EDRとは
EDRとは「Endpoint Detection and Response」の頭文字を取った略語です。PC・スマホ・サーバなどのデバイス(エンドポイント)のセキュリティを強化する仕組みや製品を指します。
EDRはデバイスを常に監視し、ログデータから不正を検知すると管理者へ通知。マルウェアなどへの感染が疑われる端末をネットワークから隔離し、ネットワーク上のほかのデバイスを守ります。万が一ランサムウェアやマルウェアの侵入を許してしまっても、EDRがあれば被害を最小限に抑えられます。
中小企業でEDRが必要とされる背景
昨今、中小企業をターゲットにしたサイバー攻撃が常態化しています。セキュリティが弱い中小企業を踏み台にし、取引先の大企業へ間接的にランサムウェアなどを送り込む攻撃方法が増えています。
IPA(独立行政法人情報処理推進機構)が2022年度、半導体をはじめとした4業界の中小企業に対して行った調査によれば、全体の約8%が「取引先等からの情報セキュリティ対策の要請がある」と回答しました。もはやセキュリティを強化しなければ、中小企業は他企業との取引停止により事業継続にダイレクトな影響を受けかねません。こうした背景から、中小企業がEDRでセキュリティを強化することが当たり前になってきています。
参考:令和4年度中小企業等に対するサイバー攻撃の実態調査|IPA
EDRとEPPの違い
EDRと似たセキュリティの仕組みや製品に「EPP」があります。EPPとEDRは、いずれもデバイス(エンドポイント)を守る点では共通の役割です。しかし、それぞれ以下のように目的が異なります。
- ●EPP:ランサムウェアやマルウェアをデバイスに侵入させないのが目的
- ●EDR:ランサムウェアやマルウェアがデバイスに侵入した後の対処をするのが目的
つまりEPPは侵入防止、EDRは侵入後の対策という違った役割をもちます。
EPPは既存の攻撃方法を解析し該当するものを排除する「パターンマッチング」の仕組みを用いており、未知の脅威を防げません。そのため、万が一ランサムウェアやマルウェアが入り込んでしまった際の対策として、デバイスからネットワークまでを守るEDRが必要になります。
中小企業向けEDRの主なセキュリティ機能一覧
一般的に中小企業向けのEDRは、コストを抑えるために大企業で求められるようなセキュリティ機能を搭載していません。そこで、中小企業向けEDRに搭載された主なセキュリティ機能を紹介します。
デバイス監視機能
もっとも一般的な中小企業向けEDRの機能はデバイスの監視です。ネットワーク上のデバイスに専用のアプリケーションを導入し、以下の操作やアクセスに関するログを常時取得します。
- ●ファイルの操作
- ●ネットワークの接続
- ●レジストリの情報
- ●そのほかの各種操作プロセス
ログ監視により、ランサムウェアやマルウェアの侵入、情報漏えいなどの兆候を速やかに検知できます。多くのセキュリティトラブルを未然に防止可能です。
分析・検知・アラート機能
各デバイスのアプリケーションから取得したログは、EDRがもつクラウド上のサーバに集約され、分析が行われます。ランサムウェアやマルウェアの種類や侵入経路、感染した端末を検知することで、被害があった範囲の割り出しが可能です。検知されたこれらの情報は、管理者にアラートで通知されます。
インシデント対応機能
管理者にアラートを通知しただけでは、検知されたセキュリティ上のリスク(インシデント)の除去は不可能です。インシデント対応機能により、以下のような手段で感染拡大を防ぎつつ、脅威をデバイスやネットワーク上から取り除いていきます。
- ●感染が検知されたデバイスをネットワークから切り離す
- ●原因となっているアプリケーションを無効化(非アクティブ化)する
- ●不審なプログラムやファイルを強制的に停止・削除する
ただしプログラムやファイルを強制停止すれば、基幹システムの動作や業務の継続に影響を与えかねません。そのため、修正内容を複数パターン提案し、そこから最適な方法を管理者が選択できる製品もあります。
中小企業におけるEDR製品の選定ポイント
中小企業向けのEDR製品は種類が多く、機能も豊富なため「どれを選ぶべきか分からない」という担当者の方は少なくありません。そこで、EDR製品の選定ポイントを解説します。
自社のニーズにあった製品タイプか
EDR製品には以下の3タイプがあるため、自社のニーズに合致するものを選びましょう。
| 製品タイプ | 詳細 |
|---|---|
| EDR特化タイプ | ・自社のエンドポイントに侵入したマルウェア・ランサムウェアなどのインシデントへの検知・対処を自動化する。 ・EPPをすでに導入している企業におすすめ |
| EDRとEPPのセットタイプ | ・EDRとEPPの機能を包括し、エンドポイントのセキュリティを大きく強化する ・EPP未導入の企業におすすめ |
| EDRとEPPの機能+デバイス管理ができるタイプ | ・EDRとEPPの機能に加え、Webサイトのアクセス制限や未登録USB使用の制限ができる ・内部不正への対策も行いたい企業におすすめ |
例えばEPPをすでに導入している企業が、EDRとEPPのセットタイプを導入すると、EPPの機能が過剰になりコストが無駄になる可能性があります。自社にとって必要な機能のみを備えた製品を選択することが重要です。
検知精度が高いか
セキュリティ強化の面で、検知精度の高さは必ず確認すべきポイントです。多様化するサイバー攻撃を確実に検知して、封じ込めるには高い検知精度が必須です。また、誤検知が多いと、管理者は頻発するアラートへの対応に余計なリソースを割かれてしまいます。
