EPPとEDRの違い

エンドポイントセキュリティには複数種類がありますが、どれか1つだけ対策するのではなく、組み合わせることでさらにレベルを上げることが可能です。ここではマルウェア対策に効果的なEPPとEDRの違いについて解説します。

役割が異なるEPPとEDR

EPPとEDRの違いを明らかにするために、それぞれどのようなセキュリティ対策なのか整理してみましょう。

EPP

EPPはEndpoint Protection Platformの略で、エンドポイント保護プラットフォームと訳されます。マルウェアの感染防止に対応するもので、既知のマルウェアを検知してエンドポイントへの侵入を防ぐことが目的です。

「アンチウイルスソフト」がこれに該当し、エンドポイントに侵入しようとするマルウェアを検知すると駆除や無効化する機能があります。近年は攻撃が巧妙化しており、従来型のパターンマッチ方式だけでは十分とはいえません。

EDR

EDRはEndpoint Detection and Responseの略で、エンドポイント検出対応と訳されます。これだけだとEPPと同じように見えますが、EDRはエンドポイントに侵入した後のマルウェアを検知し、被害を拡大させないよう管理者をサポートします。

EPPがマルウェアの侵入前に重点を置いているのに対し、EDRが重視するのは侵入してしまった後の被害を最小限にすることです。同じエンドポイントセキュリティでも、EDRはEPPとは異なる役割を担います。

EPPとEDRが両方必要になる理由

EPPとEDRのそれぞれの役割を知れば、どちらか一つではなく両方必要になる理由もわかりやすくなります。EPPはマルウェアの侵入前、EDRは侵入後と守備範囲が異なり、片方だけでは十分とはいえないからです。

しっかりしたEPPがあればEDRは不要という考え方があります。確かに、100％マルウェアの侵入を防げるなら侵入後の対応は不要です。また、現在では既知のマルウェアだけでなく未知のマルウェアを感知できるものもあります。

しかし、攻撃するマルウェアと防御するセキュリティ技術は、長年いたちごっこが繰り返されています。どれほど高度なEPPができたとしても、それを破るマルウェアが出てくることは間違いありません。

EPPを突破された後の対応が遅れたり原因の究明ができなかったりすれば被害が拡大し、復旧することも難しくなる可能性があります。EPPをすり抜けた後の迅速な対応はEDRがあってこそできるのです。

状況を把握できることの重要さ

EDRはマルウェアの侵入を検知すると管理者に知らせるだけでなく、通信ログも取得しています。それにより、マルウェアの侵入経路や被害を受けた端末の特定が可能になるため、素早い対応につながるのです。

被害を受けて大変だった…というだけでなく、マルウェアに侵入を許した原因やシステム上の穴が見つかれば、その後は同様の被害を食い止めることができます。マルウェアの駆除と状況を把握することは同等レベルと考えてよいでしょう。