EDRとは
EDRとは、サーバやパソコンなどのエンドポイント端末を監視し、不審な挙動を検知して迅速な対応をサポートするシステムです。ウイルスやマルウェアなどの脅威から、通信ネットワークに接続された端末や機器を守るエンドポイントセキュリティ製品の一種です。
EDRの機能
EDRには、主に以下の機能が搭載されています。
- ●エンドポイント端末をリアルタイムで監視する機能
- ●エンドポイントのログデータを解析し、不審な挙動を検知する機能
- ●脅威を検知後、システム管理者へ通知する機能
- ●ほかのエンドポイントへ感染しないように、脅威を防御・隔離する機能
- ●セキュリティインシデントの原因や感染経路、影響範囲などを調査・分析し、被害状況を把握する機能
- ●セキュリティインシデントを駆除し、システムを復旧する機能
- ●エンドポイントの状態や攻撃の全体像をわかりやすく可視化する機能
EDRが必要な理由
アンチウイルスやファイアウォールなど従来型のセキュリティシステムは、脅威の侵入防止を目的としたツールです。例えば、企業ネットワークと外部ネットワークが接続する「境界線」を保護することで、エンドポイント端末のセキュリティを守ります。
しかし、リモートワークやモバイルワークの普及により、社内以外のネットワークで業務を行う機会が増加しました。このような環境下で、社内と社外のネットワークをわけてセキュリティを担保するのには限界があります。さらに、サイバー攻撃の手口が巧妙化している昨今、従来のセキュリティシステムでは未知の脅威を完全に防ぐのは困難です。
そのため、脅威の侵入を前提としたセキュリティ対策が求められています。EDRを導入すれば、不審な動きを速やかに検知し、原因究明や被害の拡大防止に貢献します。
EDRの概要についてより詳しく知りたい方は、以下の記事も参考にしてください。
無料のEDRとは
無料のEDRの大半がOSS(オープンソース)製品です。OSSの最大のメリットは、コストをかけずに導入できる点です。一方で、セキュリティ対策ツールとしての効果を最大化するためには、自社のシステム環境にあわせたカスタマイズが必要になります。
システム開発の専門知識をもった人材がいる企業なら、OSS製品でも十分に効果を発揮できるでしょう。しかし、適切な人材がいなければ、不完全なセキュリティ対策のまま運用することになりかねません。EDRを本格的に使用するのであれば、有料のEDR製品とも比較し、自社での運用が可能かを検討してから導入することをおすすめします。
この記事では、無料製品(OSS)のほか、無料トライアルやデモが利用できる有料製品を比較しています。有料のEDRもあわせて検討したい企業は、各製品の機能性や使用感を試してみて、自社のシステム環境や運用方法に適した製品を見つけてください。
無料で活用できるEDR製品を比較
ここでは、無料利用できるオープンソースのEDRを紹介します。
OSSEC
「OSSEC」は、エージェントを各端末にインストールして利用する侵入検知システムです。主にログ監視、侵入検知、ファイルの整合性監視などのセキュリティ機能を提供します。月額4米ドル~の有料版も利用できます。
OpenEDR
「OpenEDR」は、クラウド環境やオンプレミスでの運用が可能なEDRソリューションです。エンドポイント上の脅威検知、調査、対応をリアルタイムで実行します。インテリジェンスデータがグラフ化されるため、攻撃の全体像を視覚的に把握できるのも特徴です。
Wazuh
「Wazuh」は、EDR機能を提供する統合型セキュリティプラットフォームです。OSSECをベースに拡張された柔軟な構造が特徴です。ログ管理やファイルの整合性監視、リアルタイムの脅威検知・脆弱性の監視を行います。
osquery
「osquery」は、SQLクエリを使用してエンドポイントの状態をリアルタイムで調査・監視するツールです。OSのプロセス、ネットワーク接続、ユーザーアクティビティなどシステム内のさまざまなデータを抽出し、監視と分析を実施します。Linux、Windows、macOSに対応します。
Metasploit
「Metasploit」は、ペネトレーションテストおよび脆弱性評価フレームワークです。ネットワークやシステムの脆弱性を検出し、悪用されるリスクを評価します。エクスプロイト作成・テスト・実行や、カスタム攻撃のシミュレーションが可能です。
無料トライアルが活用できるEDR製品を比較
次に、無料トライアルやデモを活用できるEDR製品を紹介します。
Elements Endpoint Protection
- マルウェア対策と最新パッチ適用で企業のBCP対策を実現!
