EPPとは？仕組みや種類、EDRとの違いについて

みなさまは、”マルウェア対策”と聞くとどんなイメージを持たれているでしょうか。
「PCやモバイル端末に導入するもの？」
「ウイルスバスターなどのアンチウイルス製品が有名だよね。」
というイメージの方も多いのではないでしょうか。

ご自身のPCやモバイル端末にマルウェア対策として導入している製品の目的や機能を正しく理解している方は少ないかと思います。

本記事では、情報システム部門のコンサルティングに関して多くの知見のある株式会社KUIXがこれまでの経験をもとにマルウェア対策製品であるEPPについて概要や機能などを解説いたします。

EPP とは

EPPは、Endpoint Protection Platform(エンドポイント プロテクション プラットフォーム)の略称で、日本語ではエンドポイント保護プラットフォームと表現されます。

EPPを一言で表すと、PCやモバイル端末へのマルウェア感染を防止することに特化した製品です。

機能としては、PCやモバイル端末内に侵入したマルウェアを検知し、自動的にマルウェアを削除したり、マルウェアが実行されないようにする機能があります。
EPPは、あくまでマルウェアの感染防止を目的としているため、マルウェア感染後の原因となっているファイルの削除など対応支援として後述のEDRと組み合わせて利用することが推奨されています。

EPPの仕組み

前述の通り、EPPは、PCやモバイル端末へのマルウェア感染を防止することに特化した製品で、PCやモバイル端末内に侵入したマルウェアを検知し、自動的にマルウェアを削除したり、マルウェアが実行されないようにする機能があります。
ここでは、EPPがどのようにマルウェアを検知するのかについて解説します。

従来のEPP製品であるアンチウイルスソフトでは、マルウェアを検知する際は、ウイルスのパターンを事前に登録しておき、PCやモバイル端末内に侵入したウイルスと照らし合わせて、マルウェアを検知する「パターンマッチング方式」が一般的でした。

しかし、近年では、未知のマルウェアや既存ウイルスの亜種などに対応するために、ウイルスの可能性があるプログラムの実際の挙動からの判断やAI・機械学習による判断することができる
「ヒューリスティック方式」なども登場しています。

EPPの種類

前述の通り、EPPには、従来のアンチウイルスソフトでは、「パターンマッチング方式」、近年のアンチウイルスソフトでは「ヒューリスティック方式」が採用されている製品があります。
また、EPPの種類としては、従来のアンチウイルスソフトは、AV(Anti-Virus)と呼ばれ、近年のアンチウイルスソフトは、NGAV (Next Generation Anti-Virus)と呼ばれる2種類があります。

AV(Anti-Virus)とNGAV (Next Generation Anti-Virus)の違いは、以下の通りです。
〇AV(Anti-Virus)
　・検知方法
　　パターンマッチング方式
　・特徴
　　PCやモバイル端末内をスキャンし、事前に定義したマルウェアと同じパターンを持つファイルがある場合に、検知・削除する。
　・補足
　　既知のマルウェアを高精度で検出可能であるが、未知や亜種のマルウェアも検知は難しい。

〇NGAV (Next Generation Anti-Virus)
　・検知方法
　　ヒューリスティック方式
　・特徴
　　ウイルスの可能性があるプログラムの内容ではなく、実際の挙動からの判断する。
　　マルウェアの特徴を機械学習し、AIによってマルウェア亜種も認識することができる。
　　検出されたプログラムが実際に悪意のあるものかどうか、実環境から隔離された空間で検証するサンドボックス機能がある。
　・補足
　　未知や亜種のマルウェア、ファイルレスマルウェアなどへの検出もできる。

EDR とは

ここでは、EPPと組み合わせて利用することが推奨されるEDRについて簡単に解説します。
EDRについての詳細は、こちらの記事で詳しく解説しておりますので、あわせてご覧ください。

EDRは、Endpoint Detection and Responseの略称で、マルウェアの感染防止を目的としているEPPとは異なり、マルウェア感染後のPCやモバイル端末の不審な挙動を検知し、マルウェア感染後の被害を最小限に抑えるためのサポートを行うための製品です。

具体的な機能としては、PCやモバイル端末がマルウェアに感染してしまった場合に、攻撃が始まる前にマルウェア感染を検知し、管理者への通知を行います。
また、PCやモバイル端末の通信状況のログやマルウェアの侵入経路などの分析機能から、原因とみられるファイルの洗い出しなどのマルウェア感染後の被害を最小限に抑えるためのサポートする機能があります。

EPPとEDRの違い

前述の通り、EPPの目的は、「マルウェアへの感染防止」、EDRの目的は、「マルウェア感染後の被害拡大の防止」です。
また、機能にも違いがあり、EPPとEDRの目的と機能の違いは以下の通りです。

〇目的
　・EPP：マルウェア感染の防止
　・EDR：マルウェア感染後の被害拡大の防止

〇機能
　・EPP：既知 or 未知のマルウェア検知
　・EDR：マルウェア感染の検知と対応

まとめ

リモートワークやDX(Digital Transformation)に対応するためにマルウェア対策製品の見直しや従来のネットワーク構成を変更した情報システム部門の方もいるのではないでしょうか。

セキュリティ面やカスタマイズ性、コストなどの観点からクラウドサービスの利用や移行している方も多いと思いますが、外部のサービスを利用することは、マルウェア感染などのリスクがあることでもあるため、必要な対策を行う必要があります。本記事がEPPの理解を深める一助となりましたら幸いです。

ーーーーーーーーーーーーーーーーーーーー

企業のICT環境、情報システムでお悩みの方へ

株式会社KUIXでは、クラウドサービスやICTサービスに関すること、情報システム部門のサポートを総合的に行っております。
DX推進やBIツールの導入・活用におけるコンサルテーションも行っておりますので、ぜひお気軽にご相談ください！お問い合わせはこちらから