EPPとEDRの違いってなーに?
はじめに
EPPとは?
エンドポイントとはネットワーク上にあるデバイスのことであり、(常にではありませんが)通常はインターネットに接続されています。
例えば、ノートパソコンやタブレット、デスクトップコンピューター、スマートフォンなどがあります。
Endpoint Protection Platform(EPP)は、こららのデバイスをサイバー脅威から保護することを目的としたセキュリティプログラムのこと で、様々な種類のマルウェアを検出し、マルウェアが実行されないように駆除します。
要するに、EPPソリューションはマルウェア感染感染を防止することを目的とした製品のことです。
EPPソリューションの定義
GartnerはEPPソリューションの機能を以下のように定義しています。
- ファイルベースのマルウェア攻撃を防止
- 悪意あるアクティビティを検出
- 動的なセキュリティインシデントとアラートに対応するために必要な調査ならびに修復機能を提供
An endpoint protection platform (EPP) is a solution deployed on endpoint devices to prevent file-based malware attacks, detect malicious activity, and provide the investigation and remediation capabilities needed to respond to dynamic security incidents and alerts.
EDRとは?
Endpoint Detection and Response(EDR)とは、マルウェア感染後の対応を行う製品のことです。
EDRソリューションの機能の一つとして、EDRは継続的なデータ収集と分析を行い、ひとつの中央システムに報告します。これによりセキュリティチームは、単一のコンソールからネットワーク上にあるエンドポイントの状態をすべて可視化することができます (Improved Visibility:視認性の向上) 。
またEDRは、自動でデータ収集と対処を行うため、セキュリティチームは潜在するセキュリティインシデントに対して、迅速に適切な対応措置をとることができます (Rapid Investigations:迅速な調査) 。
またEDRは、事前に定義されたルールに基づき、自動的にインシデントの対応を実行します (Remediation Automation:修復の自動化) 。
さらにEDRは、継続的なデータ収集と分析によって、エンドポイントの状態を詳細に把握することができ、すでに組織などに侵入したマルウェアやハッカーを探し出す、脅威ハンティングを行うことができます (Contextualized Threat Hunting:状況に応じた柔軟な脅威の追跡) 。
EDRの主な機能のまとめ
- Improved Visibility:視認性の向上
- Rapid Investigations:迅速な調査
- Remediation Automation:修復の自動化
- Contextualized Threat Hunting:状況に応じた柔軟な脅威の追跡
EDRソリューションの定義
GartnerはEDRソリューションの機能を以下の4つに定義しています。
- セキュリティインシデントを検出
- ネットワークトラフィックまたはプロセスの実行をリモートで制御できるように、エンドポイントでインシデントを封じ込めます
- セキュリティインシデントを調査
- エンドポイントを感染前の状態に修復
The Endpoint Detection and Response Solutions (EDR) market is defined as solutions that record and store endpoint-system-level behaviors, use various data analytics techniques to detect suspicious system behavior, provide contextual information, block malicious activity, and provide remediation suggestions to restore affected systems. EDR solutions must provide the following four primary capabilities: • Detect security incidents • Contain the incident at the endpoint • Investigate security incidents • Provide remediation guidance
EPPとEDRの考え方
EPPとEDRは似ていますが、目的が異なります。
よくEPPとEDRの目的は、牛乳パックに入った牛乳と、コップに入った牛乳に例えられます。
牛乳をこぼしたくない人は、牛乳パックに牛乳を入れてしっかり守ります。
EPPソリューションは、この考え方と同じでエンドポイントで悪意あるものが実行されないように脅威の防止を前もって防いでおきたい人に有効です。
一方後者の牛乳がこぼれることを想定しておく考え方です。
EDRソリューションは、この考え方と同じで悪意あるものが実行されたことを検出した際に、それを修正するプランを立てます。
EPPとEDRは似て非なるもの
EPPは、悪意あるファイルを特定し、悪意ある可能性のアクティビティを検出し、インシデント調査と対応を行い、デバイスのセキュリティレベルを引き上げます。
マルウェアに対して予防的な性質を持つEPPソリューションは防御の最前線で機能し、感染後に働くEDRソリューションの機能を補完することができます。
EDRソリューションは、セキュリティ保護の2番目のレイヤーとして機能し、セキュリティアナリストが脅威ハンティングを行い、エンドポイントで起きているわずかな脅威を特定することができるようになります。
効果的なエンドポイント防御には、EDRとEPPの両方の機能を統合し、企業のセキュリティチームに負担を掛けることなく、サイバー脅威から保護するソリューションが必要になります。
EPP製品
主ななEDR製品は以下のものがあります。
- Symantec Endpoint Protection by Broadcom (Symantec)
- McAfee Endpoint Security by McAfee
- Microsoft Defender for Endpoint (MDE) by Microsoft
