利用条件に十分注意する必要があるでしょう。

感染後の調査

感染後の調査機能では、EDRの監視中に発見した不審なプログラムを解析します。EDRを導入していない状態でマルウェアに感染すると、社内のセキュリティ担当者が端末の不審な箇所を一つひとつ切り分けながら検証し、原因を特定しなければなりません。しかし、EDRに備わっている感染後の調査機能を利用すれば、全く原因が不明な状態から端末の検証を行う必要がなくなり、スムーズに感染後の対応を行うために必要なデータを揃えることができます。

感染端末の対応

導入済みのEPPをすり抜けてマルウェアに感染してしまった端末が発生したときに、EDRを導入していれば感染端末に対して速やかに感染後の対応を実行できます。感染端末が判明した段階で接続されているネットワークから切断したり、マルウェアが自動的に実行しているプログラムを強制停止して被害を食い止めたりすることが可能です。

特に被害端末をネットワークから切り離すことは、マルウェアへの初動対応として非常に重要です。マルウェアはネットワークから侵入して端末に感染しますが、ネットワークから切り離さずに放置してしまうと他の端末に感染して被害を大きく拡大させるおそれがあるためです。

感染端末への対応は製品のグレードによって充実度が異なるため、自社にどの程度のセキュリティが必要なのかを検討した上で、導入する製品を選定することが大切です。

その他

その他にも、導入する製品によっては独自の機能が搭載されているものもあります。例えば端末を無断で暗号化して解除のために身代金を要求する「ランサムウェア」への対策として、暗号化ファイルを復元できる機能が搭載されている製品などが挙げられます。

より強固なセキュリティを保ちたいと考えている場合は、独自機能にも注目してみると良いでしょう。

まとめ

EPPは「マルウェアへの感染を防ぐための製品」であり、EDRは「マルウェアに感染した後の対応を行うための製品」です。どちらも役割が異なるため、両方とも導入して万全のセキュリティ対策を取ることが望ましいといえます。

EDRを導入するなら、マルウェアへの感染に対する全ての検知と対応を製品が担ってくれるBlackBerryOpiticsがおすすめです。AIによる機械学習を活用して幅広いインシデントに対応しており、日常的に脅威を監視し続けます。

またMOTEXでは、優秀なセキュリティエンジニアがBlackBerry Opticsの運用監視を代行するサービスをご提供しています。24時間365日ログを監視し、重大なアラートが発生した際は、端末隔離も実施いたします。お客様からご依頼頂ければ、インシデント調査や設定ポリシーの変更も行います。そのため、インシデント対応に自信がないお客様でも安心してご利用いただけるサービスとなっています。サービスについてご興味を持っていただいた方は、以下のURLから詳細をご確認ください。