近年、サイバー攻撃はますます巧妙化し、企業の情報資産を守るためのセキュリティ対策は非常に重要な課題となっています。特に、企業のネットワークに接続されたPCやスマートフォン、サーバーといったエンドポイントが攻撃の標的となるケースが増加しています。

そこで今回は、エンドポイントセキュリティの代表的な対策のひとつである「EPP」について分かりやすく解説します。また、NGAVやEDRとの違いについても解説しますので、ぜひ参考にしてください。

<この記事でわかる内容>

EPP（Endpoint Protection Platform）は、PCやスマートフォン、サーバーなどのエンドポイントをサイバー攻撃から守るためのセキュリティ対策です。ネットワークの末端に位置するエンドポイントは、外部からの攻撃の入り口となりやすいため、重点的な対策が不可欠です。

EPPの主な目的は、マルウェアやランサムウェアなどの脅威がエンドポイントに侵入するのを未然に防ぐことにあります。

一般的に「アンチウイルスソフト＝EPP」と認識されていますが厳密には異なります。

EPPは、エンドポイントを保護するためのセキュリティサービスの総称です。従来の「アンチウイルス」もEPPに含まれる機能のひとつですが、EPPはより広い概念で、ウイルス対策に加えてランサムウェアやフィッシングなど多様な脅威への対策機能を持つことが一般的です。

一方で、アンチウイルスソフトは「既知のウイルス検知・駆除」を中心に発展してきたもので、狭義にはEPPより限定的な意味合いを持ちます。

とはいえ、現在市場で販売されているアンチウイルスソフトの多くは、ウイルス検知だけでなくEPPが提供する幅広いセキュリティ機能を備えています。そのため、「アンチウイルスソフト＝EPP」と認識していても大きな誤解ではありません。実際に弊社がセキュリティサービスを提供する中でも、営業担当やお客様が「EPP」と「アンチウイルスソフト」を厳密に区別することは少なく、ほぼ同じ意味で使われています。本記事でも同じものとして扱います。

かつて企業のセキュリティ対策といえば、ファイアウォールで社内ネットワークと社外ネットワークの境界を守ることが中心でした。しかし、現代ではこの「境界」がなくなりつつあります。その背景には、大きく2つの要因があります。

今日のサイバー攻撃は、AIや機械学習を活用した、より巧妙な攻撃が増加しています。例えば、従来のアンチウイルスソフトでは検知が難しいゼロデイ攻撃や、データを人質に身代金を要求するランサムウェア、メールのやり取りを装う標的型攻撃など、その手口は日々進化しています。これらの攻撃者は、企業の防御の隙を狙い、従業員が利用するPCやスマートフォンといったエンドポイントを侵入の足がかりにすることが増えています。

働き方が多様化し、オフィスだけでなく自宅やカフェから業務を行うことが当たり前になりました。しかし、この変化は新たなセキュリティリスクを生み出しています。社内ネットワークとは異なる不特定多数が利用するWi-Fi環境や、十分なセキュリティ対策がなされていない個人のデバイスが、サイバー攻撃の標的になりやすくなっているのです。また、端末の紛失・盗難リスクや、リモートでの管理の難しさも課題となっています。

このような状況下で、従来の境界防御だけではもはや不十分です。たとえ社外に持ち出された端末であっても、一つひとつを高度な防御力で守る必要性が高まりました。EPPは、まさにこのニーズに応えるソリューションとして市場を拡大しています。

EPPの導入形態は、大きく分けてオンプレミス型とクラウド型の2つがあります。

オンプレミス型は、自社内にサーバーを設置して運用する方式です。機密データを社外に出さずに管理できるため、セキュリティポリシーを厳格に遵守したい企業に向いています。一方で、多額の初期費用や、運用・保守に大きな負担がかかるという課題があります。

これに対し、近年主流になりつつあるのがクラウド型です。ベンダーが提供するサービスを利用するため、ハードウェアの購入は不要で、初期費用を抑えることができます。担当者の負担が軽減されることに加え、リモートワーク環境でも柔軟に対応できる拡張性の高さも魅力です。

NGAVとは「Next-Generation Anti-Virus（次世代アンチウイルス）」の略で、従来のシグネチャーベース^※のアンチウイルスソフトでは防げなかった未知のマルウェアやファイルレス攻撃に対応します。

^{※シグネチャーは、「署名」や「サイン」を表します。シグネチャーベースとは、既知のマルウェアや攻撃の痕跡としてのシグネチャーと、検査対象のファイルや通信を照合して脅威を検知する手法です。}

NGAVは主に以下のような高度な機能を備えています。

ファイルの動きやプロセスの活動を継続的に監視し、不正な振る舞いを検知します。例えば、通常はネットワーク通信を行わないアプリケーションが突然外部と通信を開始したり、重要なシステムファイルが変更されそうになったりする兆候を捉えます。これにより、システムに侵入した時点では無害に見えても、その後に悪意ある行動へと「変化」するプログラムの兆候を早期に検知することが可能になります。

大量のデータをAIや機械学習モデルで分析し、悪意のあるファイルや行動パターンを予測・検知します。未知のマルウェアであっても、その振る舞いなどから、脅威であると判断することが可能です。

