セキュリティ

セキュリティ対策におけるEPPとEDRを学ぼう!

ゼロトラスト」という言葉を聞いたことがある人は多いかもしれませんが、ゼロトラストはセキュリティの概念でして、ゼロトラストを実現するには、色々なセキュリティ製品を組み合わせる必要があります。

その製品の一つとしてエンドポイント対策の「EPP」と「EDR」があります。似たような言葉ですが、機能は違ったものになります。

今回は、EPPとEDRの説明や違いを解説します!

先ずゼロトラストとは?

先ずは「ゼロトラスト」という言葉を抑えましょう。

「ゼロトラスト」とは何も信頼しないという前提に基づいてセキュリティ対策を行う考え方です。

もうちょっと簡単に言うと、ネットワークや端末、全てにセキュリティ対策を施し、ログも含めて監視をする、ということです。

これまでのセキュリティ対策と言えば、インターネット側と社内や自宅などの物理的なエリアを分けて、外と内の境界の部分でファイアウォールやUTM、IPS、IDSなどのセキュリティ対策製品を用いて内側を守る、という手段でした。

しかし、サイバー攻撃の種類や数が日々続ける昨今においては、社内は信頼する、という考え方だとリスクが高くなってしまうことが分かりました。

そこで、ゼロトラストでは、社内外を問わずすべてのアクセスを信頼しないとして、ユーザーやデバイス、アプリケーションなどそれぞれ、適切な権限やポリシーを適用します。

これにより、業務効率や柔軟性を高めつつ、セキュリティリスクを低減することができるようになりました。

ゼロトラストとエンドポイント製品の概念

エンドポイントセキュリティとは?

ゼロトラストは色々な手法を組み合わせて実現していきます。

その手法の中で「エンドポイントセキュリティ」と呼ばれる、PCやサーバー、スマートフォンなどのエンドポイント(末端機器)をサイバー攻撃から守る対策方法があります。

このエンドポイントセキュリティには大きく二つの対策手法があり、それがEPPとEDRになります。

EPPとは?

EPPとは「Endpoint Protection Platform」の略で、エンドポイントにインストールされるセキュリティソフトウェアのことです。

従来のPCを買った時に入っているTrendMicroやMcAfeeやSymantecなどのセキュリティ対策ソフトのイメージですね。

EPPは、ウイルスやマルウェアなどの既知の脅威からエンドポイントを守るために、アンチウイルスやファイアウォールなどの機能を提供します。

EPPは、主にマルウェアに対しての予防的な事前対策として利用されます。

EDRとは?

EDRとは「Endpoint Detection and Response」の略で、EPPと同じくエンドポイントにインストールされるセキュリティソフトウェアのことです。

EDRは、EPPでは検知できない未知の脅威や高度な攻撃からエンドポイントを守るために、エンドポイントの状況や挙動を常時監視し、異常や侵入を検知した場合に対応してくれます。

EDRは、主にマルウェアに侵入され、感染してしまった場合の、検知・対応的な事後対策として利用されます。

昨今のランサムウェア対策にもEDRは活躍でき、万が一感染して、社内のファイルが暗号化されそうになっても、被害を最小限に抑えることができるようになっています。

EPPとEDRのイメージ

メリットとデメリット

エンドポイントセキュリティとしての「EPPとEDR」ですが、それぞれのメリット・デメリットはどうなのでしょうか?

とその前に大事なことですが、

EPPとEDRは比較するものではなく、両方を上手く組み合わせて使うもの

ということです。

その上でそれぞれのメリット・デメリットは以下のようになります。

メリットデメリット
EPP・既知の脅威に対して高い防御力を持つ
・エンドポイントに負荷をかけずに動作する
・セキュリティ運用が比較的容易		・未知の脅威や高度な攻撃に対して弱い
・脅威情報やパターンファイルの更新が必要
・攻撃者の手口や目的を分析できない
EDR・未知の脅威や高度な攻撃に対して強い
・エンドポイントの状況や挙動を詳細に把握できる
・攻撃者の手口や目的を分析できる		・エンドポイントに負荷をかける可能性がある
・セキュリティ運用が比較的困難
・専門的な知識やスキルが必要
EPPとEDRのメリット・デメリット

まあ、片方のメリットが片方のデメリットになる反対の関係ですので、やはり組み合わせた方が良いのですね。

まとめ

今回はサイバー攻撃から守るための対策として、エンドポイントセキュリティのEPPとEDRを解説してきました。

EPPとEDRのまとめ

  • エンドポイントセキュリティはゼロトラストの手法の一つ
  • EPPは主にマルウェアに対しての予防的な事前対策として利用される
  • EDRは主にマルウェアに侵入され、感染してしまった場合の、検知・対応的な事後対策として利用される
  • どちらが良いではなく、上手く組み合わせて使うことが重要

ひと昔前は、ウィルス対策ソフトを入れて、常に最新の定義ファイルをあてることで、新たな脅威に備えてましたが、今や端末全部の状態を常に監視し、何かあった時に被害を最小限に抑えるためのログを取っておく必要があり、セキュリティ対策はとても大変ですね。

サイバー攻撃から守るために、社内のセキュリティ対策も進化していますが、その分コストが掛かるのは頭が痛いところですね。。。

以上です!

-セキュリティ