EPPとEDRの違いは？ エンドポイント対策の目的や機能を解説

組織における高度なセキュリティ対策として、常にエンドポイント（端末）を監視する「エンドポイントセキュリティ」が注目されています。エンドポイントセキュリティは、役割によって「EPP」や「EDR」に分類されます。

それぞれの違いを理解することで、自社に必要なエンドポイント対策を見極められるでしょう。
本記事では、EPPとEDRの違いや、具体的な製品例を詳しく解説します。

そもそも「エンドポイント」とは、ITシステムやネットワークの終端に位置する装置を指します。例えば、PCやスマホ、タブレット、サーバー、プリンターなどの機器です。
こうしたエンドポイントおよびエンドポイント内の情報を保護する製品を「エンドポイントセキュリティ（Endpoint Security）」と総称しています。

従来から、社内ネットワークと外部ネットワークの境界で常時監視を行うソリューションとして「境界防御型セキュリティ」であるファイアウォールは存在しますが、境界防御型セキュリティはネットワークの外にある端末は保護できません。さらに、社内ネットワークにあるものを一律「安全地帯」とみなすため、万一内部に侵入された際の対策は不十分な部分がありました。

そこで、現在では境界防御型セキュリティに代わり、ネットワーク上のすべての通信や端末要素を信用しない・あらゆるアクセスは検証すべきものとみなす「ゼロトラストセキュリティ」の考えが主流となってきました。
ゼロトラストのセキュリティ体制を実現するためにも、エンドポイントセキュリティが欠かせない要素のひとつなのです。例えば「端末がウイルスやマルウェアなどに感染していないか」「端末へのアクセスの際、認証は正しいかどうか」など、端末単位でのセキュリティ強化が必要となります。

ゼロトラストセキュリティについて、関連記事を用意しております。
▼ゼロトラストネットワークと従来のセキュリティの違いについて解説

エンドポイントセキュリティが注目される理由として、次の2つが挙げられます。

1. エンドポイントがマルウェア感染やサイバー攻撃の起点となる
   

   多くの場合、エンドポイントはマルウェアの侵入地点となります。マルウェアが侵入する起点を常に監視することで、迅速な検知や防御が可能です。万一、検知をすり抜けたとしても、監視ログによって素早く原因を究明できます。

   またITの発展とともに、サイバー攻撃も複雑かつ高度に進化しており、検知・防御の難易度は年々高まっています。そのため、サイバー攻撃への有効な対策として、エンドポイントセキュリティが挙げられるのです。

2. リモートワークが拡大した
   

   働き方改革により、自宅やコワーキングスペースで働くリモートワークが広がりました。「社内ネットワークの外でエンドポイントを使用する」業務環境が一般化した、ということです。

   リモートワークにおいて、これまでの境界防御型セキュリティでは保護できない端末を守るため、エンドポイントセキュリティが最適といえるでしょう。
   働き方の多様化に伴い、社内に持ち込まれたり社外に持ち出されたりする端末へのセキュリティ対策として、エンドポイントセキュリティが必要なのです。

エンドポイントセキュリティには様々な種類がありますが、まずは組織に採用されることの多い「EPP」について解説します。

EPPとは「Endpoint Protection Platform」の略称で、マルウェア感染やサイバー攻撃を未然に防ぐためのセキュリティ製品です。エンドポイントを常に監視し、マルウェアや不審なアクセスを検知します。検知した脅威は、自動的に駆除される仕組みです。

EPPには以下の2つの手法があります。

パターンマッチング方式とは、エンドポイントをスキャンして既知のマルウェアを検出する手法です。
過去に検出したマルウェアの特徴をまとめたデータベースを参照し、一致したプログラムをマルウェアと判断します。データベースに記録されたマルウェアは確実に検知できる半面、未登録のマルウェアは検知できず限界があります。

ヒューリスティック方式とは、既知と未知のどちらのマルウェアも検出できる手法で、パターンマッチング方式の問題を解決するために誕生しました。

パターンマッチング方式では「シグネチャ」と呼ばれるウイルスのパターンを事前に用意し、それに該当するものを排除する仕組みでしたが、ヒューリスティックス方式ではシグネチャを必要としません。新しいプログラムの振る舞いやコードを分析し、マルウェアであるかを都度判定します。データベースに依存しないため、未知のマルウェアも発見できるわけです。

