EDRとEPPの違いとは?導入するメリット・注意点・製品を選ぶポイントを紹介
2023.03.06(月)
- 運用・セキュリティ
企業内で業務を行う際は、多くのパソコンやスマートフォンなど、さまざまな端末がネットワークに接続されインターネットなどを利用します。
インターネットを含むネットワーク上には、さまざまなセキュリティリスクが存在しており、年々、サイバー攻撃は巧妙化。
被害の報告が後を絶ちません。
なかでも、データの流出や改ざん、破壊など深刻な影響をもたらすマルウェアへの対策は、企業が特に注意すべきものと言えます。
そのマルウェア対策として、近年注目を集めているのがEPPとEDRです。
本記事では、EDRとEPPの違いや、EDRを導入するメリットなどを解説します。
EDRとEPPの違いとは
EDR(Endpoint Detection and Response)とは、ネットワークに接続されたエンドポイント(ユーザーが操作するコンピュータやタブレット端末、スマートフォン、サーバー、プリンターなど)を監視し、不審な振る舞いの検知・通知・対処を目的にしたセキュリティソリューションです。
主にマルウェア(悪意のあるソフトウェア)に感染してしまった場合の検知・分析・封じ込め・原因特定を行って、被害を最小限に抑えます。
一方でEPP(Endpoint Protection Platform)とは、エンドポイントがマルウェアに感染しないように保護することを目的にしたソリューションです。一般的なウイルス対策ソフトがこれにあたります。
EPPには、ネットワークに侵入したマルウェアを検知し、不正なプログラムを駆除する機能が備わっています。
このようにEDRとEPPは、導入する目的が異なります。
EDR |
EPP |
|
目的 |
マルウェア感染後の被害を抑える |
マルウェア感染を防止する |
機能 |
マルウェアの侵入・感染を検知し、分析。 |
マルウェアを検知し、デバイスの感染を未然に防ぐ |
EDRとEPPの必要性
ここまで述べてきたように、EDRとEPPは目的も機能も異なります。マルウェアへの対策を行うには、EDRとEPPどちらも必要です。
なぜなら、マルウェア防止のために、EPPのみを導入しても100%感染を防げるわけではないからです。
まずはEPPでマルウェアの侵入を防ぎ、万が一侵入されてしまった場合の被害を最小限に抑えるためにEDRを導入するのがよいでしょう。
また、EDRは近年注目されているゼロトラストセキュリティという考え方の中で重要な役割を担うシステムです。
これまでのセキュリティ対策は境界型と呼ばれ、社内ネットワークとインターネットの境界でさまざまな対策を行って通信を制御したり、不正なアクセスを検知することで その内部にあるサーバーや接続する端末を守るというものでした。
対して、ゼロトラストセキュリティとは、すべてのユーザーやデバイス、接続元のロケーションを"信頼できない"ものとして捉えて備える新しいセキュリティの考え方です。
社内ネットワークからのアクセス=安全と信頼するのではなく、どこからのアクセスでも適切に検証を行うことにより安全性を確保します。
そこで重要なのが、複数の防御層を重ねてセキュリティ対策をより強固にする多層防御の仕組みです。EDRの導入はこの多層防御の一環となります。
EDRが注目されている背景
EDRが注目される背景には、以下の3つが挙げられます。
- サイバー攻撃への対策
- クラウドの普及
- 働き方の多様化
順番に説明していきます。
サイバー攻撃への対策
企業を狙ったサイバー攻撃は、年々巧妙化しており新たな手口が次々と生まれています。
EPPを導入して対策を取っていても、100%防げる保証はありません。
従来のEPPでは検知できない未知のサイバー攻撃を受ける可能性も否定できません。
そして、攻撃対象は、大企業のサイトや人気のWebページばかりではなく、企業規模に関わらず無作為に狙われています。
そんな中で企業はリスクの侵入対策だけでなく万が一の事態を想定し、セキュリティリスクが発生した場合を考えた対策も求められています。
EDRを導入していれば、脅威の侵入を許してしまったとしてもその後の対処がスムーズとなり、企業への被害を最小限に抑えられます。
クラウドの普及
その柔軟性の高さや利便性から、企業での導入が急速に進んているクラウド。
令和2年度版の総務省「情報通信白書」によると、約67%の企業がクラウドサービスを使っているそうです。
