侵入を前提とした時代のエンドポイントセキュリティ ― EPPとEDR、そして運用まで考えるべき理由
サイバー攻撃の高度化により、エンドポイントセキュリティは「侵入を完全に防ぐ」ことはもはや不可能な時代となり、入口対策だけでは十分とは言えなくなっています。
従来はマルウェアの検知や駆除が主な役割でしたが、現在の攻撃は侵入後に長期間潜伏し、情報窃取や
横展開を行うことを前提としたものが増えており、従来型の対策だけでは被害を防ぎきれないケースが
増えています。
こうした状況では、侵入前の防御を担うEPPと、侵入後の挙動を可視化して対応するEDRを組み合わせること、
さらにそれらを継続的に運用できる体制を整えることが重要です。
本記事では、EPPとEDRの役割や違い、導入しなかった場合の被害事例、EDR運用の課題、そして
マネージドサービスによる解決策まで、現代のエンドポイントセキュリティに求められる現実的な考え方を
解説します。
EPPとは何か
EPP(Endpoint Protection Platform)の定義
EPPとは、PCやサーバなどのエンドポイントを保護するために、マルウェア対策を含む複数のセキュリティ機能を統合的に提供するプラットフォームです。
主にマルウェアの実行を防止することを目的としており、従来型アンチウイルス(AV)によるシグネチャベースの
検知・防御は、EPPを構成する基本的な機能の一つです。
また、EPPとあわせて近年よく使われる用語として
「NGAV(Next-Generation Antivirus/次世代アンチウイルス)」があります。
NGAVはEPPを構成する中核的な技術要素の一つであり、従来型AVが既知マルウェアのシグネチャに強く依存していたのに対し、機械学習や静的解析、初期の挙動分析などを活用することで、未知のマルウェアや亜種に対する検知・防止能力を高めています。これにより、EPP全体としての防御力向上が図られています。
EPPの特徴と役割
EPPは、マルウェアの侵入や不正なプログラムの実行を未然に防ぐことを主目的としたエンドポイント対策です。既知・未知の脅威を検知し、攻撃を端末上でブロックすることで、被害を発生させないことに価値があります。
一方で、侵入を完全に防ぎきれなかった場合には、端末内部で発生している挙動や攻撃全体の流れを詳細に把握することには限界があります。
そのため、EPPは「侵入防止」に強みを持つ一方、「侵入後の状況把握や対応」については補完的な対策が
求められます。
現実世界で例えるなら、EPPは建物の入口に立つ門番のような存在です。不審者を入口で止める役割は果たしますが、一度中に入られてしまうと、その後の行動までは把握できません。
EDRとは何か
EDR(Endpoint Detection and Response)の定義
EDRは「侵入を前提」として設計されたエンドポイントセキュリティの仕組みで、端末上の挙動を継続的に
監視・記録し、不審な活動を検知した際に迅速に対応することを目的としています。
攻撃をブロックするだけでなく、何がいつどのように起きたかを把握することで被害拡大を防ぐ基盤となります。
EDRは、プロセスの生成や親子関係、コマンドライン、権限昇格の試行、横展開の兆候など攻撃者の一連の行動を時系列で捉えます。ファイルレス攻撃や正規ツールの悪用にも対応可能です。
EDRの特徴と役割
EDRは、侵入後の端末内挙動を継続的に監視・記録し、異常を検知して被害を最小化することを目的とした
対策です。単にアラートを出すだけでなく、検知内容をもとに端末隔離やプロセス停止といった対応を行うことで、攻撃の拡大を防ぎます。
また、攻撃経路や挙動を可視化できる点もEDRの大きな特徴であり、インシデント収束後の原因分析や再発防止策の検討にも寄与します。その価値は「侵入を前提とした検知と対応」にあります。
現実世界で例えるなら、EDRは建物内に設置された防犯カメラや警備センターのような存在です。
万が一侵入を許してしまった場合でも、内部の行動を継続的に監視し、不審な動きがあれば即座に把握・対処
することで、被害の拡大を防ぎます。
EPPとEDRの違い
EPPとEDRの役割の違いを整理します。 両者は同じエンドポイントセキュリティ製品として語られることが多いものの、目的や検知の考え方は大きく異なります。
主な違いは、以下の表のとおりです。
観点 | EPP | EDR |
|---|---|---|
主な目的 | 侵入防止 | 侵入後の検知・対応 |
主な対象 | ファイル・実行体 | 行動・挙動 |
検知タイミング | 実行前・初期 | 実行後・継続監視 |
分析の考え方 | 点の検知 | 線(時系列)の分析 |
現実世界での例え | 建物の入口に立つ門番 | 建物内の防犯カメラ・警備センター |
EPPとEDRは役割が異なり、どちらか一方だけでは十分とは言えません。
侵入を防ぐEPPと、侵入後の不審な活動を見逃さないEDRを組み合わせてこそ、実効性の高いエンドポイントセキュリティが実現します。
実際の攻撃事例に学ぶエンドポイントセキュリティの考え方
この章では、従来型AVやEPPだけでは対応が難しかった攻撃事例と、EDRを導入していたにもかかわらず
運用上の理由から被害が拡大した事例を紹介します。
従来型AV/EPP単体では防ぐことが困難な事例