- リアルタイムに最新の脅威を特定しゼロデイ攻撃を防止!
- 4種のソリューションを単一または組み合わせて使用可能!
ウィズセキュア株式会社が提供する「Elements Endpoint Protection」は、企業のエンドポイントを保護するクラウド型システムです。4つのソリューションを単独または自由に組み合わせて利用できます。セキュリティ管理や外部脅威からの保護、自動応答による防御などが可能です。30日間の無料評価版が用意されています。
Trend Micro Apex One
- トレンドマイクロ社の高度な技術による圧倒的な脅威検出力!
- クラウド型採用で企業内のデバイス・アプリを柔軟に保護可能!
- あらゆるデバイス・アプリ・ファイル形式に総合的に対応!
トレンドマイクロ株式会社が提供する「Trend Micro Apex One」は、AI技術を用いたエンドポイントセキュリティソリューションです。さまざまな脅威を高度に検出し、効果的に保護します。メール・エンドポイント・サーバおよび、ネットワークの検知と対応が可能です。また、脆弱性対策機能ではHIPS(侵入防止システム)を使用し、正規パッチが適用されるまで仮想パッチを適用してシステムを保護します。30日無料体験版をダウンロードして使用できます。
以下のボタンから、ITトレンド編集部がおすすめするEDR製品の資料を一括請求できます。資料から複数製品を比較したい方はぜひご利用ください。
Intercept X Endpoint
ソフォス株式会社が提供する「Intercept X Endpoint」は、高度な脅威ハンティングとITセキュリティ運用予防に必要な機能が用意されたEDRです。あらゆる状況を想定し、セキュリティアナリストとIT管理者が必要とする機能を提供します。また、包括的なデータを使用し正確な検出を実施。インシデント発生時には、SOCチームが管理コンソールからリモートで迅速に対応します。Sophos Centralにアカウント登録することで、無償評価版をダウンロードして使用できます。
Microsoft Defender for Endpoint
マイクロソフトが提供する「Microsoft Defender for Endpoint」は、Windows、macOS、Linux、iOSのデバイスとネットワークデバイスに対応します。主な機能は、脆弱性管理・エンドポイント保護・エンドポイント検出対応・モバイル脅威防止・マネージドハンティングです。脅威と脆弱性を素早く検出し、優先度をつけて修復します。AIが固有の環境に潜む脅威を検出し、アラート発生から修復までを短時間で完了します。アカウント登録により、無償試用版をダウンロードして使用できます。
Cisco Secure Endpoint
シスコシステムズ合同会社が提供する「Cisco Secure Endpoint」は、脅威の検出・調査・対応を強化し、エンドポイントセキュリティの運用効率を高めるソリューションです。脅威ハンティングやエンドポイントの隔離を行い、対象範囲を最小範囲にとどめ修復が可能です。行動分析、機械学習、シグネチャベースの多面的な防止手法を用いて、エンドポイントが侵害される前に脅威を阻止します。30日間の無料トライアル版があります。
Kaspersky Endpoint Detection and Response Optimum
株式会社カスペルスキーが提供する「Kaspersky Endpoint Detection and Response Optimum」は、高度な検知とシンプルな調査、自動対応を実現するEDRです。エンドポイントを可視化して、自動検知機能とIoC(セキュリティ侵害インジケーター)で脅威を検知します。また、インシデントごとに分析調査を行い、ワンクリックで自動的に脅威の拡散防止が可能です。30日間無料体験版をダウンロードして使用できます。
Endpoint Standard
