EPP(Endpoint Protection Platform:エンドポイント保護プラットフォーム)は、PCやスマートフォンなどの端末に対して侵入を試みるマルウェアやウイルスを検知し、自動的にブロック・駆除する機能を備えたソリューションです。
従来のアンチウイルス(AV)だけでなく、AIを活用した次世代アンチウイルス(NGAV)もEPPに含まれます。
本記事では、EPPの基本的な機能や仕組みをはじめ、EDRとの違いや導入時に考慮すべきポイントについて解説します。
EPP(Endpoint Protection Platform)とは?
EPPは、PCやスマートフォン、サーバーなどのエンドポイントデバイスをマルウェアやサイバー攻撃から保護するためのソリューションです。
従来のウイルス対策ソフトは、既知のマルウェアのパターン(シグネチャ)を基に検知する「シグネチャ型」が主流でしたが、新種や亜種のマルウェアには対応が難しいという課題がありました。
そのため、近年のEPP製品では、機械学習や振る舞い検知などの技術を取り入れ、未知の脅威にも対応できるよう進化しています。
エンドポイントでの脅威をリアルタイムに検出し、自動的にブロックや隔離、駆除を行うことが可能となりました。
EPPは「事前防御」を目的としていることから、近年では万が一脅威が侵入した場合に「事後対応」を担うEDR(Endpoint Detection and Response)と併用することが推奨されています。
EPPとEDRを併用することで、より強固なセキュリティ体制を構築することができるのです。
エンドポイントとは?
エンドポイントとは、ネットワークの末端に位置し、ユーザーが直接操作するデバイスや機器のことを指します。
下図のようなデスクトップPCやノートPC、スマートフォン、タブレット、サーバー、プリンター、さらにはIoT機器などが含まれます。
■詳しい製品比較は、こちらの記事をご覧ください。
エンドポイントセキュリティ製品の比較9選(EPP/EDR) | TD SYNNEX株式会社
EPPの需要が高まっている背景
EPPは、テレワークの普及により従業員が自宅や外出先からアクセスするケースが増え、社内ネットワークだけではセキュリティを担保できなくなったことから注目されるようになりました。
その結果、エンドポイント自体を保護する必要性が高まっています。
また、近年では「すでに侵入されているかもしれない」という前提で防御を考える「ゼロトラストの概念」が主流となり、未知の脅威に柔軟に対応できるEPPの導入が進んでいます。
さらにEPPとEDRの統合が進み、より広範囲の脅威に対応するため、エンドポイントだけでなく、ネットワークやクラウドなど複数のセキュリティレイヤーを統合的に監視・分析し、対応を行うXDR(Extended Detection and Response)への移行も進んでいます。
■ゼロトラストについて、詳しくは以下の記事もご覧ください。
EPPを取り巻くソリューション
EPPにはさまざまなソリューションが含まれており、さらにXDRやMDRといった仕組みも登場しています。
これらはいずれも、企業のセキュリティを強化する有効な手段となっています。
EPPを取り巻くソリューションついて、紹介していきます。
アンチウイルス(AV)
アンチウイルス(AV)は、既知のマルウェアのパターン(シグネチャ)を基に検知する「シグネチャ型」の検知方法を採用する製品です。
定義ファイルを用いて、既知のマルウェアの特徴を登録したデータベースと照合し、一致する脅威を検出します。
この手法は、既知のマルウェアに対して高い検出率を維持できる点が主なメリットです。
しかし、シグネチャに登録されていない未知の脅威に対応できないという難点があります。
定期的なパターンファイルの更新も必要であり、リアルタイム性には限界があります。
ただし、既知の脅威に対しては高い検出率を維持できることから、EPPの基本的な機能として今でも重要な役割を果たしています。
次世代アンチウイルス(NGAV)
NGAV(Next Generation Anti-Virus)は、従来のアンチウイルスソフトが抱える課題を克服するために開発された、次世代型のウイルス対策ソリューションです。
従来のアンチウイルスは、既知のマルウェアのパターンを基に検出する「シグネチャ型」が主流であり、新種や亜種のマルウェアには対応が難しいという課題がありました。
