EDRとは
EDR(Endpoint Detection and Response)とは、パソコンやスマートフォンなどのエンドポイント端末を監視し、不審な振る舞いを検知して対処するためのツールやサービスです。2013年、ガートナーのシニアアナリストAnton Chuvakinが命名しました。
EDRはネットワーク上のエンドポイント端末からログデータを収集し、不審な挙動やサイバー攻撃を検知して管理者に通知します。通知を受けたセキュリティ管理者は、EDR管理画面でリモートからエンドポイント端末の復旧対応が可能です。
高度に巧妙化するサイバー攻撃に対し、従来型のアンチウイルスやファイアウォールでは防護できなくなり、EDRが開発されました。EDRは、攻撃者が侵入した場合を想定し、検知・対応して被害を防ぐ目的のため、急速に普及しています。
EDRの基本機能
EDRは以下の基本機能を備え、サイバー脅威が侵入した際の被害拡大を防止します。
- ■検知
- エンドポイント端末のログを収集しサーバで解析し、ウイルスの不審な挙動を自動で検知します。ハッシュ値やIPアドレス、ドメイン名などを既知のマルウェアと照合するほか、振る舞いの照合やAI機械学習を用いた自動検知が可能です。
- ■隔離
- 通知を受けたセキュリティ管理者はリモートで作業を行い、感染したエンドポイント端末をネットワークから遮断し隔離します。感染したエンドポイント端末にマルウェアを封じ込め、感染拡大による二次・三次被害の防止も可能です。
- ■調査
- 収集したエンドポイント端末のログ情報をもとに、不審な挙動が疑われるプログラムやプロセスが見つかると、マルウェアの種類や侵入経路を調査します。感染したエンドポイント端末を特定し、被害範囲の割り出しも可能です。
- ■復旧
- 振る舞い検知やAI機械学習によってマルウェアを素早く検知し、隔離したエンドポイント端末のマルウェアを駆除して再稼働可能な状態にする機能です。
EDRとEPP・NGAVとの違い
EDRと比較されることが多い製品として、EPPとNGAVが挙げられます。EPPはエンドポイントを脅威から守り、NGAVはウイルスを検知し感染を防止する製品です。ここでは、EDRと比べながら、EPPとNGAVの特徴を解説します。
EPPとの違い:事前対策か事後対策か
EPP(Endpoint Protection Platform)は、PCなどのエンドポイント端末やサーバがマルウェアに感染しないよう保護するセキュリティ対策ツールです。一方EDRは、マルウェアに感染したエンドポイント端末の脅威を検知し、セキュリティ管理者に通知します。セキュリティ管理者は、EDR管理画面でリモートにて脅威を調査・隔離し、エンドポイント端末の復旧を行います。
つまりEPPはウイルス感染を防ぐための、EDRは感染してしまった後の対策のためのソリューションである点が大きな違いです。
NGAVとの違い:複数のエンドポイントを監視できるか
従来型アンチウイルスは、パターンマッチング方式(過去の情報をもとに一致するものを検索する方式)の仕組みゆえに、未知のマルウェアに対してはまったくの無力でした。
そこで、従来型アンチウイルスの弱点をカバーするために開発されたのがNGAV(Next Generation Anti-Virus)です。NGAVは、既知のマルウェアにくわえ、不正な動作を見つけ出す「振る舞い検知」や「AI分析」などの機能が盛り込まれており、新たな脅威から守ります。
EDRとの違いは、監視可能な端末数です。NGAVは一台のエンドポイント端末の監視に対応しています。対してEDRは複数のエンドポイントを監視でき、
ほかのエンドポイント端末とのデータ関連付けも可能です。全体のセキュリティ状況を一度に把握するのに有効でしょう。
EDRが注目されている背景
EDRの普及率の拡大や、関心が高まっている理由を解説します。
セキュリティへの関心が高まっている
近年ではサイバー攻撃が高度化・巧妙化し、完全に脅威の侵入を防ぐことは難しいとされています。大手企業でもサイバー攻撃による情報漏えい事故が発生し、情報セキュリティ対策の強化が求められるようになりました。
くわえて、IT化・DX化の促進により、個人所有のデバイスを業務利用するBYODの導入が世界的に促進され、監視すべき企業のエンドポイント端末は増加しています。接続エンドポイントが増えれば増えるほど、マルウェア侵入時の調査や復旧作業は煩雑化するでしょう。
そのため、多くの端末を一括管理でき、万が一マルウェアが侵入した場合にも被害の拡大を最小限に抑えるエンドポイントセキュリティ対策の重要性が高まっているのです。
テレワークの普及
働き方改革により、テレワークやモバイルワークが普及したこともセキュリティリスクを高める一因です。BYODのほか、自宅や外出先などにおいて従業員が社内以外のネットワークに接続し業務を行う機会が増えました。それにともない、自社のエンドポイント端末がサイバー攻撃の標的になる機会も増加しています。
エンドポイント端末に適切なセキュリティ対策を施しておかなければ、マルウェアの被害に遭っても発見できなかったり、ネットワークを介してほかのエンドポイントに被害を及ぼしたりするリスクを防止できません。社内ネットワークや多くのエンドポイント端末を守るためには、標的型攻撃によるマルウェアの侵入や不正なアクセスを想定した精度の高い検知や、迅速な復旧対応が求められています。
以下の記事ではITトレンド編集部がおすすめするEDRを比較して紹介しています。EDRの導入を検討したい方は、あわせて参考にしてください。