EPP製品は、主に以下の機能が搭載されています。マルウェア侵入を防ぐ数々の機能により、エンドポイントを強力に保護しています。

• 未知および既知のマルウェア検知
  定義ファイルの更新は頻繁に行われるため、新しい脅威に対しても素早く対応。また、リアルタイム保護により、感染拡大前にマルウェアを隔離し、ネットワークや端末への被害を最小限に抑えます。
• パーソナルファイアウォールによる不正侵入対策
  ネットワークファイアウォールと同様に、エンドポイントへアクセス可能なポートとIDを制限します。
• アプリケーション制御
  端末内で実行可能なアプリケーションに対してホワイトリスト制御（「安全な対象」をリストへ定義し、対象外のものは排除すること）を行います。
• デバイス制御
  USBメモリをはじめとする外部接続のデバイスを制御します。
• Webフィルタリング
  インターネットへアクセス時に、アクセス先URLをデータベースと照合し、不正なURLへのアクセスをブロックします。

事前対策であるEPPと対照的なソリューションが、EDR（Endpoint Detection and Response）です。
EDRは、マルウェアの侵入後やサイバー攻撃に遭った後の事後対策です。エンドポイントの動作・状況を常時監視し、マルウェア感染やサイバー攻撃を発見次第対処することで、被害を最小限にする「侵入や攻撃を前提とした対策」を実現します。

EDRでエンドポイントを監視するためには、専用の「エージェントソフトウェア」が必要です。エンドポイントにインストールされたエージェントソフトウェアは、端末の利用状況や通信内容などのログを収集します。
ログ解析で不審な挙動や攻撃が判明すると、管理者へ即座に通知される仕組みです。通知を受けた管理者は、EDRの管理画面から具体的な脅威の内容と影響範囲を確認できます。
「エンドポイントをネットワークから切り離す」といった応急措置をEDR上で行い、完全な復旧へ向けた対処方法を考案・実行します。

またEDRは、不正なプログラムを使用せずPCのOSに元々備わっている機能を使用して行われる「ファイルレス攻撃」の可視化も得意としています。ファイルレス攻撃は、基本的に検知しにくい難点がありましたが、EDRではエンドポイント上の不審な振る舞いから脅威を識別するため、未知の脅威であっても素早く検知できるのです。

関連記事もご用意しております。
▼XDRとEDRの違いとは？ EPPはセキュリティ対策にならない？ 情報を脅威から守ろう

EDR製品は、主に以下の機能があります。

• エンドポイント監視とログ収集
  エンドポイント端末に専用の侵入検出センサーやソフトウェアを導入し、ネットワーク接続ログ・ファイル操作ログなど各種のプロセスログを常時監視。これによりマルウェアの脅威を検知します。
• マルウェアや不審な振る舞いの検出
  ネットワークやサーバー、エンドポイントの挙動を監視し、不審な振る舞いがないかを見張ります。不審な動きがあれば管理者に通知し、速やかに対処を行います。また、どのエンドポイントから侵入したのか、攻撃の範囲や状況などを明らかにし、脅威や攻撃の分析を蓄積することで、さらに不審な動きを検知できるようになります。
• エンドポイント隔離やアプリケーション停止などの応急措置
  不審な挙動を阻止し、エンドポイントをネットワークから隔離したりアプリケーションを停止したり応急処置をとることで、被害を最小限に抑えます。
• 不審なファイルの削除やレジストリの修復
  脅威が検出されたエンドポイント内にある不審なファイルの削除、レジストリ（PCに関するあらゆる情報が格納されているデータベース）の修復などを行います。
• マルウェア感染の予防
  EDRの予防機能として、エンドポイントのぜい弱性を見つけ、マルウェアに感染しづらい環境を整える機能があります。
  エンドポイントにインストールされているアプリケーション情報を取得し、バージョンアップやパッチ更新がないかを監視。強制的に最新版に更新することで、エンドポイントで利用されているアプリケーションのぜい弱性を発見し、エンドポイントを守ります。

EPPとEDRは、どちらもエンドポイントを守るソリューションです。どちらか片方のみ導入すればよいと考える方もいるのではないでしょうか。

結論的には、予算や運用負荷の問題がなければ、EPPとEDRは併用が望ましいです。

EPPとEDRは同じエンドポイントセキュリティですが、先述した通り、役割がそれぞれ異なります。EPPの役割は「事前対策」であり、EDRは「事後対策」を担います。併用することで、自社の情報セキュリティを一層強化できるのです。