NGAVは、AIや機械学習、振る舞い検知、サンドボックスなどの技術を組み合わせることで、未知のマルウェアやゼロデイ攻撃、ファイルレスマルウェアなど、従来の手法では検出が難しかった脅威にも対応可能です。
これにより、エンドポイントデバイスをより効果的に保護することができます。
XDR(Extended Detection and Response)
XDR(Extended Detection and Response)は、エンドポイントに加えて、ネットワーク、メール、クラウド、サーバーなど複数のセキュリティレイヤーからデータを収集・相関分析し、サイバー攻撃の全体像を可視化して対処するセキュリティソリューションです。
EDRがエンドポイントに限定した機能であるのに対し、XDRはより広範な範囲をカバーします。
XDRは、攻撃の痕跡を検知、可視化することで、インシデントの調査、原因特定、対処を行う機能を提供します。
また、XDRは、攻撃シーケンス全体を構成する行動に焦点を当てたオペレーション中心のアプローチを採用しており、攻撃の個別要素を修復するのではなく、攻撃全体を終了させることができます。
MDR(Managed Detection and Response)
MDR(Managed Detection and Response)は、EDR製品を管理するサービスで、マルウェア検知から解析、インシデントの初動対応まで、EDRの各種機能および運用サービスを提供します。
EDRは「エンドポイントで脅威を検知(Detection)して、対応(Response)を支援する」ことを主眼としています。
エンドポイントにおける脅威の動きを包括的に可視化し、ハッキング活動の検知・観察や記録、攻撃遮断などの応急措置を組織として行えるようにすることがEDRの主な目的ですが、そのためには検知内容の判断、ログの監視・解析、攻撃遮断の判断など一定のスキルが運用部門においても必要となるため、ユーザー単独でEDRを運用することが困難な場合があります。
そのため、MDRは、EDRの機能をマネージドサービスとして提供し、専門家が24時間365日体制で脅威の監視・検知・対応を行うことで、組織のセキュリティ体制を強化します。
モバイルデバイス管理(MDM)
モバイルデバイス管理(MDM:Mobile Device Management)は、企業が業務で使用するスマートフォンやタブレットなどのモバイル端末を管理・制御するためのソリューションです。
テレワークやBYOD(Bring Your Own Device)の普及により、企業の情報資産を守るためにMDMの導入が進んでいます。
主に次のような機能や役割があります。
リモートロックおよびワイプ
端末の紛失や盗難時に、遠隔操作で端末をロックしたり、データを消去したりすることで情報漏洩を防ぎます。
アプリケーション管理
業務に必要なアプリの一括配信や、不要なアプリの削除、利用制限を行い、業務効率の向上とセキュリティの強化を図ります。
ポリシー設定と適用
パスコードの強制化やWi-Fi接続先の指定、カメラや外部ストレージの利用制限など、セキュリティポリシーを端末に適用します。
位置情報の取得
端末の現在地や移動履歴を把握し、紛失時の迅速な対応や不正利用の防止に役立てます。
コンテナ化
個人利用と業務利用のデータを分離し、業務データのみを管理・制御することで、プライバシーを保護しつつセキュリティを確保します。
データ損失防止(DLP)
データ損失防止(DLP:Data Loss Prevention)は、企業の機密情報や個人情報などの重要データが、不正に持ち出されたり、誤って外部に漏洩したりすることを防ぐためのセキュリティ対策です。
主に次のような機能や役割があります。
機密データの識別と分類
クレジットカード番号や個人識別情報(PII)などの機密データを特定し、監視対象とします。
データの監視と制御
ネットワークトラフィックやエンドポイントの動作を監視し、機密データの不正な転送やコピーを検出・防止します。
ポリシーの適用
組織のセキュリティポリシーに基づき、特定のデータの送信や保存を制限し、違反があった場合にはアラートを発するなどの対応を行います。
ユーザー教育と意識向上
従業員がデータ保護の重要性を理解し、適切な取り扱いを行うよう促すためのトレーニングやガイダンスを提供します。
EPPが脅威を検知して防御する仕組み
EPPには、アンチウイルス(AV)や次世代アンチウイルス(NGAV)が含まれます。
違いは下図のとおりです。
| 項目 | アンチウイルス(AV) | 次世代アンチウイルス(NGAV) |
|---|---|---|
