EDRとは
EDR(Endpoint Detection and Response)とは、エンドポイント端末(個々のコンピュータやスマートフォンなどの接続デバイス)を監視し、不審な振る舞いを検知して対処するためのツールやサービスです。2013年、ガートナーのシニアアナリストAnton Chuvakinが命名しました。
ネットワーク上のエンドポイント端末からログデータを収集し、不審な挙動やサイバー攻撃を検知して管理者に通知します。通知を受けたセキュリティ管理者は、EDR管理画面でリモートからエンドポイント端末の復旧対応が可能です。
高度に巧妙化するサイバー攻撃に対し、従来型のアンチウイルスやファイアウォールでは防護できなくなり、EDRが開発されました。EDRは、攻撃者が侵入した場合を想定し、検知・対応して被害を防ぐ目的のため、急速に普及しています。
EDRの基本機能と対応の流れ
EDRの機能とともに、マルウェア感染時における対応の流れを解説します。
検知:ログ情報を解析し、不審な挙動や感染を通知する
EDRが最初に行うのは、侵入したマルウェアの検知です。エンドポイント端末のログを収集しサーバで解析し、ウイルスの不審な挙動を自動で検知します。代表的な検知の仕組みは以下のとおりです。
- ●エンドポイント端末のハッシュ値(もとのデータから算出された固定の値)、IPアドレス、ドメイン名などを既知のマルウェアと照合
- ●エンドポイント端末の振る舞いをあらかじめ定義された不審な動きと照合
- ●AI機械学習を用いた自動検知
EDRは、検知した不審な挙動や感染をレポートやアラートとして、迅速にセキュリティ管理者に通知します。
隔離:感染した端末をネットワークから遮断する
通知を受けたセキュリティ管理者はリモートで作業を行い、感染したエンドポイント端末をネットワークから遮断し隔離します。EDRは、マルウェアと疑われる挙動を検知すると、該当するコンピュータ上で実行中のプログラムを自動で停止。感染したエンドポイント端末にマルウェアを封じ込め、感染拡大による二次・三次被害を防ぎます。
調査:ログ情報をもとに、侵入経路や被害範囲を調べる
EDRはエンドポイント端末のログ情報を常に収集しています。その情報をベースに、不審な挙動が疑われるプログラムやプロセスが見つかると、マルウェアの種類や侵入経路を調査します。EDRが検索をかけ、感染したエンドポイント端末を特定し、被害範囲の割り出しも可能です。
優れたEDRは、一連の作業が自動化されていたり、管理者が作業をリモートで行ったりできるため、調査作業を効率よく進められるでしょう。
復旧:感染した端末のマルウェアを駆除し、再稼働させる
EDRは、振る舞い検知やAI機械学習によってマルウェアを素早く検知し、隔離したエンドポイント端末のマルウェアを駆除します。マルウェアの駆除や感染データの削除などが完了すれば、正常なエンドポイント端末として業務に使用可能です。
マルウェアを駆除できない場合、エンドポイント端末の初期化が必要となったり、貴重なデータを失ったりすることも考えられます。エンドポイント端末の復旧に時間がかかれば、業務に支障をきたすでしょう。
EDRの効果
サイバー攻撃の手口が巧妙化する昨今、完璧な侵入防止は困難といわれています。AIを悪用して強固なセキュリティ網や暗号化の仕組みを突破したり、既知のマルウェアをもとに未知のマルウェアを作り出したりすることが容易になってきているからです。そのため、エンドポイント端末へのウイルス侵入を防ぐ対策だけでなく、ウイルスの侵入を前提としたセキュリティ対策が不可欠です。
EDRを活用すれば、自社のすべてのエンドポイント端末をリアルタイムで監視し、不審な挙動を検知すると早急に原因の究明や感染経路、影響範囲などの調査・分析が行われます。また、検知と同時に管理者へアラート通知するため、マルウェアからの被害拡大を防ぐ迅速な事後対応が行えるでしょう。
EDRを導入するメリット
EDRの導入メリットを簡単にまとめると、以下のとおりです。
- ●マルウェア検知後の迅速な影響範囲を特定できる
- ●インシデント発生後の対応時間を大幅に短縮できる
- ●運用を外部に委託できる