このような動きの中、業務システムを社内サーバーからクラウドサービスに移行する企業も増えています。
クラウドサービスはインターネットを介して利用することが多いため、セキュリティリスクにさらされる可能性も高まります。
クラウドサービスを利用する際のセキュリティ対策を行いつつ、EDRを導入することでより備えを万全にしておきましょう。
働き方の多様化
働き方改革などに代表される近年の時代背景やIT環境・ITツールの普及により、テレワークや外出先での業務は珍しくなくなりました。
場所を選ばず、どこからでも業務ができる状況は、インターネットなどを含む外部ネットワークに接続する機会が増えることを意味します。
これは、企業が抱えるセキュリティリスクが社内だけでなく社外にも広がっている状況です。
だからこそセキュリティ対策の最後の砦として、エンドポイントのセキュリティ対策を強化するEDRの導入が注目を集めています。
EDRの機能
ここからは、新しい考え方に基づくセキュリティ対策として押さえておきたいEDRについて解説していきます。
EDRに備わっている機能は、大きく分けて以下の4つです。
- 監視・検知
- 隔離
- 調査・分析
- 予防
それぞれ見ていきましょう。
監視・検知
監視・検知は、EDRのメイン機能です。端末操作やネットワークなどの状況を監視し、収集したログデータから不正な挙動を検知します。
不審な動きを発見した場合は、レポートやアラートを発信して、管理者に知らせます。
隔離
EDRの隔離は、マルウェアに感染したエンドポイントをネットワークから遮断する機能です。
感染した端末がネットワークに残ったままだと、被害が拡大する可能性があります。早期にネットワークから隔離できれば、他の端末への影響を最小限に抑えられます。
調査・分析
EDRは、常に端末のログ情報を収集しており、調査・分析に利用できます。収集したログ情報は、過去に遡って確認が可能です。
マルウェアの被害を受けた際の原因特定や感染範囲、感染した端末などの特定を行えます。
予防
EDRの予防機能は、エンドポイントにインストールされているソフトウェアやアプリケーションを把握してアップデートする役割があります。
ソフトウェアやアプリケーションは定期的に新しいバージョンが提供されます。エンドポイントのバージョンが更新されていないと、脆弱性への対策が遅れを取っていることになります。
脆弱性を狙ったサイバー攻撃を受けやすい状況を作らないために、このアップデート機能が役立ちます。
EDRを導入するメリット
前項「EDRとEPPの必要性」でも述べた通り、EDRはこれまでの境界型セキュリティとは異なる考え方の対策です。
実際にEDRを導入した場合、どんなメリットがあるのか以下にまとめます。
- セキュリティリスクを早期に発見・分析できる
- 感染拡大を抑えられる
- 根本原因の特定につながる
以下より1つひとつ解説します。
セキュリティリスクを早期に発見・分析できる
ウイルスソフト等のパターンマッチングで検出できない未知の脅威に侵入された場合、気づかないうちに被害がどんどん拡大してしまいます。
そんな最悪の事態を防いでくれるのがEDRです。
EDRを導入すると、監視とリスク検知の自動化により、素早く、漏れなく、きめ細やかな異常の検知が可能になります。
さらに原因や被害状況の分析を行い、管理者へアラート通知を出すことで、速やかなリスク対処を支援してくれます。
感染拡大を抑えられる
EDRは、セキュリティリスクを検知・分析するだけにとどまりません。
感染の拡大を最小限にするために、ウイルスが発見されたエンドポイントをネットワークから切り離す対応も行います。
また、エンドポイントで発見された危険性の高いファイルやプログラムを強制的に削除したり止めたりして、事態の収拾に努めます。
これらの対処で、ネットワーク経由で脅威がどんどん拡大してしまう状況を防ぎ、情報の流出や破壊などの被害が起こらないようにします。
根本原因の特定につながる
EDRは、発生した被害の根本原因の特定ができます。
過去に遡って収集したログを解析し、端末操作やネットワークの状況などの確認を行えるからです。
被害発生時間の前後の挙動を確認すれば、被害を受けた端末や侵入経路などを洗い出せます。
根本的な原因を把握することにより、同じような被害の再発防止に向けた対策が取りやすくなります。