| 検出方法 | シグネチャ(署名)ベースの検知 | 機械学習、振る舞い検知、サンドボックスなどの複合的な検知 |
| 対応できる脅威 | 既知のマルウェア | 既知のマルウェア 未知のマルウェア 高度な持続的脅威 |
| 検知内容の更新方法 | 定期的にシグネチャ更新が必要 | 自動学習を行う |
機械学習
機械学習は、アンチウイルスソフトが膨大なマルウェアデータを学習することで、特徴を抽出して新たな脅威を予測・検出する方法です。
従来のアンチウイルスソフトは、既知のマルウェアのパターン(シグネチャ)に基づいて脅威を検出していました。
しかし、新しいマルウェアや亜種、ゼロデイ攻撃など、シグネチャだけでは対応できない脅威が増加しています。
そのため、大量のマルウェアサンプルデータを学習し、その特徴を抽出することで、未知の脅威にも対応できる機械学習技術が、EPPに導入されるようになりました。
機械学習を活用することで、過去のデータから将来の攻撃パターンを予測し、シグネチャが存在しない新しいマルウェアであっても、その挙動や特徴からマルウェアである可能性を判断し、防御することが可能になります。
たとえば、あるEPP製品の機械学習モデルは、数百万件のマルウェアと正常なファイルのデータを学習しています。
この学習データに基づいて、新しいファイルが実行されようとした際に、そのコード構造、API呼び出し、ネットワーク接続などの特徴を分析し、過去のマルウェアと類似点が多いかどうかをリアルタイムで評価します。
もし類似性が高いと判断された場合、そのファイルは未知のマルウェアである可能性が高いとされ、実行をブロックしたり、隔離したりといった対応が自動的に行われます。
機械学習は、既知の脅威だけでなく、未知の脅威に対して高い防御能力を発揮します。
振る舞い検知(動的ヒューリスティック)
振る舞い検知は、プログラムの挙動や行動パターンを監視し、不正な動作を検出する手法です。
動的ヒューリスティックとも呼ばれ、プログラムを実際に実行させ、その挙動を観察することで、マルウェアかどうかを判断します。
たとえば、ファイルの暗号化や不審なネットワーク通信など、通常とは異なる挙動が検出された場合、それをマルウェアと判断します。
静的ヒューリスティック
静的ヒューリスティックは、プログラムを実行せずに、そのコード構造や特定のパターンを分析することで、マルウェアを検出する手法です。
既知のマルウェアの特徴を基に、類似の構造を持つ未知のマルウェアを推定します。
この手法は、実行前にマルウェアを検出できるため、システムへの影響を最小限に抑えることができます。
ただし、推定に基づく検出であるため、誤検知のリスクも存在します。
サンドボックス
サンドボックスは、疑わしいプログラムを安全な仮想環境で実行し、その挙動を観察して、マルウェアかどうかを判断する技術です。
この仮想環境は、実際のシステムから隔離されているため、万が一マルウェアであっても、システムへの影響を防ぐことができます。
たとえば、サンドボックスを活用して、メールに添付されたファイルを検査し、未知のマルウェアを検出することができます。
サンドボックスは、ゼロデイ攻撃やファイルレスマルウェアの検出にも有効であり、EPPの防御力を高めます。
EPPとEDRの違い
EPPとEDRは、いずれもエンドポイントを保護するためのセキュリティ製品ですが、その役割には違いがあります。
EPPはマルウェアの侵入を未然に防ぐ「事前防御」に特化しており、ウイルス対策ソフトや次世代アンチウイルス(NGAV)などが該当します。
一方、EDRは「事後対応」を担い、すでに侵入したマルウェアの挙動をリアルタイムで監視し、異常を検出・分析・対処する仕組みです。
たとえば、マルウェアに感染した端末を即座にネットワークから隔離できるほか、感染前の状態に復元するためのバックアップ機能を備えた製品もあります。
現在では、EPPとEDRの機能を一体化した統合型製品が主流になっており、ブロードコム社の「Symantec Endpoint Security」などが代表例です。
■EDRについて、詳しくは以下の記事もご覧ください。
エンドポイントセキュリティ製品を選ぶ際のポイント
エンドポイントセキュリティ製品を選定する際は、まず自社のニーズと要件を明確にし、それらを満たす製品を選ぶことが重要です。
たとえば、製品の機能や検知方法、運用形態、導入コスト、サポート体制などを総合的に比較検討する必要があります。
ここではエンドポイントセキュリティ製品の選び方のポイントを解説します。
