テレワークが進み、サイバー攻撃も巧妙化している現代において、従来の社内ネットワーク環境を防御するゲートウェイセキュリティだけでは、安心できなくなりました。社外での業務活動においてもセキュリティを強化するために、エンドポイントセキュリティが新たに注目されています。
高度なエンドポイントセキュリティ分野におけるテクノロジーの2つの主要なカテゴリとして、EPP(Endpoint Protection Platform)と、EDR(Endpoint Detection and Response)があります。
EPPは、既知のマルウェアなどの従来の脅威や、ファイルレス攻撃、ランサムウェア、ゼロデイ脆弱性などの脅威を防ぐことを目的としており、アンチウイルス製品もこの分野に含まれます。既知のマルウェアシグニチャを使用して脅威を検出したり、サンドボックス化により仮想環境での悪意のあるファイルのテストを行ったり、振る舞い検知等でマルウェアを特定したり、IPアドレスやURLのホワイトリスト、ブラックリストによってアクセス制限をするような機能がEPPに該当します。
EDRは、エンドポイントのデバイス操作のログをリアルタイムに監視して、セキュリティインシデントを封じ込め、脅威を検出して、そのインシデント対応や調査をする機能が該当します。
EPPとEDRは、その機能目的に分けて製品化されている場合が多いですが、両方の機能の一部が含まれてしまっているセキュリティ製品もあります。EPPやEDRのセキュリティツールは、企業規模や、環境によって選択すべきではあり、できればEPPとEDR両方の機能を備えられることが理想ですが、運用負荷や予算、導入環境によって一気にセキュリティ製品を導入するには少々無理があります。
よって、現実的なのでは、まずEPPを業務で使用するすべてのエンドポイントのデバイスに導入し、次に可能なかぎりEDRの導入を検討し、そのアクションのための運用と専門知識を利用するために、SOCサービスと連携するのが望ましいです。
PCなどにアンチウイルスソフトを導入するだけの単一対策と比べ、EPPにしろEDRにせよ、多くの製品は、中央の監視サーバにより一元管理できるように設計されているので、導入先すべてのエンドポイントについて、セキュリティ製品のアップデートの更新漏れがないことなども、セキュリティ担当者が、集中管理によりリモートで容易に監視ができるメリットがあります。
ランサムウェアに代表されるサイバー攻撃の脅威は、高まるばかりで後を絶ちません。テレワークなど労働環境の変化に対応して、エンドポイントセキュリティの強化が必要な時代になってきたようです。
EPPとEDRを理解してセキュリティ強化が必要