EDRとは
EDR(Endpoint Detection and Response)とは、エンドポイント端末を監視し、不審な振る舞いを検知して対応するセキュリティソリューションです。2013年、ガートナーのシニアアナリストAnton Chuvakinが命名しました。
ネットワーク上のエンドポイント端末からデータを収集し、不審な挙動やサイバー攻撃を検知して通知します。通知を受けたセキュリティ管理者は、EDR管理画面でリモートからエンドポイント端末の復旧対応が可能です。
高度に巧妙化するサイバー攻撃に対し、従来型のアンチウイルスやファイアウォールでは防護できなくなり、EDRが開発されました。EDRは、攻撃者が侵入した場合を想定し、検知・対応して被害を防ぐ目的のため、急速に普及しています。
EDRとEPP・NGAVとの違い
EDRとEPP・NGAVの違いを解説します。
EPPとの違い:事前対策か、事後対策か
EPP(Endpoint Protection Platform)は、PCなどのエンドポイント端末やサーバが、マルウェアに感染しないように保護するセキュリティ対策ツールです。マルウェア感染前の対策であるため、事前対策のソリューションです。
EDRは、マルウェアに感染したエンドポイント端末の脅威を検知し、セキュリティ管理者に通知します。セキュリティ管理者はEDR管理画面で、リモートにて脅威を調査・隔離し、エンドポイント端末の復旧を行います。EDRはマルウェア感染後の対策ですから、事後対策のソリューションです。
NGAVとの違い:複数のエンドポイントを監視できるか
パターンマッチング方式の従来型アンチウイルスは、過去に検出されデータベース化されたマルウェアは検知できます。ところが、未知のマルウェアに対してはまったくの無力でした。
そこで従来型アンチウイルスの弱点をカバーするために開発されたのが、NGAV(Next Generation Anti-Virus)です。EPPと同じ事前対策のソリューションです。NGAVは、既知のマルウェアに加え、不正な動作を見つけ出す「振る舞い検知」や「AI分析」などの機能が盛り込まれています。未知で高度な攻撃も検知可能です。
しかし、EDRとは異なり、1台のエンドポイント端末しか監視できないデメリットもあります。他のエンドポイント端末とのデータ関連付けは不可能で、全体のセキュリティ状況を一度に把握できません。
EDRの仕組みと、マルウェア感染時における対応の流れ
EDRの仕組みと、マルウェア感染時における対応の流れを解説します。
検知:ログ情報を解析し、不審な挙動や感染を通知する
EDRが最初に行うのは、侵入したマルウェアの検知です。エンドポイント端末のログを収集しサーバで解析し、ウイルスの不審な挙動を自動で検知します。代表的な検知の仕組みは以下のとおりです。
- ・エンドポイント端末のハッシュ値・IPアドレス・ドメイン名などを既知のマルウェアと照合
- ・エンドポイント端末の振る舞いをあらかじめ定義された不審な動きと照合
- ・AI機械学習を用いた自動検知
EDRは、検知した不審な挙動や感染を、レポートやアラートとして迅速にセキュリティ管理者に通知します。
隔離:感染した端末をネットワークから遮断する
通知を受けたセキュリティ管理者はリモートで作業を行い、感染したエンドポイント端末をネットワークから遮断し隔離します。EDRは、マルウェアと疑われる挙動を検知すると、該当するプロセスを自動で停止。マルウェアを感染したエンドポイント端末に封じ込め、感染拡大による二次・三次被害を防ぎます。
調査:ログ情報をもとに、侵入経路や被害範囲を調べる
EDRはエンドポイント端末のログ情報を常に収集しています。その情報をベースに、不審な挙動が疑われるプログラムやプロセスが見つかると、マルウェアの種類や侵入経路を調査します。EDRが検索をかけ、感染したエンドポイント端末を特定し、被害範囲の割り出しも行います。
優れたEDRは、一連の作業が自動化されていたり、管理者が作業をリモートで行ったりすることが可能です。調査作業を効率良く進められるでしょう。
復旧:感染した端末のマルウェアを駆除し、再稼働させる
EDRは、振る舞い検知やAI機械学習によってマルウェアを素早く検知し、隔離したエンドポイント端末のマルウェアを駆除できます。駆除すれば、正常なエンドポイント端末として業務に使用可能です。
マルウェアを駆除できない場合、エンドポイント端末の初期化が必要となったり、貴重なデータを失ったりすることも考えられます。エンドポイント端末の復旧に時間がかかれば、業務に支障をきたすでしょう。
EDRのメリット
EDRは、マルウェア検知後の影響範囲を特定し復旧までを迅速に行えます。そのため、インシデント発生後の対応時間を短縮可能です。対応時間が長引いて業務に影響すれば、場合によってはお客様へ業務的な影響が及ぶこともあり得ます。インシデント発生後は早急な復旧が求められます。
EDRがなければ、インシデント対応のため、内部調査、原因特定、状況報告などに多くの時間を費やさなくてはいけません。セキュリティ専門要員を社内に抱える必要があり、コスト負担も大きくなります。EDRを導入し、運用を外部に委託すれば時間も費用も節約できるでしょう。
EDRとは何かを知って、導入を検討してみよう
EDRは、エンドポイント端末を監視し、不審な振る舞いを検知して対応するセキュリティソリューションです。感染後の事後対策を担います。EPP・NGAVは事前対策です。マルウェア感染時の対応は以下のとおりです。
導入のメリットは、以下の2点です。
- ・インシデント発生後の対応時間を短縮
- ・コストセーブ
自社をサイバー攻撃から守るため、早急にEDRの導入を検討してみてください。