「EPP」と「EDR」はどちらもセキュリティ関連の製品ですが、違いが分かりにくいものです。本記事では、EPPとEDRの違いを整理して解説します。
EPPは「Endpoint Protection Platform」の略称であり、マルウエアへの感染を防止するためのセキュリティ製品です。ここで言うエンドポイントとは、ネットワークに接続されている端末のことを指しており、パソコン・サーバー・スマートフォン・IoT機器などが例として挙げられます。また、マルウエアは悪意のあるプログラムやソフトウエアを総称する言葉であり、ウイルスやスパイウエアなどの種類があります。
EPPでは、エンドポイントに侵入したマルウエアを検知して自動的に駆除したり、実行されないように対処したりします。いわゆるアンチウイルスソフトウエアがEPPの代表格であり、インストールされているエンドポイントを保護する役割を担います。パソコンやサーバーには標準でインストールされているので、実はほとんどの企業が何らかのEPPを導入済みです。
従来型のアンチウイルスソフトウエアでは、事前に登録されたマルウエアのパターンと照合して保護する仕組みになっており、未知のマルウエアに対して対応するのは困難でした。しかし、近年はAI技術を取り入れたNGAV(次世代型アンチウイルス)と呼ばれるタイプが登場しており、未知のマルウエアに対してもある程度であれば対応できるようになってきました。
EDRは「Endpoint Detection and Response」の略称で、エンドポイントがマルウエアに感染した後の対応を支援するセキュリティ製品です。
EDRでは、エンドポイントがマルウエアへ感染したのを即座に検知し、マルウエアが広がらないように封じ込めをしたり、侵入経路を特定して復旧を支援したりする役割を担います。事前にインストールした情報収集用ソフトウエアがエンドポイントの状態や通信内容をリアルタイムで収集し、管理サーバーへと送信して分析するという仕組みです。
EDRがなければ、マルウエアがほかのエンドポイントにも次々に感染してしまう可能性があります。EDRを利用することで、機密情報の流出やデータの改ざんといった被害を最小限に抑えることができます。
ただし、ほとんどのEDRはマルウエアへの感染の検知・通知は自動で実施してくれますが、その後の対応は人の手で行わなければならないというデメリットがあります。同時に複数のエンドポイントが感染してしまった場合は、対応が遅れる可能性があるので注意が必要です。しかし、EPPと同様にEDRも進化しており、適切な対応を自動で行う機能を備えた製品も存在しています。
EPPとEDRは、どちらもエンドポイントを対象にしたセキュリティ製品であり、マルウエア対策という点でもよく似ています。両者を混同してしまい、どちらか一方しか導入できないと勘違いするケースもあるかもしれません。しかし、実際は機能が大きく異なるため、EPPとEDRは両立が可能です。
EPPとEDRの大きな違いは、「マルウエアへの感染を防ぐための製品」か、「マルウエアに感染してしまった後の被害を最小限に抑えるための製品」かという点に集約されます。
EPPではマルウエアへの感染を未然に防ぐことはできますが、もしEPPをすり抜けてしまった場合は何もできません。サイバー攻撃は日々進化しているため、EPPでマルウエアなどの侵入を100%防ぐのは不可能です。そのため、万が一感染した場合に備えて、EDRのようにマルウエアに感染した後の被害を最小限に抑える仕組みが必要になります。
反対に、EDRにはマルウエアへの感染を防ぐ機能は備わっていません。EDRだけだとエンドポイントが無防備になるため、毎日のように感染後の対応に追われることになってしまうでしょう。
EPPでマルウエアへの感染をできる限り防ぎつつ、どうしても防ぎきれないものだけをEDRで対応するというのが、エンドポイントのセキュリティ対策における理想の形です。
EPPとEDRはどちらも重要なセキュリティ製品ですが、優先順位はあります。上述した通り、EPPは標準でインストールされているケースも多いので、EDRを優先的に導入すべきだと考えた方もいるでしょう。しかし、実際はEPPの強化を優先すべきです。EPPを強化してマルウエアへの感染率を下げれば、EDRで対応する手間を大幅に減らせるため、効率的なセキュリティ体制を構築できます。
サイバー攻撃の被害で最も多いのはマルウエアを使ったものであり、EPPとEDRの重要性が高まっています。両者の違いを正しく理解した上で導入し、お互いの欠点を補う形で強固なセキュリティ体制を構築していきましょう。まずはEPPの見直しから行い、その上でEDRの導入を検討するのがおすすめです。