EDRを導入する際の注意点
EDRの導入にはメリットもありますが、注意しなければいけない点もあるので、しっかりチェックしておきましょう。
- コストがかかる
- 外部からの攻撃は防げない
- 導入・運用にはITの知識・スキルが必要になる
- 端末への負担がある
詳しく見ていきましょう。
コストがかかる
EDRを導入する際は、一般的にエンドポイント端末の数に応じて費用がかかります。
EDRによる管理対象が多いほど、コストが高額になる傾向があります。
また、ライセンスを買い切るものと、月額利用料がかかるケースに分けられます。
ライセンス買い切りであれば、初期費用のみで利用できます。
月額利用料がかかる場合は、初期費用が抑えられる代わりに毎月の請求が発生します。
外部からの攻撃は防げない
これまで解説してきた通り、EDRは外部の攻撃を受けたあとの被害を抑えることを目的としたツールのため、
EDRを導入しても、外部からの攻撃を防ぐことはできません。
外部からの攻撃・リスクの侵入を防ぐには、EPPの導入が必要となります。EDRとEPP、双方を導入することで期待する効果が得られます。
導入・運用にはITの知識・スキルが必要になる
EDRの導入や運用には、IT知識・スキルが必要です。特にセキュリティに関する知識が求められます。
知識やスキルがないと、自社の課題に沿った効果的な製品を選定するのが難しいと想定されます。
また、EDRの運用では、マルウェア感染後の素早い対処が必要です。EDRの通知を受けて対処法を検討・実施し、原因の特定を行いさらなる対処をするには、専門知識がないと困難です。
自社でEDRの運用を行うのが難しいなら、外注するのも一つの方法です。
専門家に委託できれば、詳しい知識・スキルがなくてもセキュリティ対策の行き届いたIT環境を維持することができます。
端末への負担がある
EDRを導入すると、各端末にEDRをインストールし常時バックグラウンドで監視とログの収集を行うので、結果としてエンドポイントに負荷がかかります。
各端末への負荷がかかりすぎると、端末の動作が悪くなって業務に影響が出る可能性があります。
EDRを導入する際は、端末への負荷を検証して、業務に影響が出ないか、ユーザーがストレスを感じることはないか確認しましょう。
EDR製品を選定するポイント
EDR製品をいざ導入する場合はどんなポイントがあるのでしょうか。選定のポイントは以下の通りです。
- 導入目的と検知精度
- 料金体系
- サポート体制
- 提供形態
順番に見ていきましょう。
導入目的と検知精度
EDR製品は、パターンマッチング技術でウイルスの侵入を防ぐEPPや、振る舞い検知やAI・機械学習といった技術を用いた次世代のアンチウイルスNGAVの機能を兼ね備えた製品があるほか、EDR本来の機能に特化した製品もあります。
導入目的を明確にして、目的に沿った製品を選ぶようにしましょう。
また、EDRは脅威の侵入を検知する機能がメインとなる製品なので、検知精度はとても重要です。
サイバー攻撃は、年々巧妙化しているため、次々に新しい手口が出てきます。
未知の攻撃を検知できるEDR製品を選定すると、より安心して利用することができます。
料金体系
EDR製品を選定する際は、料金体系の確認が欠かせません。製品によって料金が異なるため、事前に確認する必要があります。
自社の予算内で利用できるか確かめておきましょう。
予算内で利用できるかどうかは選定ポイントの1つではありますが、決して料金の安さのみで選ばないようにしましょう。
安さだけで判断してしまうと、利用できる機能やサポートに制限が設けられている可能性があります。
自社で必要となる機能と利用料のバランスを考慮して、適切なEDR製品を選びましょう。
サポート体制
EDR製品の選定時は、サポート体制も確認しておきたいポイントです。
サポート体制が充実していると、不明点の解消はもちろん、活用のアドバイスを受けながら導入・運用ができます。
利用する側も理解度を高めてEDRを利用できれば、より効果的な活用が可能です。
導入前には必ず「サポート内容」「回答時間の目安」など、サポート体制の確認をしましょう。
なお、サポート体制の充実度に応じてランニングコストが高くなりがちなので、最低限譲れない要件を決めておくと製品を選定しやすくなります。
提供形態
EDRの提供形態には「クラウド」「オンプレミス」の2種類があり、それぞれで特徴が異なります。導入の際は提供形態もチェックしましょう。
