エンドポイントの保護が企業に必要な理由とは? EPP と EDR の違いも解説

近年、盛んに「企業のエンドポイント保護が不可欠である」と言われます。
今回は、エンドポイント保護とは何なのか、なぜ企業に必要なのかを解説します。

 

1. エンドポイント保護とは

そもそもエンドポイントとは、End(最後、週末)Point(地点、ポイント)すなわち「末端」という意味です。一番「末尾」「末端」にある機器、つまりサーバやパソコン、スマートフォンなどを指します。

これを何から「保護」するかというと、ランサムウェアなどのサイバー攻撃や標的型攻撃、内部犯行による情報漏えい防止…などです。昨今、企業の「エンドポイント」が多様化しています。それに伴い、脅威となるリスクも次から次に新しいものが現れています。

「エンドポイント保護」と名のつくサービスを1つ入れれば全てが完了するわけではありません。

 

2. EPP と EDR とは?

主なエンドポイント保護サービスは、「EPP」「EDR」の 2種類に大別されます。それぞれ何が違うのでしょうか。

 

・EPP とは

EPP は Endpoint Protection Platform の略です。アンチウィルス製品など、マルウェアかどうかを判別し、検知するものです。
従来は、既知のマルウェアとの類似によって判別していましたが、昨今は振る舞い型検知など、未知のウィルスにも対応できるよう進化しています。

ですが、サイバー犯罪の手口はこれら EPP 製品よりも高速で進化を遂げています。EPP だけで全てを未然に防ぐことはできません。

 

・EDR

EDR は Endpoint Detection and Response の略です。これは上記の EPP では防げなかった場合、「感染後」の被害を未然に防ぐために存在します。
マルウェアが EPP をすり抜けてエンドポイントに侵入した場合、その感染や被害を食い止める必要があります。攻撃が始まる前に脅威をリアルタイムで検知し、原因となっているファイルの削除などの対応法を提供します。

EDR は時に数千台、数万台の PC をリアルタイムで、生産性を落とさずに監視します。

なお EPP は従来から存在するのに対し、EDR は比較的新しいサービスです。その言葉自体、 2013 年に定義されています。EDR の登場自体が、サイバー攻撃の多様化や危険性の増大を示しているといえます。

 

3. 多様化するエンドポイント

10年前とは異なり、現在は社外ネットワークを使った自宅や外出先での業務が当たり前になっています。閉域網に PC が守られていた時代とは大きく違います。さらに、スマートフォンの企業利用や仮想デスクトップ、G Suite や Office 365 などのクラウドアプリケーションの普及により、保護するべき領域も多岐にわたっています。

クラウドアプリケーション内のデータは一見クラウドベンダーに守られていそうですが、実際はユーザがデータを保護する必要があります。クラウドアプリケーションを媒介としてランサムウェアなどのマルウェアが組織内に感染した事例もあります。また、社外 PC やスマートフォンには、盗難による情報漏洩など、サイバー攻撃以外の脅威も潜んでいます。

 

4. エンドポイント保護のポイント

企業によって守るべき領域やリスクは異なりますが、エンドポイント保護には主に下記が重要となります。

 

・ユーザに影響しない

セキュリティソフトを入れたら PC が重くなる、ということは絶対に避けるべきです。ユーザの生産性が下がり、企業全体の業績や従業員の満足度に影響が出ることは明白です。それだけではなく、「こちらが使いにくいなら、あちらで」という風に、シャドウIT を誘発することになりかねません(あるいはセキュリティ機能をオフ)。つまり、元々の目的であったセキュリティ強化と代償に生産性を下げるどころか、そのセキュリティ強化すら実現できないという事態が考えられます。

また、ユーザの手作業や煩わしい操作が増えるようなものも避けるべきです。この場合も、生産性が下がるだけではなく、期待されるようなセキュリティ環境を実現されることは難しいでしょう。スピード感を持ってビジネスに取り組むユーザにおいては、頻繁なソフトウェアのアップデートさえ、ままならない可能性があります。

 

・未知の脅威に対応できる

システムの世界に 100% はありません。「これだけあれば全部安心」というサービスがないということも事実です。
その中で、アンチウィルスソフトをすり抜け、組織内にマルウェアが侵入したとしても、被害状況を把握し、最小限に食い止め、業務を滞りなく復旧できるようにすることが重要です。

 

・全てを柔軟に保護

企業によっては、国内外の数千台の PC と数百台以上のスマートフォン、数千以上のクラウドアプリケーションアカウントを保護する必要があります。ユーザの業務を妨げないことも重要ですが、セキュリティ担当者の業務を煩雑にしないことも重要です。リスクを素早く検知し、対応を行えるようなシステムであるべきです。

また、急なエンドポイントの増加や変化、入れ替えなど、様々なビジネスの状況に応じて柔軟に対応できるような仕組みや設計が求められます。

 

5. 最後に

BackStore の inSync は、アメリカのデータ保護リーディングカンパニー Druva 社が開発したサービスです。日本企業を含め、現在世界 4,000 社以上に導入されています。

EDR に近いですが、微妙に異なる領域に属しています。
BackStore inSync でできることは下記です。

・PC(Windows、Mac、Linux)、クラウドアプリケーション、スマートフォンのデータバックアップ
・上記内データの可視化
・上記内での異常な振る舞いの検知(変更されたファイル量の急激な増加など)
・上位内データの検索及び削除
・紛失、盗難時のPC内データの削除
・機密情報の不正な保持の検知
・万が一の訴訟の際の電子データ収集

お問い合わせはこちら

エンドポイント保護の inSync 詳細はこちら

  • Linked-in