近年、デバイスの多様化やサイバー攻撃の巧妙化が進むなか、PCやスマートフォンなどの端末やサーバーなどのエンドポイントに焦点を当てた「エンドポイントセキュリティ」という新たな仕組みが注目されています。本記事では、エンドポイントを守る2つのセキュリティ・ソリューション「EPP」と「EDR」の特徴や違い、必要性などをご紹介します。
EPPとは?
EPPとは“Endpoint Protection Platform”の略で、エンドポイントのウイルス感染を防御する保護プラットフォームのことを意味します。エンドポイントとは、PCやタブレット、スマートフォンなどの操作端末のことで、広義の意味ではサーバーを含む場合もあります。つまり、EPPとは操作端末やサーバーをウイルス感染から保護するセキュリティツールのことなのです。
EPPは主に、ファイルベースのマルウェア攻撃を検知して、調査分析や自動修復を支援し、マルウェアの感染を水際で防ぐことを目的としています。要するに、アンチウイルスソフトと同様の働きをするといっていいでしょう。アンチウイルスソフトは従来、新種のコンピューターウイルスには無力だという弱点を抱えていましたが、近年はAIの機械学習や振る舞い検知などの機能を持つツールも増えており、そのセキュリティ機能を高めています。
EPPとEDRの違い
EPPと同様にエンドポイントを守るセキュリティツールとしてEDRが挙げられます。EDRとは、“Endpoint Detection and Response”の略称で、日本語では「エンドポイントでの検知と対応」と訳されます。すなわちEDRツールは、PCやスマートフォンなどのエンドポイントがウイルスなどの脅威に晒されたときに、いち早く検知し、対応するためのセキュリティソリューションであるといえるでしょう。
EPPとEDRは一見、同じものに思えるかもしれません。しかし、両者の役割や機能は微妙に異なります。つまり、EPPの目的が「エンドポイントにウイルスを侵入させないこと」に重点を置いているのに対し、EDRの場合は「エンドポイントにウイルスが侵入した後に如何に迅速に対応するか」という点に重きが置かれているのです。
EPPとEDRどちらも必要?
上記のように、EPPとEDRはそれぞれ異なる特長や役割を持ったツールです。EPPは侵入しようとするウイルスからエンドポイントを予防的に保護しますが、サイバー攻撃が急速に巧妙化するなかで、その守りも完全とはいえません。そこでエンドポイント内を常に監視・制御し、EPPの防御網をすり抜けてきた攻撃者やマルウェアの動きを制限するEDRが重要になってきます。つまり、EPPとEDR双方を併用することによって、ユーザーは二段構えでセキュリティリスクに備えることができるのです。このため、エンドポイントの保護レベルを可能な限り高めるためには、EPPとEDRの双方を組み合わせて使うのが理想といえるでしょう。
エンドポイントの保護が必要になった理由
前述したように、エンドポイントを強力に保護するにはEPPとEDRの両方を活用することが推奨されます。しかし、そもそもどうしてそれほど念入りにエンドポイントを守らないといけなくなったのでしょうか。
その主な理由としては、クラウドシステムの普及やエンドポイントの多様化などによって、従来型のセキュリティであるネットワーク境界防御が限界に差し掛かっていることが挙げられます。簡単に言うと、境界防御とは、ネットワークに内と外の区別を設け、社内ネットワークという「内側」とインターネットという「外側」の境界線上に防御壁を設置するセキュリティの仕組みです。
境界防御は従来のオンプレミス環境でのシステム運用の場合は合理的な方法といえました。しかし、クラウドの普及やそれによる多様な場所・デバイスからのアクセスが増えたことによって、どこからのアクセスが安全/危険なのかという境界は曖昧になってきています。さらに、サイバー攻撃はインターネットを介して行われるだけでなく、USBなどの物理デバイスからのマルウェア感染、あるいは自社の従業員による内部不正なども考慮しなくてはなりません。
境界防御においてはネットワークの「内側」は安全圏であるという、暗黙裡の前提が根底に働いています。しかし、現代のICT環境においてはもはや安全圏などどこにもないのです。EPPに加え、PCやスマートフォンなどの操作端末やサーバー内の振る舞いを監視・制御するEDRによる多層的なエンドポイント保護が重要になってきているのも、まさにこうしたセキュリティ環境の変化を反映してのことといえるでしょう。
エンドポイントを保護するポイント
前項ではエンドポイントセキュリティの重要性について解説しましたが、実際にエンドポイントを保護する際にはどのようなことがポイントになるのでしょうか。
まず注意すべきことは、EPPやEDRなどのセキュリティツールを導入することによって、PCの動作が重くなるなどの副作用を出してはならないということです。セキュリティの強化はたしかに重要ですが、それによって現場の従業員の業務効率が下がるような事態は回避しなければなりません。これはシステムの利用者側はもちろんのこと、管理者側にとっても共通して重要なことです。ただでさえ煩雑な作業に追われがちなIT担当者の負担を倍増させないように、ツールを導入する際にはその運用のしやすさを十分に考慮しましょう。
システム的な対策としては、EDRやEPPに搭載された「マルウェア検知」や「ID管理」、「暗号化」などの機能をしっかり使いこなし、継続的にセキュリティの強化に取り組んでいくことが大切です。また、AIの機械学習や振る舞い検知を搭載したツールを導入することによって、新種のマルウェアなど未知の脅威に対しても備えることができます。
堅牢なセキュリティサービスを提供する「HENNGE One」
エンドポイントのセキュリティを高める一方で、そこからアクセスする実際のデータ保管先であるアプリケーションの保護も併せて行うことが重要です。そこでおすすめしたいのがクラウドセキュリティサービス、「HENNGE One」の導入です。HENNGE OneはMicrosoft 365やGoogle Workspace、Salesforce.comなど、複数のクラウドサービスへのシングルサインオンと多要素認証(MFA)を実現するIDaaSです。
HENNGE Oneはパスワードレス認証などUI/UXに優れた豊富な認証機能を搭載しています。通常、セキュリティの強固さと便利さはトレードオフの関係にありますが、HENNGE Oneを導入することにより、企業はセキュアで使いやすいアクセス環境を構築できます。
まとめ
EPPが自社ネットワークをマルウェア感染などから予防的に保護するのに対して、EDRはむしろ自社システムに既にマルウェアや攻撃者が入り込んでいるという仮定の下でその対策を施します。このように、EPPとEDRではその機能と役割が異なるので、エンドポイントを堅牢に保護するためには両方を併用するのがおすすめです。
また、クラウドの普及やデバイスの多様化によって、様々なエンドポイントからのアクセスが可能になった現在、システムの安全性を担保するには強固な認証基盤が欠かせません。そこでおすすめしたいのが、セキュリティサービス「HENNGE One」の導入です。HENNGE Oneを利用することで、企業は堅牢さと便利さを兼ね備えたセキュアな認証基盤を構築できるでしょう。
