サイバーセキュリティのニーズとオプションを評価する際、多くの組織は次の点を自問することになるでしょう。
エンドポイント保護プラットフォーム(EPP)とエンドポイントでの検知と対応(EDR)ソリューションのどちらが優れているでしょうか。
実際のところ、このような選択は誤っています。EPPとEDRは、包括的なサイバーセキュリティ戦略における2つの重要な、別々のコンポーネントです。この2つは密接に関連していますが、同じ意味で使用することはできません。また、一方があっても、もう一方の必要性が減少したり、否定されたりすることもありません。
この記事では、これら2つの重要なサイバーセキュリティ機能の関係を探ります。セキュリティソリューションの世界は複雑で混み合っており、その中を進む組織は様々な誤解に行き当たる可能性がありますが、その中でも最も一般的なものをいくつか取り上げます。
エンドポイント保護プラットフォーム(EPP)とは
エンドポイント保護プラットフォーム(EPP)は、ウイルス対策、データ暗号化、データ損失防止などのエンドポイントセキュリティテクノロジーのスイートです。これらのテクノロジーはエンドポイントデバイス上で連携して、ファイルベースのマルウェア攻撃や悪意のあるアクティビティなどのセキュリティの脅威を検知して防止します。また、動的なセキュリティインシデントに対応する調査と修復を行う機能もあります。高度なEPPソリューションは、複数の検知技術を使用し、主にクラウドで管理され、クラウドデータによって支援されます。
エンドポイント保護プラットフォームは、大量のエンドポイントデータを収集し、それらに人工知能(AI)、振る舞い分析、脅威インテリジェンス、脅威ハンター人員を含む最高のツールを使用して侵害を防ぎます。効果的なソリューションは、この膨大なデータを活用して、次の高度な脅威がどこに現れるかを常に予測します。
エンドポイントでの検知と対応(EDR)とは何か
エンドポイントでの検知と対応(EDR)は、エンドポイントでの検知と脅威への対応(EDTR)とも呼ばれ、エンドユーザーのデバイスとワークロードを継続的に監視して、エンドポイントで何が起こっているかをリアルタイムで継続的かつ包括的に可視化する、エンドポイントセキュリティソリューションです。これにより、サイバーセキュリティチームは、ランサムウェアやマルウェアなどのサイバー脅威を迅速かつ効果的に検知して対応できます。
EDRツールは、インシデントデータの検索と調査アラートのトリアージ、疑わしいアクティビティの検証、脅威ハンティング、悪意のあるアクティビティの検知と封じ込めなど、高度な脅威検出、調査、対応機能を提供するものであるべきです。
多くの場合、EDRは、従来のウイルス対策ソフトウェアでは検知されない脅威を捕捉し、他の方法では見えないインシデントを発見するためのセーフティネットとして機能します。
EPPとEDRの比較表
| EPP | EDR |
|---|---|
| 相互に連携してセキュリティの脅威を防止、検知、修復する一連のエンドポイントセキュリティテクノロジー | エンドポイントのアクティビティを可視化して検知と対応の機能を向上させる単一のソリューション |
| 予防(次世代アンチウイルスつまりNGAV)、検知(EDR)、脅威ハンティング、脅威インテリジェンス、脆弱性管理を含む包括的な防御メカニズム | 防止対策を迂回する脅威を特定して対処する「セーフティネット」 |
| 追加のセキュリティ機能を構築して立ち上げるための基本要素 | セキュリティプラットフォーム内での定義要素であり、重要な機能 |
上記の定義に基づくと、エンドポイントでの検知と対応は、エンドポイント保護プラットフォームの1つのコンポーネントにすぎないことがわかります。さらに、EPPは検知以外にも多くのサイバーセキュリティテクノロジーで構成されており、次世代アンチウイルス(NGAV)、脅威ハンティング、脅威インテリジェンス、脆弱性管理などが含まれます。
高度な、つまりフル機能を備えたEPPは、EDRソリューションを統合して、確実な検知および対応機能を提供します。このようにEDRを活用することで、エンドポイント保護プラットフォームは、異常なイベントを特定するだけでなく、発見された侵害を調査して緩和することもできます。つまり、リスクのあるエンドポイントを封じ込めて侵害を直ちに阻止し、損害が発生する前に修復を実行できるようにする機能も重要です。
EPPとEDRに関する3つの一般的な誤解
ここまでで、EPPとEDRの基本を確認し、それらの関係を調べました。では、これら2つのセキュリティ機能を取り巻く最も一般的な誤解のいくつかを解決しましょう。
