セキュリティスイッチとは?
2023.6.5UTMの普及率
2023.6.19EPPとEDRの違いは?~それぞれの役割を分かりやすく解説~
皆さんマルウェア対策はどのように対策していますか?
常に新しいマルウェアが作り出されており、その数は1日100万個と言われています。
マルウェア対策としてアンチウイルスソフトで対策している方がほとんどではないでしょうか?
アンチウイルス製品は、EPPと呼ばれており最も主流のセキュリティ対策と言えます。
しかし現在、EPPでの対策では不十分とされており、新たにEDRというマルウェア対策が注目されています。
それではEPPとEDRの細かい違いや正しいエンドポイントセキュリティの対策方法を分かりやすく解説していきます。
EPP(エンドポイント・プロテクション・プラットフォーム)の役割
EPPは、マルウェアの感染防止に特化した製品です。
冒頭でも説明しましたが、一般的に馴染みのあるセキュリティソフトなどのアンチウイルス製品がEPPに当たります。
ネットワーク内に侵入したマルウェアの検知を行い、感染する前に自動で駆除を行ったり、不正な通信の遮断を行ったりとマルウェアに感染しない働きを行います。
パターンマッチング、振る舞い検知、サンドボックス分析により未知のウイルスにも対応することが可能です。
しかしEPP製品がどんなに高性能でも100%守り切るのは不可能です。
常に新種のウイルスが作り出されているため、最新のウイルス定義データベースを保つのが困難とされています。
そのためマルウェアに感染することを前提に感染後の被害を最小限にするために開発されたのがEDRとなります。
EDR(エンドポイント・ディテクション・アンド・レスポンス)の役割
EDRは、パソコンやサーバーがマルウェアに感染してしまった場合、攻撃が始まる前に危険を察知して運用者に通知をしてくれます。
その後、EDRで取得した通信ログの解析を行い感染経路などを特定します。
感染した原因が特定できたら、対処方法など提案してくたり被害を最小限に抑えるサポートをしてくれます。
基本的には手作業で対処に当たりますが、中には原因が特定できた時点で自動的に通信を遮断したり、不正ファイルの削除を行ってくれる製品もあります。
EPPとEDRどっちがいいの?
予算や運用面に問題なければEPPとEDRの両方で対策をとるのが理想です。
しかし両方で対策を行う場合、企業にとって運用負担が大きいため製品の特性を比較したうえでEPPのみで対策している企業が多く存在します。
ですが前途でも説明している通り、日々新種のウイルスが作り出されているため100%防ぐことは不可能です。
EPPの検知率は高くないため、EPP単体で対策をしている企業は、すり抜けて侵入してきた場合のリスクに常にさらされます。
結論、正しいエンドポイントセキュリティ対策は感染防止のEPPと拡大防止のEDRどちらの対策も必要と言えます。
EPPとEDRどちらも導入するのはコストもリソースも足りない
今までの説明からEPPとEDRどちらの対策も必要なのはご理解いただけたと思います。
しかし現実的に各デバイスにEPPとEDRの二重の対策を行うにあたり、コストや人的リソースなど運用面での大きな負担は企業にとって避けられません。
負担を減らすことも、リスクを削ることも難しいのが現状です。
Cyber Gate-Endpoint(サイバー・ゲート・エンドポイント)
弊社が販売をしているエンドポイントセキュリティ製品の「サイバー・ゲート・エンドポイント」は、EPPとEDRを機能を兼ね備えた総合セキュリティ製品です。
1つの製品でEPPとEDRの機能をカバーできるため、企業にとってはハードルが高かった理想のエンドポイントセキュリティ対策を実現できます。
そのため二重の対策は必要なく、コストを抑えることができ、運用負担を減らすことが可能です。
サイバー・ゲート・エンドポイントは、IPA(情報処理推進機構)が発表している「情報セキュリティ10大脅威」に3年連続1位となっているランサムウェアにも有効です。
通常のアンチウイルスソフトでは、ランサムウェアや未知のウイルスには対応できません。
ハイスペック・エンドポイント・セキュリティであるサイバー・ゲート・エンドポイントであれば高水準でのセキュリティ対策が可能です。