#11　エンドポイントソリューションはEPP、EDRどちらが正解？

投資最適化ご検討事例

開く

昨今、サイバー攻撃が高度化・巧妙化してきており、それに伴い数多くの領域で様々なセキュリティソリューションが提供されています。

一方、それを導入する企業の環境も複雑になってきており、多層防御の視点で「ソリューションの最適な組み合わせ」を摸索する一方、運用面では「複雑さを回避する検討」が難しくなってきているのではないでしょうか。

セキュリティにかける予算も潤沢にあるわけではありません。
今回は、サイバーセキュリティ予算を鑑み、対策全般のバランスと運用負荷を考慮されエンドポイントソリューションを選択された事例をご紹介します。

エンドポイントソリューションの種類（EPP、EDR）

EPPとは

EPP（Endpoint Protection Platform）は、マルウェア感染を防止することに特化したソリューションです。
組織内に侵入したマルウェアを検知し、自動的に駆除したり、マルウェアが実行されないように隔離する機能を提供します。

これに分類される例としては、アンチウイルス製品やNGAV（Next Generation Anti-Virus）が挙げられます。
アンチウイルス製品は、パターンマッチング方式によりマルウェアを判別するタイプが一般的でしたが、日々新しく生み出される未知のマルウェアに対応していくことに限界があり、近年では深層学習・機械学習などAIや振る舞い解析などの技術を用いたNGAVにより未知・亜種のマルウェアにも対応できるように進化しています。

特に、深層学習型AIはファイルレスマルウェア、マクロ型マルウェアにも対応し、かなり強力な検知機能を実現しています。
ただし、どんなに強力なEPP製品であっても、マルウェアの感染を100%防ぐことは不可能です。

そこで、感染後の不審な挙動や攻撃にも対応するのがEDRソリューションです。

EDRとは

EDR（Endpoint Detection and Response）は、マルウェアの感染防止が目的のEPPとは異なり、マルウェア感染後の対応を支援するソリューションです。

EDR製品では、マルウェア感染後、攻撃あるいは攻撃と思しき挙動を検知しアラートとして通知し、合わせて原因となっているファイルの存在など、対処法を示唆する情報も提供します。

アラート検知後に自動でマルウェア隔離する機能なども実装されてきております。
しかし、多くの場合、感染したマルウェアの対応は人手で対応しなければならず膨大な工数がかかりますし、対応には専門知識も必要となります。

そのため、SOCサービスとセットで導入されるのが一般的となっています。

EPP・EDR の役割の違い：インフルエンザ予防

事例のご紹介

お客様の環境において、「重要な位置づけのPC／サーバー」を基準にソリューションをご選択されました。

重要な位置づけに併せたソリューションの選択

一般PC：

業務上メール送受信やWEB閲覧が多いため防御機能を重視。
メールに記載されているURLや、添付ファイルクリックにより感染するファイルレスやマクロ型マルウェアの防御もできるソリューションを選択。

重要な位置づけのPC／サーバー：

重要なデータを保全するため、AIによる一律自動防御でなく、攻撃につながる可能性のあるひとつひとつの挙動の詳細を検知し、対応の可否を決定できることを重視。

多層防御の視点では、EPP、EDR両方を導入することが、セキュリティ強化のためにはベストですが、限られた予算内で全体最適を考えられた事例です。
今後は、感染の進行と広がりを抑止するラテラルムーブメントの可視化（SIEM）、感染したとしても甚大な被害とならないための特権ID管理のご検討を予定されております。

弊社は、強みの異なる２種類のエンドポイントソリューションを取り扱っております。

アンチウイルス✕EDR✕監視サービス（MDR）をセットで利用可能な「CylanceGUARD（サイランスガード）」
各種ファイル・端末に対策できる次世代型アンチウイルス「Deep Instinct（ディープインスティンクト）」

ご関心がございましたら、お気軽に弊社の担当営業へお声がけください。

執筆者

萩川　義則

営業技術本部 MP統括部　

サイバースレッド＆セキュリティオペレーション担当
IIM入社後一貫してLANSCOPE、LogRevi、Cylanceなどの「内部情報漏洩対策」および「サイバー攻撃対策」の提案に従事。EDR、NDR、SIEM、SOC、インシデントレスポンスサービスもラインナップに加えセキュリティオペレーションも担当。