EDRは、マルウェア検知後の影響範囲を特定し復旧までを迅速に行えます。そのため、インシデント発生後の対応時間を短縮可能です。対応時間が長引いて通常業務に支障が出れば、場合によってはお客様へ影響が及ぶこともあり得ます。インシデント発生後は早急な復旧が求められます。
EDRがなければ、インシデント対応のため、内部調査や原因特定、状況報告などに多くの時間を費やさなくてはいけません。セキュリティ専門要員を社内に抱える必要があり、コスト負担も大きくなります。EDRを導入し、運用を外部に委託すれば時間も費用も節約できるでしょう。
以下の記事では、EDRを導入するメリットやデメリットをより詳しく解説しているので、気になる方は参考にしてみてください。
関連記事
EDRが注目されている背景
EDRの普及率の拡大や、関心が高まっている理由を解説します。
セキュリティへの関心が高まっている
Research Nester Inc.が発表した世界のエンドポイントセキュリティ市場に関する調査レポートによると、エンドポイントセキュリティ市場規模は2035年末までに1,500億米ドルに達すると予測されています。2022年のエンドポイントセキュリティの業界規模は230億米ドルだったため、CAGR(年平均成長率)は最大10%拡大の見込みです。
エンドポイントセキュリティの市場規模拡大の背景には、世界的なBYOD(個人所有のデバイスを業務利用すること)の導入が挙げられます。サイバー攻撃が高度化・巧妙化する一方で、監視すべき企業のエンドポイント端末は増加しています。接続エンドポイントが増えれば増えるほど、マルウェア侵入時の調査や復旧作業は煩雑化するでしょう。
そのためマルウェアの侵入防止対策だけでなく、万が一マルウェアが侵入した場合にも被害の拡大を最小限に抑えるためのエンドポイントセキュリティ対策の重要性が高まっているのです。
参考:世界のエンドポイントセキュリティ市場調査、規模、シェアと予測 2035年|Research Nester Inc.
テレワークの普及
働き方改革により、テレワークやモバイルワークが普及したこともセキュリティリスクを高める一因です。前述のBYODのほか、自宅や外出先などにおいて従業員が社内以外のネットワークに接続し業務を行う機会が増えました。それにともない、自社のエンドポイント端末がサイバー攻撃の標的になる機会も増加しています。
エンドポイント端末に適切なセキュリティ対策を施しておかなければ、マルウェアの被害に遭っても発見できなかったり、ネットワークを介してほかのエンドポイントに被害を及ぼしたりするリスクを防止できません。巧妙化したサイバー攻撃から社内ネットワークや多くのエンドポイント端末を守るためには、マルウェアの侵入や不正なアクセスを想定した精度の高い検知や、迅速な復旧対応が求められています。
EDRとEPP・NGAVとの違い
EDRと比較されることの多いEPPとNGAV。EPPはエンドポイントを脅威から守り、NGAVはウイルスを検知し感染を防ぎます。EDRと比べながら、EPPとNGAVの特徴を解説します。
EPPとの違い:事前対策か、事後対策か
EPP(Endpoint Protection Platform)は、PCなどのエンドポイント端末やサーバが、マルウェアに感染しないように保護するセキュリティ対策ツールです。マルウェア感染前の対策であるため、事前対策のソリューションです。
一方EDRは、マルウェアに感染したエンドポイント端末の脅威を検知し、セキュリティ管理者に通知します。セキュリティ管理者は、EDR管理画面でリモートにて脅威を調査・隔離し、エンドポイント端末の復旧を行います。EDRはマルウェア感染後の対策であるため、事後対策のソリューションです。
わかりやすく例えると、EPPは病気を予防するワクチンのようにあらかじめ体を守るものに対し、EDRは病気の症状を早期に発見し治療する医者のようなものです。
NGAVとの違い:複数のエンドポイントを監視できるか
従来型アンチウイルスは、パターンマッチング方式(過去の情報をもとに一致するものを検索する方式)の仕組みゆえに、未知のマルウェアに対してはまったくの無力でした。