2023年9月、米国の大手カジノ・ホテル運営会社であるMGMリゾーツは、大規模なサイバー攻撃を受け、
カジノシステム、ホテルのチェックイン端末、決済関連システムなどが広範囲に停止しました。
このインシデントは、数日間にわたって事業運営に深刻な影響を与えたことで知られています。
公表情報によれば、攻撃の初期侵入はIT担当者を装ったソーシャルエンジニアリングによって行われ、
正規アカウントが不正に取得されたことが発端でした。その後、攻撃者は正規の管理ツールやOS標準機能を悪用しながら内部環境で活動を拡大していったとされています。
この攻撃の特徴は、明確なマルウェアを投下するのではなく、正規アカウントと既存の管理機能を用いて侵害を進めた点にあります。
そのため、仮に従来型アンチウイルスやEPPといった「ファイルや実行体の検知・防御」を主軸とする対策のみが導入されていた場合でも、初期侵入やその後の内部活動を防止・検知することは極めて困難であったと考えられます。
とはいえ、従来型EPPは依然として重要です。EPPは、既知のマルウェアや攻撃ツールの侵入を防ぐ強力な役割を持ち、攻撃者に強力なマルウェアを内部に持ち込ませない入口防御として機能します。
今回の事例は、EPPは入口防御として有効である一方、正規アカウントや管理ツールを悪用するマルウェアレス攻撃には単体では十分ではないことを示しています。
そのため、EPPによる入口防御に加え、内部挙動の可視化や異常検知など、多層的な防御策を組み合わせることが重要です。しかし今回の攻撃では、こうした多層防御の仕組みが十分でなかったため、侵入後に行われた不審な操作や横展開の兆候を早期に把握できず、被害の拡大と長期化につながりました。
本事例は、防御の多層化と侵入後挙動の可視化・分析が不可欠であることを強く示しています。
EDRの運用が不十分だった事例
2024年から2025年にかけて、米国の連邦行政機関(Federal Civilian Executive Branch)では、地理情報サーバーソフトウェアであるGeoServerの重大な脆弱性(CVE-2024-36401)が悪用され、不正侵入を受けるインシデントが発生しました。攻撃者は侵入後、数週間にわたり内部環境で活動を継続していたことが確認されています。
公表情報によると、当該環境ではEDRが部分的に導入されており、不審な挙動に関するアラートも生成されていました。しかし、それらのアラートに対する継続的な監視や分析、初動対応が十分に行われておらず、侵害の発見と封じ込めが遅れたとされています。また、一部の公開サーバーにはEPPやEDRが適用されていなかったことも指摘されています。
この事例は、EDRを導入していても、適切な監視体制や運用プロセスが伴わなければ被害を防げないこと、そしてカバレッジ管理の重要性を示す典型例といえます。
EDR運用における現実的な課題
EDRは強力ですが、上記の事例のように単に導入すれば安心というものではありません。
検知アラートを正しく理解・判断するには専門知識が必要で、継続的な監視体制も求められます。アラート過多への対応、誤検知の判断、24時間365日の監視体制などは、自社リソースのみでは負担が大きい課題です。
マネージドEDRサービスという選択肢
こうした課題を解決するのが、専門家によるマネージドEDRサービスです。専門チームによる継続的な監視・分析を行い、インシデント発生時には迅速な初動対応や調査支援を提供します。
自社でSOCを構築・運用せずとも、EDRの価値を最大限に引き出せます。
まとめ
EPPは侵入を防ぐ基盤、EDRは侵入後の被害を最小化する切り札です。両者を組み合わせ、さらに専門家の力を活用することが現実的かつ効果的なエンドポイントセキュリティ対策となります。
当社は1985年の創設以来、多くの著名法人・組織にセキュリティサービスを提供してきました。
EDRに限らず、エンドポイント、ネットワーク、運用体制まで幅広く対応可能です。確かな実績に基づき、お客様の環境や課題に応じた最適な対策をご提案します。
エンドポイントセキュリティやEDRの活用に課題や不安がある場合は、ぜひご相談ください。
出典
[1] CISA – Hackers Breached U.S. Federal Agency via GeoServer RCE
https://cyberpress.org/cisa-geoserver-rce/
[2] CISA Shares Lessons Learned from an Incident Response Engagement
https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-266a
[3] MGM Resorts breached by 'Scattered Spider' hackers: sources
https://jp.reuters.com/article/business/technology/mgm-resorts-breached-by-scattered-spider-hackers-sources-idUSKBN30J1KE/
[4] 米カジノ運営元が「ランサムウェア」被害 20億円の身代金を支払って“しまった”理由
https://www.itmedia.co.jp/business/articles/2309/22/news084.html
関連サービス
