EDR(Endpoint Detection and Response)とEPP(Endpoint Protection Platform)がどお違うか。ざっくりと。
EDRってなに?
EPPってなに?
って話も含めて違いを整理するよ。
ざっくりと知りたい人向け。
デフォルメして話すよ。
EDRとEPPはどっちもウイルス対策
ことばが違うんだから、中身も違うんだろうってことで。
違いがあるって認識は合ってる。
どっちもマルウェア(コンピューターウイルスとか)から組織やインフラを守りたいって発想からきてる。
いわゆるウイルス対策。
EDRのほうを最近よく聞くようになった?
「エンドポイント」って言い方から引っかかっちゃうでしょ。
要するにパソコンのことだと思って。
一応、サーバーとかスマホとかアプライアンスとか、いろんなものどもを含むから、そんな言い方してるだけだよ。
あと「マルウェア」ってことばもよく聞く?
要するにコンピューターウイルスのことだと思って。
エンドポイントに対して悪いことをするプログラムのことをいろいろと細分化して、それぞれ対処しようって考え方なんだよ。ウイルスはそのうちのひとつ。ワームとかトロイの木馬とか、悪意のあるコードはすべてマルウェア。だけどここでは、ウイルスって認識で大きな問題はない。
いろんな脅威があるから、どんな対策したらいいかはその組織とか人とかの考え方次第。
EDRとは
Endpoint Detection and Response
エンドポイント ディテクション アンド レスポンス
パソコンから出てく通信の状況を監視してくれてる。
もしパソコンがウイルス感染したら、ウイルスがパソコン内の情報を勝手に外部にアップロードしたり、他のパソコンに対して攻撃したりってことをやるでしょ。
そこを遮断するとか、出ていってる内容を記録しとくとか、被害拡大の抑止って思想。
後処理向き。
EPPとは
Endpoint Protection Platform
エンドポイント プロテクション プラットフォーム
パソコンに入ってくる通信を監視してくれてる。
入ってきたヤツが変なプログラムとかだったら隔離してくれたり、駆除してくれたり、教えてくれたりってことね。
マルウェアの感染から自分を守ろうって発想。予防のための措置。
アンチウイルスとかアンチスパムとかとも言われる。
城壁都市を例に考えてみよう
具体的に考えてみましょう。
ここはポルトガルのとある都市。(ブラガンサってところだって。)
城壁に囲まれてる都市。ヨーロッパにはよくあるよね。歴史を感じるぜ。
会社のシステムとかパソコンとかってことに置き換えてみると、外側の城壁は社内と社外を隔てる壁。
ファイアーウォールとかに相当。
城壁の中の建物が、それぞれパソコンとか基幹システムが載ってるマシンとか。
この都市を外界の悪者からどうやって守ろうかって話なんだよ。
守り方は、その都市の重要度とか、その時代の武器の様子とか、その他いろんな要素が絡んで複雑でしょ。
情報セキュリティの世界も考え方は同じようなもの。
まずは城壁の門での監視を強化。
外から変なものが入ってこないか、変な奴を引き入れることがないか、門番が監視してる。
システムに置き換えると、ファイアウォール。
こういったことはインフラ周りの話で、今回のエンドポイントセキュリティとは異なる分野。
では本命のパソコンたち。
各家とかの建物にはカギを設置して、監視カメラも付けましょう。
ってのがEPP。
悪者の侵入を建物の入口で防ぎ、こっそり入ってきた悪者も建物内部で監視してる。必要に応じてオリが落ちてきて、悪者を捕まえてくれる。
各家から出てくる使用人には、すべて行先確認をしましょう。
持ち物も検査して、持ってく先が正しいか、家主の意図したものかを建物の出口で確認です。
ってのがEDR。
万が一悪者の侵入を許したとしても、家の財産を不正に持ち出してないか、他の家への攻撃の秘密基地になってないか、などを家の周囲で監視する。場合によっては、怪しいやつを留め置くとか、捕まえるとか。
現実に置き換えると、すげー監視社会ってことになるわけだが。
マルウェア感染は被害拡大が一瞬だからな。
ある程度はしゃーない。
両方導入したいところだが
いろんな守り方がある。
とりあえずはEPPで感染予防できるといいよね。感染しなけりゃ問題にならない。
ただし、開かないカギはないからね。
EDRで状態監視や通信状況を記録できてれば、万が一のときにも対処がスムーズになるよねって話。
だから両方使いたい。
無償のMicrosoft Defenderでパソコンは守って、有償のEDRを使うとかかね。
ご意見やご感想などお聞かせください! コメント機能です。