EPPとEDRの違いとは？セキュリティ対策の役割分担

●EPPとEDRはどちらも端末を守る仕組み

EPP（Endpoint Protection Platform）とEDR（Endpoint Detection and Response）は、どちらも端末を守る仕組みですが、EPPは「侵入を防ぐ」、EDRは「侵入された後に検知・対応する」ことを目的としています。

●基本的な違い

●それぞれの役割

（1）EPP：感染を防ぐ防御

EPPは端末上でファイルや通信を監視し、既知のマルウェアを検知してブロックします。
AIやクラウド照会機能を備え、未知の脅威にも一定の防御力を持ちます。
ただし、ゼロデイ脆弱性を突く攻撃（ゼロデイ攻撃）などでは、EPPだけで防ぎきれない場合があります。

※ゼロデイ攻撃についてはこちらで解説しています。

（2）EDR：侵入後の監視・対応

EDRは端末内で発生する全挙動（プロセス起動、通信、ファイル操作など）を監視し、不審な動きがあれば即座に検知します。
また、攻撃経路や影響範囲を可視化し、必要に応じて端末をネットワークから隔離します。

●EPPとEDRの連携による多層防御

両者を組み合わせることで、侵入防止と侵入後対応の二重の防御を実現します。

【攻撃の流れ】
外部攻撃 → EPPがブロック → 防ぎきれない攻撃が侵入 → EDRが挙動検知 → 端末隔離 → 監視センター（SOC）等が分析・報告

●まとめと補足

EPPは防御の第一線、EDRは侵入後対応の要。
両者を正しく組み合わせることで、「防ぐ」「見つける」「止める」の三段階を実現できます。

なお、EPP、EDRには様々な製品が存在します。製品ごとに機能も様々で、EPPとEDR両方の機能を有する製品も存在するようです。製品の比較は各販売会社に確認いただきたいのですが、比較する上での観点について別の記事で紹介したいと思います。