そこで従来型アンチウイルスの弱点をカバーするために開発されたのが、NGAV(Next Generation Anti-Virus)です。EPPと同じ事前対策のソリューションです。NGAVは、既知のマルウェアに加え、不正な動作を見つけ出す「振る舞い検知」や「AI分析」などの機能が盛り込まれています。不正な動作や脅威の特徴を分析することで、新しいタイプの未知で高度なウイルスでも検出可能です。
しかしEDRとは異なり、一台のエンドポイント端末しか監視できないデメリットもあります。ほかのエンドポイント端末とのデータ関連付けは不可能で、全体のセキュリティ状況を一度に把握できません。
わかりやすく例えると、NGAVは最新技術を取り入れたセキュリティカメラのように特定の場所を高度に監視するものに対し、EDRは複数の場所に配置されたセンサーのように広範囲をモニタリングし、異常を検知するものです。
EDRの選び方・比較ポイント
EDRにはさまざまな製品が提供されています。自社のセキュリティ事情にあったEDRを選ぶためには、製品ごとに異なる機能や特徴などをよく把握することが重要です。以下の5つに着目し製品を比較しましょう。
検知・分析機能の精度
EDRには、既知のマルウェアだけでなく、未知のマルウェアや最新の脅威への対応が求められます。EDRは各エンドポイント端末から取得したログデータを分析して脅威を検知するため、分析処理の精度が重要です。例えば、複数のエンドポイント間でアクティビティを関連付けた相互分析や、外部の脅威インテリジェンスと組み合わせた分析などにより、高精度な脅威検出が可能です。
調査・復旧の支援機能
マルウェア侵入における原因や感染経路などの調査を効率化できるEDRであれば、侵入後の迅速な復旧が可能です。例えば、感染端末のプログラムやプロセスを強制的にシャットダウンする製品や、遠隔でファイル隔離やログ保存などを実行できる製品があります。これらの機能によって、調査作業を大幅に効率化できます。
ネットワークへの負荷
EDRは、監視対象のエンドポイント端末にエージェントソフトウェアを導入し、ログデータを常時取得します。その際に、自社のネットワークにどのくらいの負荷がかかるか確認しましょう。エンドポイント端末やネットワークに過大な負荷がかかるようでは、業務に影響が及ぶ可能性もあります。自社のシステム環境を踏まえて検討しましょう。
セキュリティ範囲
対応可能なEDRのセキュリティ範囲は製品ごとに異なり、大きく分けると以下の3つのタイプがあります。自社の実情にあわせて、強化が必要なセキュリティ範囲に適したタイプを選択しましょう。
- ■EDRに特化したタイプ
- すでにEPPを導入している企業や、侵入後の対応を強化したい企業におすすめです。検知後の対策作業の効率化を図れます。
- ■EDRとEPP両方を兼ね備えたタイプ
- サイバー攻撃に対して包括的に対策したい企業におすすめです。マルウェアの侵入予防から検知・対応まで一気通貫で対応します。
- ■EDRとEPPに加え端末管理ができるタイプ
- サイバー攻撃対策と同時に、内部からの情報漏えいを抑制したい企業におすすめです。サイトへのアクセス制御や、外部ストレージへのファイル保全制御などの機能などを有します。
管理サーバ
EDRのサーバ管理方法には、自社にサーバを設置するオンプレミス型と、インターネットを介してクラウド上のサーバを利用するクラウド型の2種類があります。現在の主流は、リーズナブルかつ短期間で導入できるクラウド型です。より厳重なセキュリティ体制を構築したい場合や、クラウド型では対応できない完全なオフライン端末への監視などが必要な場合には、オンプレミス型が用いられます。
EDRとは何かを知って導入を検討してみよう
EDRは、エンドポイント端末を監視し、不審な振る舞いを検知して迅速な対応を支援するセキュリティソリューションです。ウイルス感染後の事後対策を担い、EDRはマルウェア検知後の影響範囲の特定や、インシデント発生後の対応時間の短縮に貢献します。
近年、サイバー攻撃は衰えるどころか高度化・巧妙化しており、マルウェアの侵入や感染を完全に防ぐのは困難といわれています。そのため、EPPやNGAVなど脅威の侵入を防止する事前のセキュリティ対策だけでなく、マルウェアの侵入後に的確な対応を行い、被害拡大を防止するためのEDRの導入が必要不可欠です。自社のエンドポイント端末を守るために、以下の一括資料請求などを利用して早急にEDRの導入を検討してみてください。