現代のEPPは、AI（人工知能）・機械学習の技術を用いることで従来のアンチウイルスに比べ検知精度が高まる「NGAV（Next Generation Anti-Virus）」の登場により、未知のマルウェアにも対応できるようになりました。発見されたばかりの「ゼロデイ攻撃」や「標的型攻撃」のために作られた専用マルウェアも検出できます。

しかし、こうした新種のマルウェアは次々と生まれており、EPPがそれらすべてを必ず防げるわけではありません。そのような理由から、EPPをすり抜けてしまった脅威への対処としてEDRが不可欠だといえるのです。EDRによって素早く脅威に対処することで、情報漏えいやデータ破壊といった甚大な被害を防げます。

また反対に、EDRだけあればよいというわけでもありません。EPPで多くの脅威を自動的にブロックしなければ、EDRの異常通知が膨大になります。EDRの運用負荷が非常に重くなるため、EDRにはEPP導入を前提にして検討するとよいでしょう。

NGAVについては、下記記事をご参考にしてください。
▼NGAV・次世代型アンチウイルスとは？ 従来型対策との違いやEPP/EDRとの違いも解説

EPPとEDR製品の中には、双方の機能を持つ統合型製品が存在します。それぞれに特化した製品の個別導入も可能ですが、製品同士の相性によって運用が難しくなる可能性があります。

統合型製品であれば、ひとつの製品で一元管理が可能です。事前・事後の対策を同一システムで管理できるため、運用負担を減らせるでしょう。
また、導入も一度で済むため、導入にかかる工数やコストも削減できるメリットもあります。

EPPやEDRには、どのような製品があるのでしょうか。
「EPP特化タイプ」「EDR特化タイプ」「統合型製品」の3種類に分け、具体的な製品例を紹介します。

EPP特化タイプの代表的な製品は、次の2つです。

1. CylancePROTECT（サイランスプロテクト）
   

   「CylancePROTECT」は、ブラックベリー社が提供するAIと機械学習を活用したEPP製品です。

   数理モデルAIの効率的な手法により、エンドポイントのCPU使用率を大幅に削減します。エンドポイントのパフォーマンスを落とさないため、ユーザーの業務を邪魔することなく、またエンドポイントがクラウドと接続していなくても常に端末を保護できます。
   
   
2. ESET PROTECT Entry クラウド
   

   「ESET PROTECT Entry クラウド」は、中小企業向けのEPP製品のひとつです。
   マルウェア対策、ネットワーク保護、フィッシング対策、迷惑メール保護など、基本的なエンドポイントセキュリティ機能が搭載されています。最小ライセンス数6つから導入できるため、小規模事業のセキュリティ対策としてもおすすめです。

EDR特化タイプの製品は、以下3つがあります。

1. Sophos Intercept X Advanced（ソフォスインターセプトエックスアドバンス）
   

   「Sophos Intercept X Advanced」は、ソフォス社から提供されているディープランニング技術を活用したエンドポイント保護製品です。
   疑わしい動きを自動で検知し、緊急度の高いイベントの優先順位や影響範囲を素早く特定します。検知した脅威をネットワークから自動で隔離し、ランサムウェアにより暗号化されたファイルの自動修復も可能です。

   Sophos Intercept X Advancedの導入事例をまとめた資料を用意しております。
   【事例】個別のセキュリティ対策を統合。セキュアで高精度のサーバー環境を構築

2. Cybereason EDR（サイバーリーズンエーディーアール）
   

   「Cybereason EDR」は、サイバーリーズン社が提供するEDR製品で、クラウド上の分析エンジンを活用し、サイバー攻撃を迅速に検知します。
   数万台におよぶエンドポイントからログを収集するため、影響範囲の速やかな特定が可能です。検知後は管理画面にリアルタイムで通知し、サイバー攻撃の全体像を可視化します。複数の端末への応急措置をワンクリックで実行できるため、早期対応につながります。

3. Trellix EDR（トレリックスエーディーアール）
   

   「Trellix EDR」は、トレリックス社が提供するEDR製品です。
   検出した脅威に対してAIが優先度を判定し、不要な通知を削減します。管理画面では重要な脅威が自動で表示されるため、手動による脅威の評価作業が必要ありません。
   EDRの通知への対応や煩雑な作業を減らすことで、情報システム担当者の運用負荷軽減を実現できるでしょう。

   EDR製品については、こちらの記事でさらに詳しく比較・紹介しています。
   ▼EDR製品でどのようなセキュリティを実現できる？ 概要や仕組み、具体的な製品を紹介

