「ウイルス対策ソフトを入れているから大丈夫」は過去の話

かつてはウイルス対策ソフト（アンチウイルス）を導入すれば多くの脅威を防ぐことができました。しかし現代の攻撃ツールは、アンチウイルスに検知されないよう設計された「ゼロデイ型」や、正規プロセスを悪用する「ファイルレス型」が増えています。

IPAの調査では、ランサムウェア被害を受けた組織の多くが「ウイルス対策ソフトを導入していた」と報告しています。現代のセキュリティには、UTM・EPP・EDRという3つの異なる役割を持つ対策を組み合わせる「多層防御」が必要です。

UTM（統合脅威管理）──「ネットワークの入口」を守る門番

UTM（Unified Threat Management：統合脅威管理）は、ファイアウォール・IPS・Webフィルタリング・メールフィルタリング・VPNなど複数のセキュリティ機能を1台の機器に集約したネットワークセキュリティ機器です。会社のインターネット接続の「入口」に設置して使います。

UTMの主な機能

・ファイアウォール：外部からの不正な通信をブロック

・IPS/IDS：不正侵入の試みを検知・防御

・Webフィルタリング：危険なウェブサイトへのアクセスをブロック

・メールフィルタリング：フィッシングメール・マルウェア添付を遮断

・VPN：安全なリモートアクセスの実現

UTMのメリット・デメリット

【メリット】1台で複数機能を管理でき、ネットワーク全体を一括保護。設定・管理が比較的シンプルでコスト効率が高い。

【デメリット】UTMを「すり抜けた」高度な攻撃には対応できない。端末（PC）の内部での異常な動きは検知できない。UTM機器自体のアップデートを怠ると弱点になる。

EPP（エンドポイント保護プラットフォーム）──「端末への侵入前」に防ぐ防衛線

EPP（Endpoint Protection Platform）は、PC・サーバーなどの端末（エンドポイント）へのマルウェア侵入を「防ぐ」ことを目的としたセキュリティソフトウェアです。一般に「ウイルス対策ソフト（アンチウイルス）」と呼ばれるものはEPPの一種です。

EPPの仕組みと主な機能

EPPは主に「シグネチャ（既知のマルウェアのパターン）」と照合することで脅威を検知・ブロックします。

・マルウェアの検知・隔離・削除

・不審なファイルのスキャン（ダウンロード時・リアルタイム）

・Webアクセスフィルタリング（一部製品）

・デバイス制御（USB接続の制限など）

EPPの限界：「知らない敵」には対応できない

EPPはパターンデータベースに登録された「既知の脅威」は防げますが、データベースにない新しい攻撃手法（ゼロデイ攻撃）や、正規ツールを悪用するファイルレス型攻撃には対応が難しい場合があります。これが「ウイルス対策ソフトだけでは防ぎきれない」と言われる理由です。

EDR（エンドポイント検出・応答）──「侵入後」に検知・対応する監視システム

EDR（Endpoint Detection and Response）は、PC・サーバーなど各端末の動作をリアルタイムで監視し、「不審な動き（行動）」を検知して対応するセキュリティ技術です。EPPが「侵入を防ぐ」のに対し、EDRは「侵入されたことに気づき、被害を最小化する」役割を担います。

EDRの主な機能

・リアルタイム行動監視：端末の動きを常時記録し、通常と異なる動作を検知

・脅威の自動隔離：ランサムウェアの「暗号化動作」を検知して自動でプロセスを停止・隔離

・フォレンジック機能：感染経路・影響範囲の調査に必要なログを自動収集

・脅威インテリジェンス：世界中の最新脅威情報と照合してリアルタイム判定

EPPとEDRの決定的な違い

EPP：「既知の悪いものを事前にブロック」（パターンマッチング）

EDR：「怪しい動きをしているものを検知してブロック」（行動分析）

EDRはシグネチャがなくても「正規のプロセスが大量のファイルを暗号化している」など「動き」から脅威を検知します。これによりEPPをすり抜けたゼロデイ攻撃やランサムウェアにも対応できます。

