ITセキュリティ女子のブログ

ITセキュリティ女子のブログ>EPPとEDR~いまさら聞けない、それぞれの目的の違いとは?~

  • エンドポイントセキュリティ
2019.08.13

EPPとEDR~いまさら聞けない、それぞれの目的の違いとは?~

EPPとEDR~いまさら聞けない、それぞれの目的の違いとは?~

みなさんこんにちは。長谷川まりです。

2020年の東京オリンピック・パラリンピック開催を控え、益々のサイバー攻撃増加が警戒されていますが、今回は、マルウェア対策として昨今注目されている「EPP」と「EDR」を取り上げます。

どちらの製品も、「マルウェア対策」という意味では同じカテゴリに位置しますが、コンセプトは全く異なります。目的や機能面含め、改めて整理してみましょう!

EPPとは

EPP(Endpoint Protection Platform:エンドポイント保護プラットフォーム)は、マルウェア感染を防止することに特化した製品です。組織内に侵入したマルウェアを検知し、自動的に駆除したりマルウェアが実行されないようにする機能を提供します。

分かりやすい例としては、アンチウイルス製品がEPPにあたります。
アンチウイルス製品は、パターンマッチング方式によりマルウェアを判別するタイプが一般的でしたが、近年では機械学習や振る舞い解析などの技術を用い、亜種など未知のマルウェアも検知できるように進化しています。
製品によって検知レベルは様々ですが、ほとんどの企業で導入されています。

ただし、どんなに強力なEPP製品であっても、マルウェアの感染を100%防ぐことは不可能です。そこで、感染後の被害をどう食い止めるかが課題となり、誕生したのがEDR製品です。

EDRとは

EDR(Endpoint Detection and Response:エンドポイントでの検出と対応)は、マルウェアの感染防止を目的としているEPPとは異なり、マルウェア感染後の対応を支援する製品です。

EDR製品では、マルウェアを検知できず感染してしまった場合、攻撃が始まる前に脅威をリアルタイムで検知し原因となっているファイルの削除などの対応法を提供したり、ログを元にマルウェアの侵入経路特定の調査に役立てたりします。

ただし、感染してしまったマルウェアの数分、全てを人手で対応しなければいけないので、膨大な工数がかかってしまいます。

EPPとEDR、どちらも必要?

答えは、"どちらも必要"です。
ポイントは、必要性というよりも、優先順位です。
前述している通り、検知率の低いEPP+EDRの対策では、運用負荷が高すぎますので、EDR導入の前に、EPPの強化を行い検知率を向上することが必要です。

EPPの強化というところで、アシストが選択肢としてご紹介しているのが、CylancePROTECTという製品です。専用LABを有した機械学習による高い検知率でマルウェア感染を防止します。
※EDRオプションとして、CylanceOPTICSという製品もご用意しています。

CylancePROTECT の特長

1.ホリデーテストでも証明されている高い検知率

CylancePROTECTはホリデーテスト(※)でも97%の検知率を誇ります。特許を取得している複数技術で、マルウェアを分析、ルールを学習して検知します。

  • ホリデーテスト:企業の長期休暇明けで PCのパターンファイルが更新されていない状態をシミュレートしたテスト

第三者機関(AV-TEST)による100個の新しいマルウェア検体を7日前のパターンファイルで検知した試験

第三者機関(AV-TEST)による100個の新しいマルウェア検体を7日前のパターンファイルで検知した試験

2.いつでもどこでもマルウェアの侵入をブロック

パターンファイルの概念がなく、オフラインでもマルウェアの検知が可能です。また、パターンマッチング方式で課題となるパターン更新漏れの心配もありません。

3.PCパフォーマンスに影響しない軽量なスキャン

導入後もPCのパフォーマンスは低下しません。ユーザーはストレスを感じることなく、導入前と変わらない操作感でPCを使用できます。

4.SaaSによるサービス提供で運用負荷低減

CylancePROTECTは、サービス提供形態がSaaSです。そのため、管理サーバの構築・メンテナンスが不要です。また、パターンファイルの管理も必要ないため、アンチウイルス製品に比べて、運用負荷を低減できます。

まとめ

以下にEPPとEDRの違いをまとめます。

目的 機能
EPP マルウェア感染を防ぐこと 既知もしくは未知のマルウェア検知
EDR 感染後の被害拡大を防ぐこと マルウェア感染の検知と対応支援

最近では、EPPは導入済みだからEDRが必要、というご相談も多くいただきますが、アシストではEDRによるお客様の運用負荷を考慮し、既存のEPPの見直し(強化)をおすすめしています。EPPの強化を行えば、マルウェア感染そのものがぐっと減らせるので、運用が楽になるからです。

上記でご紹介したCylancePROTECTについてもっと詳しく知りたい、EPP、EDRについて相談したい等がありましたら、どうぞお気軽にアシストまでお問い合わせください。


長谷川 まり

株式会社アシストに入社以来十数年、セキュリティ対策製品担当として活動中。

売れない小説家だった祖父の影響で、文章を書くことが好き。
「役に立つ人間になる」をモットーに、日々真面目で丁寧な仕事を心がけている。

関連している記事

  • エンドポイントセキュリティ
2019.09.09

機械学習とマルウェア検知の進化

AIブームですね。正確には、「第3次AIブーム」なのだそうです。今回は、過程を踏んで進化する機械学習と親和性の高い、マルウェア検知の技術の進化についてご紹介します。

  • エンドポイントセキュリティ
2019.08.02

開発元に聞いた情報漏洩対策製品の今、これから

情報漏洩対策ソリューション「秘文」の開発元、日立ソリューションズ社に、今まさに変化し続けるIT環境を背景に、どんな課題に取り組まれてきたのかを聞いてきました。常に日本企業のニーズに寄り添おうという開発姿勢には作り手としての愛を感じます!

  • ログ分析/ログ管理
  • エンドポイントセキュリティ
2019.06.13

テレワークは9割近くが未導入?!63名に聞いたテレワークの現状と課題

働き方改革をITで実現するテレワーク。実際にどの位の企業が取り入れられているのでしょか?アシストで開催したセミナーでお客様から頂戴したアンケートでは9割が未導入という結果でした。

プロフィール


長谷川まり
セキュリティ製品を担当。お客様からの信頼も厚い、お姉さん的存在。


長谷川ひとは
クライアント仮想化製品を担当。勉強熱心で、分からないことはすぐ聞いてしまう。

ページの先頭へ戻る