- Trend Micro Apex One by Trend Micro
- Singularity Platform by SentinelOne
- Sophos Intercept X by Sophos
- Falcon by CrowdStrike
- ESET PROTECT by ESET
- Malwarebytes Endpoint Protection by Malwarebytes
- CylancePROTECT by BlackBerry
- Sophos Endpoint Protection (Legacy) by Sophos
- VMware Carbon Black Cloud by VMware
- Harmony Endpoint by Check Point Software Technologies
- Cisco Secure Endpoint by Cisco
- FortiClient by Fortinet
- Bitdefender Gravityzone Enterprise Security by Bitdefender
- Panda Adaptive Defense 360 by WatchGuard
- Webroot Business Endpoint Protection by OpenText (Webroot)
- McAfee Endpoint Protection Suite (Legacy) by McAfee
- Cybereason Defense Platform by Cybereason
EDR製品
主なEDR製品は以下のものがあります。
- Singularity Platform by SentinelOne
- Falcon by CrowdStrike
- Trend Micro XDR by Trend Micro
- Microsoft Defender for Endpoint (MDE) by Microsoft
- Harmony Endpoint by Check Point Software Technologies
- VMware Carbon Black EDR by VMware
- Symantec Advanced Threat Protection by Broadcom (Symantec)
- Cortex XDR by Palo Alto Networks
- Malwarebytes Endpoint Detection and Response by Malwarebytes
- Panda Adaptive Defense 360 by WatchGuard
- Cybereason Defense Platform by Cybereason
- VMware Carbon Black Cloud by VMware
- Sophos Intercept X Advanced with EDR by Sophos
- Cynet 360 AutoXDR Platform by Cynet
- Cisco Secure Endpoint by Cisco
- FireEye Endpoint Security (HX) by FireEye
- Absolute Platform by Absolute
- CylanceOPTICS by BlackBerry
- McAfee Endpoint Threat Defense and Response by McAfee
- ESET Inspect by ESET
日本のサイトで紹介されているEDR製品は、以下のものがあります。
- Trend Micro Apex One, トレンドマイクロ株式会社
- LANSCOPE マルウェア対策 powered by BalackBerry, エムオーテックス株式会社
- Cybereason EDR, サイバーリーズン・ジャパン株式会社
- KeepEye, S&J株式会社
- Sophos Intercept X Advanced with EDR, ソフォス株式会社
- Trend Micro Apex One SaaS, トレンドマイクロ株式会社
- Trend Micro Apex One Sensor, トレンドマイクロ株式会社
- Acronis Cyber Protect Cloud, アクロニス・ジャパン株式会社
- Microsoft Defender for Endpoint/Business, 日本マイクロソフト株式会社
- SentinelOne XDR, センチネルワンジャパン株式会社
- CrowdStrike, クラウドストライク株式会
- VMware Carbon Black Cloud, ヴィエムウェア株式会社
- Deep Instinct, Deep Instinct
- Cyber Protection Managed Service powered by Deep Instinct, エムオーテックス株式会社
- Symantec Endpoint Security Complete, Broadcom Inc.
- Zimperium, Zimperium Inc.
- AppCheck, 株式会社JSecurity
- PC Matic PRO, ブルースター株式会社
おわりに
今回はEPPソリューションとEDRソリューションの違いについて調査してみました。
EPPとEDRの防御の考え方が異なることを知って頂きましたら幸いです。
次回の記事では、エンドポイントセキュリティソリューションのXDRやDLP, MDRについて調査した内容を記載したいと思います。
またクラウドサービス利用のセキュリティ対策であるCASBについての調査した記事も書きたいと思います。
今回の記事が参考になりましたら幸いです。
External Links (参考URL)
- Endpoint Protection EPP vs EDR: What’s the difference?
- Endpoint Detection and Response (EDR) Solutin Reviews and Ratings
- Endpoint Protection Platform (EPP), Gartner
- What is Endpoint Detection and Response (EDR)?, CHECK POINT
- INTELLILINK Threat Huntingサービス, NTT DATA
- What Is an Endpoint Protection Platform (EPP)?, CISCO
Discussion