例えば、ブロック率99.0%以上や誤検知率0.1%未満の精度を誇る製品もあります。EDR製品のベンダーが検知率を公開している場合があるので、公式サイトや製品資料をチェックしてみるとよいでしょう。
サポート体制が充実しているか
セキュリティに関する知識が豊富な人材が社内にいない場合は特に、ベンダーのサポート体制を確認しましょう。「運用段階でのトラブルに対応してくれるか」「実際に検出された脅威への対応をサポートしてくれるか」などがチェックすべきポイントです。
ベンダーによっては24時間・365日の監視サポートや、製品導入時の支援も実施しています。予算も加味しつつ、自社にとって必要性の高いサポートがあるEDR製品を選ぶのがおすすめです。
提供形態はクラウド・オンプレミスのどちらか
EDRにはインターネット上のサーバを利用する「クラウド型」と、自社のサーバにインストールする「オンプレミス型」があります。
クラウド型は導入がスピーディーで、コストも比較的安価なのがメリットです。また、VPNなどの仕組みを構築していなくても、テレワーク環境に対応できます。
一方オンプレミス型は導入に時間がかかり、コストが高くなりやすいのがデメリットです。しかしインターネットが不安定でも動作する点や、自社の細かいニーズにあわせてカスタマイズしやすい点がメリットとして挙げられます。
まずはクラウド型を前提として導入を検討し、もし自社の運用において必要性が高そうならオンプレミス型も選択肢に加えましょう。
デバイスやネットワークに過剰な負荷がかからないか
EDRはさまざまなログを常に出力するため、デバイスやネットワークに大きな負荷がかかるリスクがあります。セキュリティを高めるために、普段の業務効率が落ちてしまっては本末転倒です。
そこで、製品を本格的に導入する前に動作テストの実施をおすすめします。デバイスのCPUやメモリが圧迫されたり、通信に負荷がかかったりして動作が遅くならないか確認してください。テストで問題ないことが確認できた製品を導入しましょう。
中小企業向けEDR製品の料金相場
この後紹介するEDR製品におけるパソコン1台あたりの料金相場はおよそ以下のとおりです。
ライセンスの場合:月額500円~1,500円
サーバ用のEDR製品の場合、月額ライセンス料金の目安は1台あたり数千円となっています。
なお、EDRには買い切り型の製品も提供されています。月額ライセンスなら初期費用の負担を軽減できるものの、1年以上使うなら買い切りを選択したほうがトータルの料金を抑えられる可能性が高いです。初期費用を抑えて毎月の固定費として考えるならライセンス型を、予算消化などで購入するなら買い切り型をおすすめします。
中小企業向けのおすすめEDR製品
中小企業におすすめのEDR製品について、各製品の特徴を詳しく解説します。製品選びにお役立てください。
ESET PROTECT MDR
- 予防・検知・対応から運用までをESETがワンベンダーで実現
- キヤノングループ・ESET社のエンジニアがMDRサービスを提供
- 24時間365日体制で、EPPを含めて製品の全プログラムをサポート
キヤノンマーケティングジャパン株式会社が代理店として提供する「ESET PROTECT MDR」は、中堅企業に最適な包括的なセキュリティソリューションです。EPPとXDRを統合し、攻撃を防ぐだけでなく、侵入後の速やかな対応も可能です。また、専任のセキュリティエンジニアが24時間365日体制で運用をサポート。トラブルシューティングの分析やアドバイスにも対応します。
セキュアエンドポイントサービス(Va)
- 高い精度のスキャンにより、アプリの脆弱性把握や対処が可能
- オンプレやリモート環境など、パソコンの動作状況をすべて把握
- 重大なインシデント発生時は対象パソコンを自動で隔離し能動通知
株式会社 USEN ICT Solutionsが提供する「セキュアエンドポイントサービス(Va)」は、EPPとEDR、MSSを一体化したセキュリティサービスです。パターンマッチングやふるまい検知で、アプリの脆弱性を迅速に把握・対処します。エージェントインストール型のため、専用サーバが不要。リモート環境やオンプレミスの端末も一元管理し、包括的なセキュリティ対策が可能です。
使えるクラウドバックアップ
- 複雑なツールは不要 エンドポイントセキュリティをシンプルに
- イメージバックアップで迅速・効率的なバックアップ&復元が可能
- 包括的なサイバープロテクションで、未然にリスクを防止できる
「使えるクラウドバックアップ」は、低コストかつ簡単操作で安全に利用できるクラウド型バックアップサービスです。使えるねっと株式会社が提供しており、初期費用は不要で月額2,200円から利用可能。ワンクリックで効率的なバックアップと復元を実現します。米軍採用のAES-256暗号化でデータを保護するほか、AIベースのランサムウェア対策やXDRも搭載。
より多くのEDR製品について知りたい方は、以下の記事も参考にしてください。おすすめ製品を機能別に紹介し、選び方も解説しています。
まとめ
大企業をはじめとした取引先からセキュリティ強化を要請されるケースが増え、もはや中小企業でもEDRにの導入が不可欠となっています。EDRを導入すれば、ランサムウェアやマルウェアのようなセキュリティリスクから自社を守ることが可能です。事業の継続性を高めるために、なるべく早期にEDRを導入しましょう。