サンドボックスとは、不審なファイルやプログラムを隔離された仮想環境で実行し、その挙動を分析する技術です。マルウェアがシステムに与える影響や通信先などを確認することで、未知の脅威を特定します。この環境はホストOSから完全に隔離されているため、悪意のあるプログラムが実際にシステムに被害を与えることはありません。

従来のアンチウイルスソフトは、主にシグネチャーベースの検知に依存しています。そのため、既知の脅威に対しては非常に有効ですが、シグネチャーが存在しないゼロデイ攻撃やファイルレスマルウェアなどの未知の脅威には対応できません。

一方、NGAVは、AI・機械学習や振る舞い検知といった技術を駆使して脅威を検知します。NGAVはファイルそのものだけでなく、そのファイルがシステム上でどのような振る舞いをするかを継続的に監視します。例えば、通常とは異なるポートへの通信、レジストリの不正な変更、ファイルの自己増殖といった不審な行動パターンをリアルタイムで分析し、既知のシグネチャーがなくても脅威を特定できます。これにより、従来のアンチウイルスでは検知が困難だった未知のマルウェアや高度な攻撃にも対応が可能です。

従来のアンチウイルスソフトは、指名手配犯リストに載っている犯人の特徴（シグネチャー）と、目の前の人物を照らし合わせます。リストに載っていれば確実に捕まえられますが、リストにない新しい犯人や、変装した犯人には対応できません。

これに対し、NGAVはAIを搭載した「優秀な捜査官」です。指名手配犯リストに頼るだけでなく、AIが人物の行動や表情、隠された意図を分析するように、ファイルがシステム上でどのような振る舞いをするかを監視します。これにより、従来のアンチウイルスソフトでは見逃していた未知のマルウェアであっても、その不審な挙動から脅威であると判断し、阻止することが可能になりました。

EPP（Endpoint Protection Platform）とEDR（Endpoint Detection and Response）は、どちらもエンドポイントのセキュリティ対策として重要ですが、その役割は異なります。

EPPが「侵入を防ぐ（防御）」ためのソリューションである一方、EDRは「侵入された後の対処（検知・対応）」に特化したソリューションです。

EDRは、エンドポイントの活動（プロセスの起動やファイルの作成・変更、通信履歴など）を継続的に記録・監視します。そして、異常な挙動を検知すると、その脅威がどのように侵入し、どこまで影響を及ぼしたかを可視化することで、被害の拡大を防ぎます。

NGAVの登場によって、既知・未知の脅威の多くをブロックできるようになりました。しかし、どんなに優れた防御策も100%ではありません。攻撃者は常に新しい手口を開発しており、EPPの検知をすり抜ける可能性があります。

警察庁の報告「令和6年におけるサイバー空間をめぐる脅威の情勢等について」が示すように、現代のサイバー攻撃は予測不能な多様化と巧妙化を遂げています。特にランサムウェアの被害報告件数は高水準で推移しており、中小企業での被害が顕著に増加しています。攻撃者は、VPN機器の脆弱性やリモートデスクトップからの侵入、さらには生成AIを悪用した不正プログラムの作成など、多岐にわたる手口でネットワークへの侵入を試みています。

また、ランサムウェア被害に遭った企業へのアンケートでは、従来のアンチウイルスソフトを導入していたにもかかわらず、脅威を検知できなかったケースが多数報告されました。これは、アンチウイルスソフト（EPP）が未知の脅威や巧妙な攻撃に対して十分な検知能力を発揮できていない現状を明確に示しています。

現代のサイバーセキュリティ対策は、「侵入をいかに防ぐか」という考え方から、「侵入を前提に、いかに素早く検知し、対応するか」というゼロトラストといった考え方へとシフトしています。

つまり、EPP（NGAV）とEDRは対立するものではなく、補完関係にあると言えます。EPPが「入り口での水際対策」だとすると、EDRは「侵入後の迅速な消火活動と原因究明」の役割を担い、両者を組み合わせることで、より強固なセキュリティ体制を構築できます。

EPPは様々なベンダーから提供されており、それぞれ特徴が異なります。ここでは、自社の環境に最適な製品を選択するためのポイントを紹介します。

最も重要なのは、どれだけ高い精度で脅威を検知・防御できるかです。マルウェア対策だけでなく、不正な通信の制御やデバイス制御など、必要な機能が網羅されているかを確認しましょう。第三者機関の評価レポートも参考にすると良いでしょう。

EPP製品は常時バックグラウンドで動作するため、PCの動作に負荷をかけすぎないかを確認することが重要です。特に、従業員の業務効率に影響を与えないよう、メモリやCPUの使用率が低い製品を選ぶようにしましょう。

導入を検討している製品が、自社のPCやサーバーで利用しているOS（Windows、macOS、Linux など）に対応しているかを確認します。古いOSや特殊なOSを使用している場合は、特に注意が必要です。

セキュリティ担当者の負担を軽減するには、一元管理が可能で直感的に操作できる管理コンソールを備えた製品を選ぶことが重要です。アラート通知設定やレポート機能も確認することで、スムーズな運用につながります。

導入後の不明点やトラブル発生時に、迅速かつ的確なサポートが受けられる体制が整っているかを確認しましょう。日本語でのサポート対応や、24時間365日のサポートを提供しているかどうかも重要なポイントです。