そもそもEDRとは
そもそも、EDRとはどんなものなのでしょうか。
エンドポイントの挙動を監視・分析・制御するシステム
EDRは「Endpoint Detection and Response」の略です。エンドポイントとはパソコンやスマートフォンなどネットワークの末端のことであり、EDRはそのエンドポイントを監視・分析・制御するシステムのことを指します。 近年、テレワークの普及やサイバー攻撃の巧妙化によって、ますますエンドポイントにおけるセキュリティの重要性は高まっています。これに伴い、EDRの需要も伸びることになりました。
EPPとの違い:防御対象がウイルスの侵入前か・後か
EDRと同様に、エンドポイントのセキュリティを担うシステムとしてEPP(Endpoint Protection Platform)があります。両者の違いは、対処するのがウイルスの侵入前か・後かという点です。
EPPはウイルスの侵入を防ぐシステムです。主にパターンマッチングを用いてウイルスがエンドポイントに侵入するのを阻止します。ところが、既知の脅威と同様のものを排除するパターンマッチングでは、未知のウイルスの侵入を防げません。
こうして侵入を許してしまった脅威に対処するのがEDRの役割です。ウイルスの挙動を監視・分析し、被害を最小限に抑えます。 EDRはEPPと比較してまだ普及が進んでいないのが現状です。ほとんどの企業はEPPのみを導入しており、未知のウイルスによって知らぬ間に被害を受けている可能性があります。
EDRを導入する2つのメリット
EDRを導入すると、具体的にどのようなメリットが得られるのでしょうか。
1.ウイルスの感染状況を素早く検知・分析できる
未知のウイルスに侵入された場合、特に恐ろしいのは被害を受けていることになかなか気づけないことです。パターンマッチングで検出できない以上、別の仕組みで検出しなければ知らぬ間に被害が広がります。 そこでEDRの出番です。
EDRはエンドポイント内の様子を監視し、振る舞い検知機能やAIによって異常を検知し次第、原因・被害状況の分析に乗り出します。さらに管理者へアラートで通知することで、速やかな対応を支援します。
2.ウイルスの感染拡大を抑えられる
EDRの役割は、単に未知の脅威を検出・分析するだけではありません。感染拡大を抑えるための具体的な対策も実行します。 例えば、ウイルスが発見されたエンドポイントをネットワークから切り離します。こうすることで、ネットワークを介してウイルスが他のエンドポイントに被害をもたらすのを防ぐのです。
また、エンドポイントで発見された危険性の高いファイルを削除したり、実行されているプログラムを強制的に止めたりして事態の収拾に努めます。 基本的に、ウイルスがエンドポイントを襲う際、その目的は端末に保存されているデータを奪うことです。ウイルス感染済みの端末をネットワークから隔離することで、他の端末への感染を阻止するとともに、情報の流出を防ぎます。
EDRを導入する2つのデメリット
EDRにはデメリットもあり、そのために普及がなかなか進んでいません。代表的なデメリットを2つ紹介します。
1.導入にコストがかかる
EDRの導入コストは、基本的にエンドポイントの数に比例します。つまり、パソコンやスマートフォンなどの端末が多ければ多いほど、費用がかさむのです。
製品によって費用はさまざまですが、月額料金の相場はエンドポイント1つにつき数百円です。しかし、今やビジネスに多くのIT機器が使われていることを考えると、1つ数百円といえど侮れません。例えば、1つにつき月額500円で、エンドポイントが100個あるなら月額50,000円、年額600,000円です。長期的に見ると大きな負担になるでしょう。
また、EDRはウイルスの侵入を阻止できない点も要注意です。必然的にEPPなどの侵入阻止システムと組みあわせて使わなければならず、そちらのコストもあわせて考える必要があります。
2.運用にリソースを割く必要がある
セキュリティは、導入するものではなく運用するものです。どれほど優れたシステムを導入しても、それを使いこなせなければ意味がありません。したがって、EDRを導入する際には、運用できるスタッフの確保が大切です。
ところが、その人材確保に悩んでいる企業が少なくありません。EDRの運用には高度な知識やスキルが求められるからです。セキュリティ専任の担当者を確保できるのは一部の大企業に限られ、多くの企業にとっては大きな壁として立ちはだかります。 自社で人材を確保できない場合は、外部の企業に委託する方法もあります。しかし、その場合は委託料が発生するため、コストアップに注意が必要です。
EDRの導入が適している企業
EDRの導入を積極的に検討しなければならないのは、テレワークを導入している企業です。新型コロナウイルスの影響で、多くの企業がテレワークを導入することになりました。そして、テレワーク環境下では従業員が社内ネットワーク以外のネットワークに接続する機会が増えます。これに伴い、エンドポイントが、サイバー攻撃の標的になる機会も増えているのです。
また、テレワークを行っていると、企業の目の届かないところで従業員は端末を利用します。端末に適切なセキュリティ対策を施しておかなければ、被害に遭っても発見できない可能性もあります。
こうした環境の変化に対応するうえで、EDRは大きな力を発揮します。企業の目の届かないところでもエンドポイントを監視し、異常を速やかに知らせるとともに、未知の脅威に柔軟に対処します。
EDRのメリットを理解して、適切なセキュリティ対策を!
EDRとは、EPPによるパターンマッチングで侵入を防げなかったウイルスに対応するセキュリティシステムです。以下のメリット・デメリットをもちます。
- メリット
- ・ウイルスの感染状況を速やかに把握できる
- ・ウイルスの感染拡大を阻止できる
- デメリット
- ・導入コストが高い
- ・運用にリソースを割く必要がある
EDRはテレワーク環境下で大きな力を発揮します。この機会に、本格的に導入を検討してはいかがでしょうか。
