近年脚光を浴びるエンドポイント

エンドポイントとは、その名の通りネットワークの「終点」や「末端」に位置する機器のことです。一昔前はオフィスのパソコンなどがエンドポイントの代名詞でしたが、今では各種サーバーの他、スマートフォンやタブレットが多用されています。

このエンドポイントが、近年のセキュリティにおいて非常に重要視されています。その理由としてはリモートワークの普及があります。これまでは、社内のネットワークが安全であり、インターネットに代表されるその外側は危険なものとして考える。いわゆる境界型防御のセキュリティ機構は、内部から外部へエンドポイントが出て行ってしまったことにより、半ば崩壊しています。そのため、エンドポイントがセキュリティ上の最前線になる機会が増えているためです。

そのため、各組織はエンドポイントに注意を払うことが大変重要になっています。そこを語る上で欠かせないソリューションが「EPP」と「EDR」です。

EPPとは?

まずはEPPから見ていきましょう。EPPはEndpoint Protection Platform の頭文字をとった略称で、エンドポイントのセキュリティ保護の最前線にたち、エンドポイントを水際でマルウェアの様な脅威から、「未然に防ぐ」ためのソリューションです。

従来、「ウイルス対策ソフト」と呼ばれていたような製品がこのカテゴリに該当しますが、これに加えてパーソナルファイアーウォールやIDSのような機能も含むことがあります。

EPPでは基本的には、シグネチャと呼ばれる定義ファイルとマルウェアファイルを照合する「パータンマッチング」方式を使ってマルウェアを検出するのが大きな役割です。基本的には、既知の攻撃からエンドポイントを防御します。マルウェアへの感染を予防するため、事前対策を行ううための製品だという事は、この後紹介するEDRとの違いを明確にするために認識しておく必要があります。

EPPは、比較的運用に手がかからない製品です。一度各エンドポイントにインストールを済ませてしまえば、更新は自動的に行われますし、検知して駆除可能なマルウェアは自動的に駆除されます。管理者はそれを確認するだけで済むケースが多いと言えます。

また、EPPはエージェントやセンサーと呼ばれるソフトウェアをエンドポイントにインストールして使用しますが、その動作が比較的軽量なことも特徴です。定義ファイルが年々肥大化しているという問題はあるものの、パターンマッチングの処理は比較的シンプルに実装することができますので、大量の処理内容から効率的に既知の攻撃に対処することに長けています。

EDRとは?

EPPの特徴を理解した後で、EDRの働きを見ると理解が深まります。EDRは、Endpoint Detection and Response の略になります。直訳すると、「エンドポイントでの検出と対応」となります。この言葉からもわかる通り、EDRは、EPPのようにマルウェア感染を防止するのではなく、感染することを前提に、脅威がエンドポイントに侵入してしまったことを前提に、事後対処を行う製品になっています。

サイバー攻撃を受けた後の動作を検出して、リアルタイムに対応します。そのため、迅速な対応が可能となり、被害の拡大を防止します。

EPPはパターンマッチングという比較的単純な動作を行うのに対して、EDRでは、エンドポイント内のプロセスの監視や、ファイル書き込み、レジストリの変更などを常時監視します。これにより、マルウェアへの感染やデータの持ち出しのような不正行為があった際に、いち早く反応します。攻撃の侵入経路を見出し、影響範囲を特定、管理者にアラートを通知します。

また、影響のあったエンドポイントをネットワークから論理的に切り離して隔離し、被害拡大を防止する機能を持っているものが多数あります。

このようにEDRは複雑な動作をし、長期間にわたってその記録を保持します。EDRでもEPPと同様にエージェントないしセンサーをインストールして利用しますが、そこで使用するCPUやメモリ量といったリソースの消費は大きくなります。

なぜEDRが求めれれるようになっているのか?

さて、以前はウイルス対策ソフトと呼ばれるソフトをインストールしていれば事足りていたことが多数でした。しかし、現在においてEDRのような製品、またウイルス対策ソフトを発展的にしたEPPの導入が求められているのはなぜでしょうか?

それは、サイバー攻撃が複雑化の一途をたどっており、もはや侵入を完全に防ぐことが難しくなっているという事情があります。

AIの台頭などの理由により、一日に発見されるマルウェアの数は数万にも及ぶといわれています。パターンマッチングによる不正ファイルの検出は、大量のファイル処理から既知の脅威を排除する意味では変わることなく重要な意味がありますが、これだけマルウェアの数が多くなると、その分だけシグネチャを用意しなければならなくなるパターンマッチング方式では追従することは困難といえます。そのため、EPPをかいくぐってエンドポイントに害をなす不正なマルウェアなどが出てしまうことが完全に防ぐことはできないのです。

そのため、EDRの考えが生まれました。感染してしまうことを前提にして、そのあとの対処を如何に早く行うか、という考え方にシフトしていっているのです。

まとめ

このように、混同されることの多いEPPとEDRですが、明確な役割の違いがあります。EPPは水際での事前予防、EDRは事後の対処に特化しています。そのため、どちらかが必要、という類のものではなく、現代においてはどちらも重要な役割を担っているのです。

テクノロジー 一般