クラウド型はインターネットを介してサービスが提供されます。スムーズな導入ができるため、初期費用が抑えられます。
オンプレミスは、端末やサーバーなどにインストールして利用する方法です。ネットワーク接続に依存せず、端末の監視をおこなえます。
自社の要件に合う提供形態の製品を導入してみてください。
おすすめのEDR製品
ここからは、おすすめのEDR製品3選を紹介します。ぜひ参考にしてみてください。
- Cybereason EDR
- VMware Carbon Black
- Symantec Endpoint Security
それぞれ製品概要を紹介します。
Cybereason EDR
Cybereason EDRは、サイバーリーズン合同会社が開発・提供する製品です。EDRに強みを持っており、高い国内シェアを誇っています。
Cybereason EDRは、ビッグデータ解析を活用した分析エンジン(Hunting Engine)を採用しています。
統計的にエンドポイントでの異常な行動を発見し、未知の攻撃をリアルタイムで検知することが可能です。
また、操作性に優れているのも特徴です。日本語に対応した管理画面で瞬時に状況を把握できる設計になっています。
複数の端末に対して、ワンクリックで「ネットワークから隔離」「プロセスの停止」などの対処を実行できます。
VMware Carbon Black
VMware Carbon Blackは、米国のVMware社が開発・提供している製品です。
最大の特徴はEDRだけでなく次世代型アンチウイルスNGAVの機能を標準で提供していることです。
ファイルの動作・挙動から不正を判断する「振る舞い検知」やマルウェアを数値化して予測防御する「AI・機械学習」などの機能を活用して、未知の攻撃への対策ができます。
また、VMware Carbon Blackは、クラウド上でセキュリティ機能を提供しています。
自社でサーバーを用意する必要がなく、端末にエージェントをインストールするだけで利用可能です。
1つのエージェントで「EDR」「NGAV」の機能を利用できるため、別々に導入する必要がなく、管理コストを削減できます。
Symantec Endpoint Security
Symantec Endpoint Securityは、米国のSymantec社が開発・提供している製品です。
EDR・EPPの双方を備えているのが特徴で、EDRに加えて、マルウェアの防御を強化する機能を標準で利用できます。機械学習を搭載しており、高精度のマルウェア検知を実現しています。
また、WindowsやMac、Linux、iOS、Androidなど、あらゆるデバイスとOSに対応。
1つのエージェントでさまざまな端末を管理できるため、リモートワークに適しています。
提供形態は「オンプレミス」「クラウド」「オンプレミス+クラウド」の3種類あります。自社の要望に合わせて導入が可能です。
まとめ~EDR製品の導入を検討しよう~
EDRはマルウェア感染後の被害を抑え、EPPはマルウェアの感染を防止する役割を持った製品です。
- アンチウイルスソフトなど、脅威の侵入を防ぐEPP
- EPPをすり抜けて侵入されてしまった場合の検知・拡大防止・原因の特定を行うEDR
この両方を導入することでセキュリティ対策を強化し、企業における被害を防ぐことができます。
どんどん巧妙化しているサイバー攻撃の脅威から自社の情報資産やITシステムを守ることは、企業の大切な責務です。
自社のセキュリティ対策に不安がある、より強化したいという場合は、多層防御の一環となるEDRの導入を前向きに検討しましょう。
導入や運用に不安がある場合は、セキュリティ対策ソリューションを扱う企業に相談することをおすすめします。
EDR製品の導入・セキュリティ対策にお悩みの方へ
被害に遭ってしまう前に備えておきたいセキュリティ対策。今や企業の知名度・大小に関わらず、すべての企業・団体が標的とされてしまう危険性があります。取り返しのつかない事態になる前に、自社のセキュリティ対策を見直してみませんか?
20年以上ITソリューションを手掛けるグローバルネットコアでは、国内屈指のシェアを誇るEDR製品Cybereason EDRをはじめ、多彩なセキュリティ対策サービスをラインアップしております。気になるサービスがありましたら、お気軽にお問い合わせください。
