EPPとなにが違う？EDRの基本と、導入すべき理由

Emotetの感染急増や、サプライチェーンを狙った攻撃の被害など、サイバー攻撃に関する大きなニュースが続き、セキュリティー対策強化を急ぐ企業が増えています。そのなかで注目を集めているのが、EDR（Endpoint Detection and Response）です。

EDRは、PCなどのエンドポイント端末においてあらゆる挙動を収集・監視し、脅威の侵入を検出するセキュリティー対策製品を指します。主な機能としては、エンドポイント端末のログを収集し、挙動を把握するための「監視」、機械学習などにより脅威を発見する「検知」、ログを解析する「調査・分析」が挙げられ、さらに隔離や復旧支援などの機能を持つ製品もあります。これにより、マルウエアに感染したとしても、実際の被害が発生する前に対処できるようになるほか、従来の製品では難しかった、未知のマルウエア検知、マルウエア感染状況の把握、侵入経路などの原因究明も可能になります。

これまでも多くの企業が、ウイルス対策ソフトやファイアウオール、UTMなどでセキュリティー対策をおこなってきました。もちろん、ウイルス対策ソフトのパターンファイルを定期的に更新するといった運用は必須であり、ファイアウオールやUTMの導入も重要です。しかし、マルウエアなどの進化とともに、こういった何重もの対策をしていても「必ず脅威がすり抜けること」を前提に、EDRなどを組み合わせた対策が必要になっているのです。

あわせて、コロナ禍によりテレワークが進み、オンプレミスの一極集中でおこなう従来型のセキュリティー対策が限界を迎えています。リモートからアクセスするなかでのセキュリティーを担保するためにも、エンドポイントの対策を強化したいとEDRを検討する企業が増えているのです。

EDRとあわせてよく聞かれる言葉に「EPP（Endpoint Protection Platform）」や「NGAV（Next Generation Anti-Virus）」があります。これらとは何が違うのでしょうか？

まず、EPPはエンドポイントを保護する製品の総称で、パターンマッチングによるウイルス対策ソフトなどがここに含まれます。また、NGAVは次世代型アンチウイルスとされ、パターンマッチングで対処しきれない未知のマルウエアも、ふるまい検知機能や機械学習などにより検知できる製品で、NGAVもEPPに含まれます。

EDRとの大きな違いは、EPPがマルウエア感染前に検知・ブロックすることを目的とするのに対し、EDRはマルウエア感染後の検知・対処を目指す点にあります。「EDRでマルウエア感染後に検出できるならば、EPPは不要ではないか？」と考えたくなりますが、すべてのマルウエアをEDRで検知・対処するのではあまりに負担が大きくなります。EPPで検知できるものはEPPで検知・ブロックし、それをすり抜けて侵入したマルウエアなどにはEDRで対処する、と組み合わせて活用するのがベストです。

もう１つ、EPPでは基本的に検知後の駆除までおこなうのに対し、EDRは脅威の検知までしか対応しません。EDRにもNGAVとの連携により自動隔離する機能を持つ製品や、事前にシナリオを設定することで対処を自動化できる製品もありますが、基本的には検知後の対処は運用担当者自身で１つずつ検討・対応していく必要があります。

EDRのメリットは、セキュリティー対策において、マルウエア感染を素早く検知できること、侵入元を特定し、ネットワーク内での感染拡大を防止できることにあります。

一方で、高額なコストや運用が難しい点がデメリットとされてきました。しかし、EDRが登場した当初と比べ、さまざまなメーカーが製品を提供するようになり、求めやすい価格の製品も増えています。運用に関しても、マネージドサービスなどが出揃い、運用をすべて外部に任せて導入することも可能です。こういったサービスをうまく組み合わせて活用することで、運用面のハードルもクリアできるでしょう。

製品選定時には、機能比較だけで決めるのではなく、既存環境でのPoCを実施することをお勧めします。EDR製品は端末内の既存ウイルス対策ソフトと競合し、うまく動作しないケースがあるほか、ネットワークやセキュリティー機器との連携性が重要になります。実際の環境で問題なく稼働するか、検知後の対応状況はどうなるか、誤検知時はどう対処するのかなど、実環境で複数製品を検証し、選定するとよいでしょう。

もう１つ、コストについては製品のみの料金だけでなく、運用コストまで含めて検討する必要があります。製品によって、運用サポートまで含めた価格体系になっているもの、運用サービスは含まれないものなど対応範囲は大きく異なります。EDRのみの価格でコストを抑えられたとしても、別途マネージドサービスなどを利用すると、当然その分コストがかかりますし、自社で対応するとしても、人件費がかかってくるでしょう。トータルでの運用コストを意識して検討すべきと言えます

昨今のサイバー攻撃や脅威に対して、EPPによるセキュリティー対策だけでは不十分となってきており、EDRも当たり前に使われ、さらにほかのシステムやセキュリティー製品との連携に着手する段階へと進みつつあります。以前はセキュリティー投資に消極的な企業も多く見られましたが、インシデント発生が企業の信頼を大きく損ねるという認識が広まり、セキュリティーにもしっかり投資する企業が増えたことからも、EDR導入は今後さらに進んでいくでしょう。

ユニアデックスはマルチベンダーでさまざまな製品を取り扱っており、EDRはもちろん、認証やID管理などセキュリティー製品を幅広く手掛けてきました。複数メーカーのEDR製品に加え、運用支援に関してもさまざまなサービスを取り扱っています。例えば、ユニアデックスが運用を代行し、毎月のインシデント発生状況や取るべき対策をまとめたレポートを提出する支援サービスや、メーカーのマネージドサービス、ファイアウオールなどネットワーク機器まで含めた監視をおこなうセキュリティー運用監視サービスなど、多くの選択肢からご要望にあわせて提案します。

これまでのセキュリティー対策と同様、EDRも製品単体を導入して終わりではなく、全体最適を目指す必要があります。そのなかで、どの製品やサービスがベストなのかを判断するのは悩ましいもの。ユニアデックスでは、既存のセキュリティー対策の状況や、セキュリティー製品の導入状況、ウイルス対策ソフトの継続利用可否、運用監視の対象範囲など企業ごとの要件や事情にあわせて、最適な対策を提案します。

働き方改革とあわせて、クラウドシフト・テレワークが進むなかで、エンドポイント保護の重要性が増しています。既存のエンドポイント対策の見直しから、EDR導入、将来的なセキュリティー対策まで、今こそ改めて検討してはいかがでしょうか？