EPPとは?
EPPは、Endpoint Protection Platform:エンドポイント保護プラットフォーム の略になります。
コンピューターウイルスなどのマルウェアの感染を防止するための製品で、ウイルスバスターやノートンアンチウイルスなどのウイルス対策ソフトがEPPに相当します。
ウイルスとマルウェアの違いについては下記の記事をご覧下さい。
それらのソフトは、侵入したマルウェアの検知、駆除、隔離などを行い実行を防ぎます。
検知には既に存在が判明しているウイルスなどのパターンに一致するかを確認して行うのが一般的ですが、最近の製品ではAI技術を使って微妙に変化した亜種のマルウェアなど、未知の物についても検知できる製品も存在します。
これらのEPP製品はほとんどのユーザーが導入して利用しているのではないでしょうか?しかし100%マルウェアの感染を防ぐことはできません。
そしていざ感染してしまうと、被害の拡大を防いだり、復旧させるのに多大な労力がかかってしまいます。
EDRとは?
EDRは、Endpoint Detection and Response:エンドポイントでの検出と対応、の略で、
感染防止を目的としているEPPとは異なって、マルウェア感染後の対策をも行う製品になります。
EDRではマルウェアを検知出来ずに感染してしまった時、実際にマルウェアが起動して攻撃をする前に、その挙動を検知して該当するファイルの削除や感染経路の調査をするのに役立つ情報を提供します。
大手企業においては、EDRを業務に関連するデバイスに入れることが義務づけられるなど、EPPだけではなくEDRも含めた対策を行う事が一般的になってきています。
EDRのメリット
メリットとしては、
- 監視をすり抜けたマルウェアを早期発見できる
リアルタイムに挙動を監視しているので、EPPで検出できなかった脅威を早期に発見して、感染の拡大や攻撃を未然に防ぐ(あるいは小さい被害にとどめる)効果があります。被害の内容や経路についても早期に調査することができます。 - リモートワークなどのリスクを減らせる
リモートワークなどでは、どうしてもセキュリティ対策の甘い環境で使用することも出てきます。その場合にはマルウェアの感染リスクが高まるのですが、EDRが導入されていれば、リモート環境からの侵入を防ぐ効果があります。
被害状況の把握ができる
マルウェアによる被害が発生した場合に、何処まで感染が広がっているのか?また侵入したセキュリティ上の穴は何処なのか?その調査に大変に手こずり、業務に長期間支障を来すことがあります。EDRではログとして経緯が記録されるのでその情報を基に調査と対策が素早く取る事ができます。
EDRのメリット
デメリットとしては、
- コストがかかる
デバイス単位でのライセンスコストがかかり、台数が多い場合には負担も大きくなります。 - 専門的な知識も必要
EDRを正しく運用するためには、ある程度の専門的なスキルが必要となってきます。社内にしっかりした情報システム担当者がいれば良いですが、そうでない場合には運用・保守を外部に委託するなどを検討することが必要になります。EDRを効果的に運用するには、ポンっと入れてお終いではなく、正しい設定と運用が鍵になります。 - EDRで感染がゼロになる訳ではない
EDRでは感染した場合のリスクを低減する事が出来ますが、感染を完全に防ぐことが出来る物ではありません。EPPやゲートウェイでの対策など総合的になされていてこと効果を発揮します。
