EPP(Endpoint Protection Platform)
EPPとは
EPPは、Endpoint Protection Platform(エンドポイント プロテクション プラットフォーム)の略で、日本語では主に「エンドポイント保護プラットフォーム」と表現されます。
PCやサーバーなどのエンドポイントに導入することで、エンドポイントを保護するセキュリティプラットフォームの総称です。
EPP製品の中でも、従来は「受信したデータ」と「既知のマルウェアの特徴(シグネチャ)をもとにしたデータベース」を比較し、一致したものをマルウェアとして検出するパターンマッチング方式が一般的でしたが、近年では、悪意ある挙動そのもの(振る舞い)を検知して未知のマルウェアにも対応する「NGAV」(Next-Generation Antivirus:次世代アンチウイルス)なども登場しています。
EPPはマルウェア感染を防止することに特化した製品ですが、どんなに強力なEPP製品であっても、マルウェアの感染を100%防ぐことは困難です。そのため、近年ではマルウェア感染後の対応を支援するEDRと併用してて利用するケースが増加しています。
EPPの具体的な製品例
| AV:旧来型のAnti Virus | NGAV:Next Generation(次世代型) Anti Virus | |
|---|---|---|
| 検出方式 | パターンマッチング方式 | 新しい技術を取り入れた分析 |
| 特徴 | エンドポイントをスキャンし、過去に検知したことのある(定義データベースに存在する)マルウェアと同じパターンを持つファイルが存在していた場合、検出・駆除する →既知のマルウェアを高精度で検出可能 ※しかし、未知や亜種のマルウェアに対しては、従来のAVのみの対策では限界がある |
•ふるまい検知:プログラムの内容ではなく、その動作を見て判断する •AI・機械学習:マルウェアの特徴を機械学習によってAIに学習させ、マルウェア亜種も認識する •サンドボックス:検出されたプログラムが実際に悪意のあるものかどうか、実環境から隔離された空間で検証する →未知や亜種のマルウェア、ファイルレスマルウェアなどへの検出も可能に |
【補足】EPP/EDR の 関係性 と 一般的な傾向
- 世界的にはEPPとEDR併せてEPPと名乗ることが主流になりつつある。
-
Gartner社のMagic Quadrantでも、EPPとEDRをあわせてEPPとして市場調査が行われている。
*記載の会社名および商品名は、各社の商標または登録商標です。