EDRを導入するメリット
サイバー攻撃の手口が巧妙化する近年では、完璧な侵入防止は困難といわれています。理由はAIを悪用して強固なセキュリティ網や暗号化の仕組みを突破したり、既知のマルウェアをもとに未知のマルウェアを作り出したりすることが容易になってきていることです。そのため、エンドポイント端末へのウイルス侵入を防ぐ対策だけでなく、ウイルスの侵入を前提としたセキュリティ対策が不可欠です。
そこで注目されているのがEDRです。EDRには以下のような導入メリットがあります。
- ●マルウェア検知後の迅速な影響範囲を特定できる
- ●インシデント発生後の対応時間を大幅に短縮できる
- ●運用を外部に委託できる
EDRを活用すれば、自社のすべてのエンドポイント端末をリアルタイムで監視し、不審な挙動を検知すると早急に原因の究明や感染経路、影響範囲などの調査・分析が行われます。また、検知と同時に管理者へアラート通知するため、マルウェアからの被害拡大を防ぐ迅速な事後対応が行えるでしょう。
また、侵入した脅威の駆除・復旧後は内部調査や原因特定、状況報告などが必要です。多くの時間を費やさなくてはならないほか、セキュリティ専門要員を社内に抱える必要があり、コスト負担も大きくなります。EDRを導入し、運用を外部に委託すれば時間も費用も節約できるでしょう。
以下の記事では、EDRを導入するメリットやデメリットをより詳しく解説しているので、気になる方は参考にしてみてください。
EDRの選び方・比較ポイント
EDRにはさまざまな製品が提供されています。自社のセキュリティ事情にあったEDRを選ぶためには、製品ごとに異なる機能や特徴などをよく把握することが重要です。以下の5つに着目し製品を比較しましょう。
検知・分析機能の精度
EDRには、既知のマルウェアだけでなく、未知のマルウェアや最新の脅威への対応が求められます。EDRは各エンドポイント端末から取得したログデータを分析して脅威を検知するため、分析処理の精度が重要です。例えば、複数のエンドポイント間でアクティビティを関連付けた相互分析や、外部の脅威インテリジェンスと組み合わせた分析などにより、高精度な脅威検出が可能になります。
調査・復旧の支援機能
マルウェア侵入における原因や感染経路などの調査を効率化できるEDRであれば、侵入後の迅速な復旧が可能です。例えば、感染端末のプログラムやプロセスを強制的にシャットダウンする製品や、遠隔でファイル隔離やログ保存などを実行できる製品があります。これらの機能によって、調査作業を大幅に効率化できます。
ネットワークへの負荷
EDRは、監視対象のエンドポイント端末にエージェントソフトウェアを導入し、ログデータを常時取得します。その際に、自社のネットワークにどのくらいの負荷がかかるか確認しましょう。エンドポイント端末やネットワークに過大な負荷がかかるようでは、業務に影響が及ぶ可能性もあります。自社のシステム環境を踏まえて検討しましょう。
セキュリティ範囲
対応可能なEDRのセキュリティ範囲は製品ごとに異なり、大きく分けると以下の3つのタイプがあります。自社の実情にあわせて、強化が必要なセキュリティ範囲に適したタイプを選択しましょう。
- ■EDRに特化したタイプ
- すでにEPPを導入している企業や、侵入後の対応を強化したい企業におすすめです。検知後の対策作業の効率化を図れます。
- ■EDRとEPP両方を兼ね備えたタイプ
- サイバー攻撃に対して包括的に対策したい企業におすすめです。マルウェアの侵入予防から検知・対応まで一気通貫で対応します。
- ■EDRとEPPにくわえ端末管理ができるタイプ
- サイバー攻撃対策と同時に、内部からの情報漏えいを抑制したい企業におすすめです。サイトへのアクセス制御や、外部ストレージへのファイル保全制御などの機能などを有します。
管理サーバ
EDRのサーバ管理方法には、自社にサーバを設置するオンプレミス型と、インターネットを介してクラウド上のサーバを利用するクラウド型の2種類があります。現在の主流は、リーズナブルかつ短期間で導入できるクラウド型です。より厳重なセキュリティ体制を構築したい場合や、クラウド型では対応できない完全なオフライン端末への監視などが必要な場合には、オンプレミス型が用いられます。
EDR導入後の運用方法
EDRで自社の情報セキュリティ対策の強化を図るには、導入後に適切な運用管理を行うことも重要です。サイバー攻撃の対策には専門知識も必要になるため、自社に知識をもった人材がいない場合には運用が難しくなるケースも少なくありません。また、脅威を検知したら迅速に対応することが求められるため、自社内にセキュリティ対策専門の人員を配置することが望ましいでしょう。
このようなEDRの運用管理が難しい企業は、EDRの運用代行サービスが提供されている製品を選定するのがおすすめです。脅威検知後の対処から調査・解析まで請け負うサービスもあるため、専門知識をもった人材がいなくてもEDR運用ができます。自社の状況にあわせてサポートや代行サービスの提供がある製品を選定するとよいでしょう。
まとめ
巧妙化するサイバー攻撃から自社の情報を守るには、脅威の侵入防止にくわえ侵入後に適切な対処ができるよう対策しておくことも重要です。自社の情報セキュリティ対策を強化したいと考えている方は、この機会にEDRの導入を検討してみてはいかがでしょうか。
下のボタンからEDRの各社製品資料を一括請求できます。EDR製品の導入検討にぜひご活用ください。
