エンドポイントは、保護されたコンピューティング環境に最初にアクセスしようとする脅威者にとって、しばしば最初の攻撃ベクターとなります。したがって、エンドポイント保護プラットフォーム(EPP)およびエンドポイント検出・応答(EDR)ソリューションの主な目的の 1 つは、エンドポイント層で発生するセキュリティ・インシデントから企業ネットワークを保護することです。
EPPとEDRのセキュリティ・ソリューションは、どちらも今日の脅威の状況下でビジネス資産を保護するために不可欠ですが、実行する機能は異なります。例えば、EPP はネットワーク境界におけるサイバー脅威を防止します。一方、EDR ソリューションは、EPP ソリューションがフィルタリングできなかった可能性のある高度なサイバー脅威を検出・特定します。EDRはまた、セキュリティ・チームに脅威の探索を強化するための情報とツールを提供します。
EPP は、データ暗号化、データ損失防止、侵入防止、アンチウイルスから構成されるエンドポイント保護テクノロジの統合スイートである。EPP は、エンドポイント保護テクノロジ間でデータを共有するためのフレームワークを提供します。EPP は、悪意のあるアクティビティを検出し、ファイルベースのマルウェア攻撃やゼロデイ脆弱性を防止し、動的なセキュリティ・インシデントやアラートに対応するために必要な調査および修復活動を強化するのに役立ちます。
EPPソリューションの多くは、データ分析と収集のためのクラウドベースの管理コンポーネントを備えており、セキュリティアナリストが中央のインターフェースからアクセスできるようになっている。EPPの主な機能には、脅威シグネチャのマッチング、機械学習による静的分析、行動分析、サンドボックスと拒否リスト作成、許可リスト作成などがある。
EPPとEDRの違いは?
EDRとEPPは、徹底的なセキュリティ防御態勢に組み込まれた2つの代表的なテクノロジー・ソリューションである。両ソリューションにより、組織は高度なエンドポイント・セキュリティを享受できる。しかし、EPPとEDRにはまだ違いがある。
EPPとEDRの違いをいくつか挙げてみよう:
- EPPが、セキュリティ脅威を防止、検出、修復するために連携するエンドポイント・テクノロジーのスイートであるのに対し、EDRは、検出および対応能力を向上させるためにエンドポイントの活動を可視化する単一のソリューションである。
- エンドポイント・プロテクション・プラットフォームは受動的な脅威の防止を促進するのに対し、EDRは能動的な脅威の検知を可能にする。
- EPPは、脅威を防ぐ第一線の防御メカニズムに従う。一方、EDRは既存の侵害を想定し、それを封じ込めるための調査を支援する。
- EPPが既知の脅威や一部の未知の脅威を防ぐことができるのに対して、EDRはEPPでは検知できなかった脅威に即座に対応することができる。
- EPPは各エンドポイントを分離して保護するのに対し、EDRソリューションは複数のエンドポイントにまたがる攻撃のコンテキストとデータを提供する。
EDRはEPPとどのように連携するのか?
関連リソース
データ損失防止(DLP)
エンドポイントセキュリティ
エンドポイント・プロテクション・プラットフォーム(EPP)
エンドポイント検出と応答(EDR)
エクステンデッド・ディテクション&レスポンス(XDR)
アイデンティティとアクセス管理(IAM)
マネージド・ディテクション&レスポンス
マネージドXDR
MITRE ATT&CK フレームワーク
モバイル脅威防御(MTD)
ユーザーとエンティティの行動分析(UEBA)
ゼロ・トラスト・アーキテクチャ
ゼロ・トラスト・ネットワーク・アクセス(ZTNA)
ゼロ・トラスト・セキュリティ
セキュリティ情報・イベント管理(SIEM)
セキュアアクセスサービスエッジ(SASE)