VMwareが提供する「Endpoint Standard」は、ビッグデータ解析技術の一つである「イベントストリーミング処理」を利用するエンドポイントセキュリティシステムです。端末のイベントをリアルタイムに解析し、インシデントになる兆候を察知して、マルウェア・ランサムウェア・ファイルレス攻撃からエンドポイントを保護します。万が一感染したときには、感染範囲・侵入経路を特定し、セキュリティ担当者がエンドポイントの復旧支援を行います。無料評価版が使用可能です。
Trellix Endpoint Detection and Response (EDR)
Trellixが提供する「Trellix Endpoint Detection and Response (EDR)」は、隠蔽された攻撃を挙動追跡で検知するクラウドソリューションです。常にデータを収集し、複数のエンジンがエンドポイントの脅威を検出。調査を実施後は、管理者へ正確なアラートを通知します。セキュリティアナリストのスキルレベルにかかわらず、調査・対応が可能です。また、企業の講じた事前予防策が不十分であれば、具体的な対策を提示します。トライアル版ソフトウェアに登録すれば、60日間無料で使用できます。
Falcon Insight
CrowdStrikeが提供する「Falcon Insight」は、継続的にエンドポイントの振る舞いを記録するEDRです。エンドポイントから企業のネットワーク全体まで、広範囲にわたりリアルタイムに脅威を把握できます。また、詳細な分析で疑わしい挙動を自動で検知し、攻撃の未然阻止が可能です。セキュリティアナリストは、セキュリティ業務の効率化により、迅速な調査と対応が行えます。CrowdStrike Falcon Test Driveに登録すれば、30日間無料で使用できます。
無料のEDRを活用する際に比較するポイント
無料のEDR製品や有料製品の無料トライアルを利用する際には、以下の3つのポイントに着目して比較してみてください。
自社のシステム環境にフィットするか
まず、自社のシステム環境に適したEDRであるかの確認が必要です。製品によっては、監視対象のエンドポイント端末やOSが限定される場合があります。自社の業務用端末を正確に把握し、より多くのエンドポイントが強化対象となるEDRの選択が望まれます。
コミュニティサポートが充実しているか
特にOSS製品は、問い合わせ窓口などのサポートをもたない場合も多くあります。長期的に使用するためには、コミュニティの充実度が欠かせません。例えば、以下の点に着目してみてください。
- ■コミュニティの活性度
- 専用フォーラムやRedditなど、コミュニティプラットフォームなどにおける質問や回答の頻度を確認します。また、GitHubの活動状況の確認も重要です。ツールが活動・更新・メンテナンスされているかがわかります。
- ■アップデートの頻度
- 脆弱性を察した際のバグ修正スピードを確認します。迅速にセキュリティパッチが提供されるかが重要です。
- ■サポートの質
- 公式または非公式のドキュメントや、ユーザーガイドの充実度を確認します。これらが充実していれば、導入やトラブルシューティングをスムーズに進められる可能性が高まります。
他社製品との連携性は優れているか
EDRの多くは、アンチウイルスソフトやファイアウォールなどのセキュリティシステムと連携することで、より高いレベルのセキュリティ対策を実現します。すでにほかのセキュリティシステムを活用している場合は、それらとEDR製品の相性を確認してみてください。連携が可能であれば、EDR単体で導入するよりも万全なセキュリティ対策を構築できます。
また相互連携によって、セキュリティシステム運用の自動化・効率化も可能に。管理者の業務負担が軽減し、重要課題への対応にリソースを集中できます。
まとめ
サイバー攻撃の手口が巧妙化した現在では、脅威の侵入を防ぐ事前対策だけではなく、侵入した脅威を適切に処理する事後対策も重要です。自社のセキュリティ対策を強化したいと考えている方は、この機会にEDRの導入を検討してみてはいかがでしょうか。
下のボタンからEDRの各社製品資料を一括請求(無料)できます。EDR導入検討にぜひご活用ください。