EPPとEDRの両機能を持つ統合型製品を3つ紹介します。

1. VMware Carbon Black Cloud（ヴイエムウェアカーボンブラッククラウド）
   

   「VMware Carbon Black Cloud」とは、ヴイエムウェア社が提供するEDR機能とNGAV機能を備えた次世代のエンドポイント保護ソリューションです。
   NGAV機能による振る舞い検知で、未知のマルウェアを高精度に検出・駆除します。万一、エンドポイントがマルウェアに感染しても、EDR機能での素早い検知と復旧が可能となります。

   VMware Carbon Black Cloudの導入事例を用意しておりますので、併せてご参考にしてください。
   【事例】リモート環境整備のための、適切なセキュリティ運用を実現

2. CrowdStrike Falcon（クラウドストライクファルコン）
   

   「CrowdStrike Falcon」は、クラウドストライク社が提供するEDRとNGAVによるクラウド型エンドポイントセキュリティソリューションです。
   ひとつのプラットフォームにEDR・NGAV・セキュリティエキスパートによる脅威分析を集約しており、日々生み出されるマルウェアやランサムウェアなどの新しい脅威への対策として、効果的に検知・防御します。クラウド型にすべての機能が実装されているため、管理者とエンドポイントの負荷軽減が可能です。

3. Symantec Endpoint Security（シマンテックエンドポイントセキュリティ）
   

   「Symantec Endpoint Security」は、Symantec Endpoint Protectionで提供しているマルウェア対策に加え、さらなる防御機能を備えた多層防御ソリューションです。
   Symantec Endpoint SecurityはEDRにおいて、エンドポイントの状況を見てイベントを検出する「フライトデーターレコーダー機能」、AI・機械学習で分析し脅威を検知する「振る舞いフォレンジックス機能」標的型攻撃と疑われる挙動を検出し脅威調査アナリストがインシデントを分析する「標的型クラウド分析機能」があります。これらの機能で多くの標的型攻撃を検出し、また、攻撃全体像や感染経路の可視化を容易なものとします。

EPPやEDRを導入する際は、自社のITシステムやネットワークなどの現状調査が必要です。
EPPやEDRは製品によって細かな機能が異なり、対象とする企業規模も違います。自社の利用状況に見合った製品を選ばなければ運用負荷が大きくなったり、機能を持て余してしまったりするかもしれません。

自社に最適なEPPやEDRを見極めるためには、一定のIT知識と充分な検討時間が求められます。そのため、社内のIT人材が不足している場合は導入支援サービスの活用がおすすめです。
テクバンは、前章で紹介した以下3つのEDR製品の導入をサポートしています。
テクバンへセキュリティ対策の相談をする

EDRに特化したSophos Intercept X Advancedの導入支援を行っております。
連携する監視・脅威検知・除去・回復までの作業を包括的にサポートするMDR（Managed Detection & Response）サービスでは、豊富な専門知識と経験を持つテクバンのスペシャリストが、導入から監視運用・インシデント対応・再発防止策の策定まで支援します。
また、Sophos Emailと連携させ、スパムやマルウェアを送信する感染端末を自動的に検出することも可能です。
Sophos Intercept X Advanced導入支援サービス

テクバンは、VMware Carbon Black CloudとWorkspace ONEの連携（Workspace Security）および導入など、トータルで対応可能な数少ないパートナー企業です。
両製品を連携により、デバイス管理と情報セキュリティの連携も実現し、エンドポイントのセキュリティ強化と利便性向上を実現します。
VMware Carbon Black Cloud（EDR）導入支援サービス

CrowdStrike Falconは、クラウドネイティブなFalconプラットフォームと軽量なシングルエージェントで包括的なエンドポイント対策を提供します。
テクバンではお客様に代わり、24時間365日の体制でFalconプラットフォームの管理とモニタリングを実施。検知したアラートを調査した上で、事前に定義済みのプレイブックに従い、状況に応じて悪質なアクティビティを遠隔から処理します。
CrowdStrike Falcon導入支援サービス

EPPとEDRの最大の違いはそれぞれの役割にあり、EPPはサイバー攻撃の「事前対策」であるのに対し、EDRの役割は「事後対策」です。
EPPとEDRを併用することで、セキュリティ対策をより一層高められます。自社の情報資産を強固に保護したいのであれば、EPPとEDRの両方や統合型製品の導入をおすすめします。

それらの導入や運用でお困りごとがありましたら、ぜひテクバンまでご相談ください。お客様に最適なソリューションの提案やセキュリティ運用を提供します。