誤解1:組織はEPPとEDRのどちらかを選択する必要がある。
事実:組織は、EPPとEDRのどちらか一方を選択する必要はありません。実際、これらは2つの異なる機能であり、単独では限られた価値しか持ちません。EPPは車体、EDRはエンジンと考えることができます。どちらも、他方なしでは事実上役に立ちません。
誤解2:EPPは防御の受動的な形態である。
真実:EPPは、エンドポイント保護プラットフォームの略であり、受動的な防御ではありません。防御はEPP内の重要な機能ですが、これはプラットフォームによって提供される保護の1つの形式にすぎません。真のEPPには、防御に加えて、検知、脅威ハンティング、脅威インテリジェンス、脆弱性管理も含まれます。
誤解3:スタンドアロンのEDRで十分である。
事実:EDRソリューションは、セキュリティチームがネットワーク全体で何が起こっているかをエンドポイントレベルで理解する役に立ち、ひいては攻撃の特定と修復に役立ちます。ただし、最新のサイバー攻撃の大部分から防御するためには、人間の知性と補足技術の駆使も含め、組織を保護するためにはるかに広範で包括的な一連の機能を採用する必要があります。
包括的なEPPに必須の要素とは
EDRは、EPPの基本要素の1つです。ただし、高度な脅威や急速に進化する攻撃者のノウハウからの保護を確実にするために、組織がサイバーセキュリティ戦略に組み込む必要のあるコンポーネントが他にもいくつかあります。これらの要素には以下が含まれます。
- 防御:悪意ある要素を可能な限り寄せ付けない
- 検知:攻撃者を見つけて排除する
- マネージド脅威ハンティング:検知のレベルを自動検知以上のレベルに引き上げる
- 脅威インテリジェンスの統合:攻撃者とその技術を理解し、予測する
- 脆弱性管理とITハイジーン:脅威と攻撃に備えて環境を整え、強化する
以上のことから、EPPは防御の枠を越えて、幅広いサイバーセキュリティ機能を提供する必要があります。実際、人々が「防御」について言及するとき、通常は、EPPのNGAVコンポーネントのみを指しています。
同様に、EDRは、フルEPPサービススイート内の検知機能のみを実現します。
従来型エンドポイントセキュリティの本当のコストとは
このホワイトペーパーをダウンロードして、レガシーソリューションではセキュリティチームがなぜ力不足の状況に置かれるのかをご確認ください。
今すぐダウンロード組織がEDRソリューションに求めるべきもの
今日の攻撃者や進化し続ける敵のノウハウに先んじるために、EDRは次のような機能を提供する必要があります。
- エンドポイントとワークロード全体で、関心のあるアクティビティすべてを記録する
- 脅威インテリジェンスによりネットワーク、エンドポイント、ユーザーのデータに関連情報を追加して、必要なコンテキストを提供し、異常なアクティビティとイベントを特定する
- 自動化を活用して迅速なスケーリングを可能にし、誤検知率を低く抑える
- セキュリティチームによる検知ルールの定義や微調整がなくても、悪意のある行為を自動的に検知し、(無害なアクティビティではなく)本物の攻撃を明らかにする
結論:包括的なサイバーセキュリティ戦略とソリューション
組織は、エンドポイント保護プラットフォーム(EPP)とエンドポイントでの検知と対応(EDR)ソリューションのどちらか一方を選ぶ、という間違いを犯さないようにする必要があります。むしろ、EPP内でEDRやその他のセキュリティソリューションを統合して、全体的なセキュリティポスチャを強化し、ますます不気味さを増している、脅威の満ちた世界において、包括的な保護を確保する方法に注意を向ける必要があります。
サイバーセキュリティベンダーとソリューションを評価する際には、完全なエンドツーエンドの保護と幅広いサービスを提供するパートナーと連携することが重要です。
クラウドストライクのエンドポイント保護プラットフォーム
CrowdStrikeは、現代の企業を動かす人、プロセス、テクノロジーを保護し、円滑な機能を可能にする、世界で最も先進的なクラウドネイティブプラットフォームを提供し、セキュリティを再定義してきました。
CrowdStrike Falcon®プラットフォームは、CrowdStrike Security Cloudを搭載し、リアルタイムの攻撃指標、脅威インテリジェンス、進化する攻撃者の戦術、企業全体からの充実したテレメトリーを活用して、超高精度の検知、自動化された保護と修復、精鋭による脅威ハンティング、優先付けられた脆弱性の可観測性を提供します。
クラウドストライクが提供するクラウドネイティブのFalconプラットフォームは、お客様の環境の保護機能とパフォーマンスを高め、短期間で価値を提供します。
