みなさんこんにちは。長谷川まりです。

東京オリンピック・パラリンピック開催を控え、益々のサイバー攻撃増加が警戒されていますが、今回は、マルウェア対策として昨今注目されている「EPP」と「EDR」を取り上げます。

どちらの製品も、「マルウェア対策」という意味では同じカテゴリに位置しますが、コンセプトは全く異なります。目的や機能面含め、改めて整理してみましょう！

※本記事に掲載している「BlackBerry製品」は「Auroraエンドポイントセキュリティ」に名称変更しています。

EPPとは

EPP（Endpoint Protection Platform：エンドポイント保護プラットフォーム）は、マルウェア感染を防止することに特化した製品です。組織内に侵入したマルウェアを検知し、自動的に駆除したりマルウェアが実行されないようにする機能を提供します。

分かりやすい例としては、アンチウイルス製品がEPPにあたります。
アンチウイルス製品は、パターンマッチング方式によりマルウェアを判別するタイプが一般的でしたが、近年では機械学習や振る舞い解析などの技術を用い、亜種など未知のマルウェアも検知できるように進化しています。
製品によって検知レベルは様々ですが、ほとんどの企業で導入されています。

ただし、どんなに強力なEPP製品であっても、マルウェアの感染を100%防ぐことは不可能です。そこで、感染後の被害をどう食い止めるかが課題となり、誕生したのがEDR製品です。

EDRとは

EDR（Endpoint Detection and Response：エンドポイントでの検出と対応）は、マルウェアの感染防止を目的としているEPPとは異なり、マルウェア感染後の対応を支援する製品です。

EDR製品では、マルウェアを検知できず感染してしまった場合、攻撃が始まる前に脅威をリアルタイムで検知し原因となっているファイルの削除などの対応法を提供したり、ログを元にマルウェアの侵入経路特定の調査に役立てたりします。

ただし、感染してしまったマルウェアの数分、全てを人手で対応しなければいけないので、膨大な工数がかかってしまいます。

EPPとEDR、どちらも必要？

答えは、"どちらも必要"です。
ポイントは、必要性というよりも、優先順位です。
前述している通り、検知率の低いEPP+EDRの対策では、運用負荷が高すぎますので、EDR導入の前に、EPPの強化を行い検知率を向上することが必要です。

EPPの強化というところで、アシストが選択肢としてご紹介しているのが、BlackBerry Protect（旧名称：CylancePROTECT）という製品です。専用LABを有した機械学習による高い検知率でマルウェア感染を防止します。
※EDRオプションとして、BlackBerry Optics（旧名称：CylanceOPTICS）という製品もご用意しています。

まとめ

以下にEPPとEDRの違いをまとめます。

最近では、EPPは導入済みだからEDRが必要、というご相談も多くいただきますが、アシストではEDRによるお客様の運用負荷を考慮し、既存のEPPの見直し(強化)をおすすめしています。EPPの強化を行えば、マルウェア感染そのものがぐっと減らせるので、運用が楽になるからです。

上記でご紹介したBlackBerry Protectについてもっと詳しく知りたい、EPP、EDRについて相談したい等がありましたら、どうぞお気軽にアシストまでお問い合わせください。

BlackBerry Protect / BlackBerry Opticsの情報はこちら