ポイント① 機能と検知方法
エンドポイントセキュリティ製品の機能と検知方法は、製品ごとに異なります。
従来のシグネチャベースの検知に加え、近年では機械学習や振る舞い検知を活用した製品が増えています。
たとえば、AIを活用した次世代アンチウイルス(NGAV)は、未知のマルウェアやゼロデイ攻撃にも対応可能です。
また、サンドボックス機能を備えた製品は、疑わしいファイルを安全な仮想環境で実行し、挙動を分析することで、より精度の高い検知を実現しています。
自社のセキュリティポリシーや脅威モデルに適した検知機能を持つ製品を選定することが重要です。
ポイント② 運用方法
エンドポイントセキュリティ製品の運用方法には、クラウド型とオンプレミス型があります。
クラウド型は、インターネット経由でサービスを提供するため、導入が迅速であり、運用コストを抑えられるメリットがあります。
一方、オンプレミス型は、自社のサーバーやインフラ上で運用するため、セキュリティポリシーやカスタマイズ性に優れています。
たとえば、機密性の高いデータを扱う企業では、オンプレミス型の導入が適している場合があります。
自社の業務形態やセキュリティ要件に応じて、最適な運用方法を選択するとよいでしょう。
ポイント③ 導入コスト
エンドポイントセキュリティ製品の導入コストは、製品の機能や提供形態によって初期費用や運用コストが異なります。
クラウド型は、初期費用が抑えられ、月額や年額のサブスクリプションモデルが一般的です。
一方、オンプレミス型は、初期導入費用が高くなる傾向がありますが、長期的な運用コストを抑えられる場合があります。
また、ライセンス数や追加機能の有無によってもコストが変動します。
たとえば、エンドポイントの数が多い企業では、ボリュームディスカウントが適用される場合もあります。
ポイント④ サポート体制
エンドポイントセキュリティ製品の導入後、適切なサポート体制が整っていると安心です。
導入時の設定支援やトレーニング、運用中のトラブル対応、定期的なアップデート情報の提供など、ベンダーのサポート内容を事前に確認することが重要です。
たとえば、24時間365日のサポート体制を提供しているベンダーや、専任のサポート担当者が付くサービスもあります。
また、マネージドセキュリティサービス(MSS)を提供しているベンダーを選ぶことで、運用負荷を軽減することも可能です。
TD SYNNEXでは、お客様の課題に応じたエンドポイントセキュリティ製品をご提案いたします。
導入から運用までを支える充実したサポート体制により、安全かつ効率的なIT環境の実現をサポートします。
■エンドポイントセキュリティをご検討中の方は、以下の製品紹介ページもご覧ください。
・Symantec Endpoint Security | TD SYNNEX株式会社
・Carbon Black Endpoint Security | TD SYNNEX株式会社
(まとめ)EPPはEDRと組み合わせて使うのが効果的
EPPは、従来のアンチウイルスが進化した、エンドポイントを守るための中心的な製品です。
AIや振る舞い検知といった技術を使い、まだ知られていない脅威にも対応できることが大きなメリットです。
ただし、EPPだけでは対応が難しい、攻撃を受けた後の分析や対応には、EDRと組み合わせて使うのが効果的で、この2つをまとめて運用することが一般的になっています。
近年は、エンドポイントに加えて、ネットワーク、メール、クラウド、サーバーなど複数のセキュリティレイヤーからデータを収集・相関分析し、サイバー攻撃の全体像を可視化して対処するXDRという製品も出てきており、より広い範囲でのセキュリティ対策が求められています。
製品を選ぶ際には、自社の環境や必要なセキュリティレベルを明確にし、製品の機能や運用方法、サポート体制などを比較検討することが大切です。
エンドポイント対策は、会社の重要な情報を守る最初の砦です。最新の動向と自社のニーズを踏まえて、最適な製品を選びましょう。
TD SYNNEXでは製品選びの参考にしていただけるよう、主要な9製品を機能や特長ごとに比較した、分かりやすい解説記事もご用意しています。
製品ごとの違いや選定時のポイントを知りたい方は、ぜひ以下のページをご覧ください。
[筆者プロフィール]
佐々木
テクニカルサポート出身のITライター。Windows Server OS、NAS、UPS、生体認証、証明書管理などの製品サポートを担当。現在は記事制作だけでなく、セキュリティ企業の集客代行を行う。
