ITセキュリティ女子のブログ

  • エンドポイントセキュリティ
2019.08.13

EPPとEDR~いまさら聞けない、それぞれの目的の違いとは?~

EPPとEDR~いまさら聞けない、それぞれの目的の違いとは?~

みなさんこんにちは。長谷川まりです。

東京オリンピック・パラリンピック開催を控え、益々のサイバー攻撃増加が警戒されていますが、今回は、マルウェア対策として昨今注目されている「EPP」と「EDR」を取り上げます。

どちらの製品も、「マルウェア対策」という意味では同じカテゴリに位置しますが、コンセプトは全く異なります。目的や機能面含め、改めて整理してみましょう!

EPPとは

EPP(Endpoint Protection Platform:エンドポイント保護プラットフォーム)は、マルウェア感染を防止することに特化した製品です。組織内に侵入したマルウェアを検知し、自動的に駆除したりマルウェアが実行されないようにする機能を提供します。

分かりやすい例としては、アンチウイルス製品がEPPにあたります。
アンチウイルス製品は、パターンマッチング方式によりマルウェアを判別するタイプが一般的でしたが、近年では機械学習や振る舞い解析などの技術を用い、亜種など未知のマルウェアも検知できるように進化しています。
製品によって検知レベルは様々ですが、ほとんどの企業で導入されています。

ただし、どんなに強力なEPP製品であっても、マルウェアの感染を100%防ぐことは不可能です。そこで、感染後の被害をどう食い止めるかが課題となり、誕生したのがEDR製品です。

EDRとは

EDR(Endpoint Detection and Response:エンドポイントでの検出と対応)は、マルウェアの感染防止を目的としているEPPとは異なり、マルウェア感染後の対応を支援する製品です。

EDR製品では、マルウェアを検知できず感染してしまった場合、攻撃が始まる前に脅威をリアルタイムで検知し原因となっているファイルの削除などの対応法を提供したり、ログを元にマルウェアの侵入経路特定の調査に役立てたりします。

ただし、感染してしまったマルウェアの数分、全てを人手で対応しなければいけないので、膨大な工数がかかってしまいます。

EPPとEDR、どちらも必要?

答えは、"どちらも必要"です。
ポイントは、必要性というよりも、優先順位です。
前述している通り、検知率の低いEPP+EDRの対策では、運用負荷が高すぎますので、EDR導入の前に、EPPの強化を行い検知率を向上することが必要です。

EPPの強化というところで、アシストが選択肢としてご紹介しているのが、BlackBerry Protect(旧名称:CylancePROTECT)という製品です。専用LABを有した機械学習による高い検知率でマルウェア感染を防止します。
※EDRオプションとして、BlackBerry Optics(旧名称:CylanceOPTICS)という製品もご用意しています。

BlackBerry Protect の特長

1.ホリデーテストでも証明されている高い検知率

BlackBerry Protectはホリデーテスト(※)でも97%の検知率を誇ります。特許を取得している複数技術で、マルウェアを分析、ルールを学習して検知します。

  • ホリデーテスト:企業の長期休暇明けで PCのパターンファイルが更新されていない状態をシミュレートしたテスト

第三者機関(AV-TEST)による100個の新しいマルウェア検体を7日前のパターンファイルで検知した試験

第三者機関(AV-TEST)による100個の新しいマルウェア検体を7日前のパターンファイルで検知した試験

2.いつでもどこでもマルウェアの侵入をブロック

パターンファイルの概念がなく、オフラインでもマルウェアの検知が可能です。また、パターンマッチング方式で課題となるパターン更新漏れの心配もありません。

3.PCパフォーマンスに影響しない軽量なスキャン

導入後もPCのパフォーマンスは低下しません。ユーザーはストレスを感じることなく、導入前と変わらない操作感でPCを使用できます。

4.SaaSによるサービス提供で運用負荷低減

BlackBerry Protectは、サービス提供形態がSaaSです。そのため、管理サーバの構築・メンテナンスが不要です。また、パターンファイルの管理も必要ないため、アンチウイルス製品に比べて、運用負荷を低減できます。

まとめ

以下にEPPとEDRの違いをまとめます。

目的 機能
EPP マルウェア感染を防ぐこと 既知もしくは未知のマルウェア検知
EDR 感染後の被害拡大を防ぐこと マルウェア感染の検知と対応支援

最近では、EPPは導入済みだからEDRが必要、というご相談も多くいただきますが、アシストではEDRによるお客様の運用負荷を考慮し、既存のEPPの見直し(強化)をおすすめしています。EPPの強化を行えば、マルウェア感染そのものがぐっと減らせるので、運用が楽になるからです。

上記でご紹介したBlackBerry Protectについてもっと詳しく知りたい、EPP、EDRについて相談したい等がありましたら、どうぞお気軽にアシストまでお問い合わせください。


長谷川 まり

株式会社アシストに入社以来十数年、セキュリティ対策製品担当として活動中。

売れない小説家だった祖父の影響で、文章を書くことが好き。
「役に立つ人間になる」をモットーに、日々真面目で丁寧な仕事を心がけている。

関連している記事

  • エンドポイントセキュリティ
  • ID管理
  • 認証
2024.03.14

特権ID管理もクラウドサービスで!選べるiDoperation Cloud(SaaS版)とパッケージ版

従来のパッケージ版に加え、クラウド版もリリースしたiDoperation。高い可用性が求められるサーバーの特権ID管理もSaaSで利用できるようになったことで、今後ますます需要が増えそうです。

  • サイバー攻撃
  • エンドポイントセキュリティ
2023.04.20

Active Directoryを狙うサイバー攻撃の王道と有効なセキュリティ対策

サイバー攻撃では多くの場合、Active Directoryが狙われています。企業の中核システムとして止められない。多機能で運用も複雑。そんなActive Directoryを守るには、どうしたらよいのでしょう。

  • エンドポイントセキュリティ
2022.08.26

PPAPとは?「脱PPAP」が求められる理由と代替手段の選定ポイント

業務でメールを利用する際のセキュリティ対策としてのパスワード別送「PPAP」。今回は、改めてPPAPとは何かのおさらいとリスク、代替手段についてご紹介します。

プロフィール


長谷川まり
セキュリティ製品を担当。お客様からの信頼も厚い、お姉さん的存在。

人気記事

ページの先頭へ戻る