UTM・EPP・EDRの役割分担と「3段構え」の全体像

3つの技術は競合するのではなく、それぞれ異なる「防御ライン」を担います。

【第1の防衛線：UTM（ネットワーク入口）】

外部からの不正通信・フィッシングメール・危険なサイトへのアクセスを「会社の入口」でブロック。

【第2の防衛線：EPP（端末・侵入前）】

万一、UTMをすり抜けた脅威が端末に届いた場合、既知のマルウェアを「実行前」にブロック。

【第3の防衛線：EDR（端末・侵入後）】

EPPも突破した未知の脅威を、「端末上の不審な動き」から検知・隔離。ランサムウェアが動き出した瞬間に止める最後の砦。

「建物の入口に警備員（UTM）、各フロアに入館チェック（EPP）、建物内に高性能監視カメラ（EDR）」と考えるとイメージしやすいです。

UTM・EPP・EDRの役割分担と「3段構え」の全体像

3つの技術は競合するのではなく、それぞれ異なる「防御ライン」を担います。

【第1の防衛線：UTM（ネットワーク入口）】

外部からの不正通信・フィッシングメール・危険なサイトへのアクセスを「会社の入口」でブロック。

【第2の防衛線：EPP（端末・侵入前）】

万一、UTMをすり抜けた脅威が端末に届いた場合、既知のマルウェアを「実行前」にブロック。

【第3の防衛線：EDR（端末・侵入後）】

EPPも突破した未知の脅威を、「端末上の不審な動き」から検知・隔離。ランサムウェアが動き出した瞬間に止める最後の砦。

「建物の入口に警備員（UTM）、各フロアに入館チェック（EPP）、建物内に高性能監視カメラ（EDR）」と考えるとイメージしやすいです。

お助け隊サービスの段階でUTM・EPP・EDRは必要か

サイバーセキュリティお助け隊サービス（既存）には、UTMによる常時監視が含まれているサービスが多く、EPPやEDRをセットで提供するサービスも増えています。

【お助け隊サービス（既存）の段階：UTM＋EPPが基本】

ネットワーク入口のUTMと端末のEPPを組み合わせるのが標準的な構成です。既存のウイルス対策ソフト（EPP）を引き続き利用しながら、UTMを追加する形でお助け隊サービスを導入するケースが多く見られます。

【お助け隊サービス（新類型）・★3の段階：EDRも追加】

2026年度下期から新設予定の新類型・★3相当の対策では、UTM＋EPPに加えてEDRの導入も要求事項に含まれる見込みです。ランサムウェア被害の大半はEDRがあれば被害を最小化できるため、予算の許す限り早期にEDRの導入を推奨します。

【中小企業向けの現実的な導入ステップ】

優先①　EPPを全PC・サーバーに導入（最低限・低コスト）

優先②　UTMをネットワーク入口に設置（お助け隊サービスで一体提供）

優先③　EDRをEPPと組み合わせて導入（★3対応・最大の防御効果）

よくある質問（FAQ）

Q　UTMとEDRのどちらから始めるべきですか？

A　ランサムウェア対策を最優先とするならEDR（またはEPP+EDR）から始めることをお勧めします。EDRはランサムウェアの「暗号化動作」を検知して自動停止できる点で特に有効です。お助け隊サービスでUTMも同時に導入するのが最も効率的です。

Q　EPPとEDRは両方必要ですか、どちらか一方でいいですか？

A　両方の組み合わせが推奨です。EPPは「防ぐ」、EDRは「侵入後に検知・止める」という異なる役割のため、一方だけでは防御に穴が生じます。最近はEPP＋EDRが一体化した「NGAV（次世代アンチウイルス）」製品も多く、コスト効率が高い選択肢です。

Q　クラウド型EDRとオンプレミス型の違いは何ですか？

A　クラウド型はサーバーを自社で持たず、クラウド上で管理・分析します。初期費用が低く、専任IT担当者がいない中小企業に向いています。現在の中小企業向け主流はクラウド型です。

SSTのUTM・EPP・EDR導入支援について

鈴与システムテクノロジー（SST）では、サイバーセキュリティお助け隊サービスの一環として、UTM・EPP・EDRの選定から設置・設定・運用管理・緊急時対応まで一括でご提供します。「どの構成が自社に合うか相談したい」「お助け隊サービスで何が含まれるか確認したい」という方もお気軽にご相談ください。補助金（デジタル化・AI導入補助金2026）のご説明も。

ご相談はこちら