「EDR（Endpoint Detection and Response）」とは、エンドポイント（PCやサーバー、スマホなどのネットワークの末端機器）上での不審な振る舞いを監視・検知し、隔離、分析、復旧までを行うセキュリティソリューションのこと。EDRは「不正なWebサイトへのアクセス」や「ウイルスメールの開封」など、エンドポイントを起点としたマルウェア感染が多く報告される中で、エンドポイントセキュリティ強化対策として注目を集めている。

なお、EDRの代表的な機能としては、マルウェア感染の「監視および検知」、マルウェアに感染したエンドポイントの「隔離」、ログ情報の活用によるマルウェアの種類や侵入経路などの「分析」、感染したエンドポイントの「復旧」が挙げられる。

EPPとの違い

「EPP（Endpoint Protection Platform）」とは、エンドポイントのマルウェア感染を水際で防ぐことを目的としたセキュリティソリューションのことだ。代表例として「アンチウイルスソフト」が挙げられる。「EPP」がマルウェアを“侵入させないこと”を目的としているのに対し、「EDR」は“既にエンドポイントに侵入した”マルウェアを検知・対処して迅速な復旧を目指す点が異なる。つまり、EDRはEPPと異なり、サイバー攻撃を受けた後に、被害の最小化を図るためのソリューションなのである。

XDRとの違い

「XDR（Extended Detection and Response）」とは、ネットワークやアプリケーション、サーバー、メールなど複数のレイヤーからデータを収集・集約・分析するセキュリティプラットフォームのこと。「XDR」が複数のレイヤーを監視対象としているのに対して、「EDR」はエンドポイントに特化しているという相違点がある。EDRの機能を拡張したのがXDRという区分けもできる。

では、EDRを導入するメリットは何なのか。実際の導入事例も交えて解説する。

マルウェア感染被害の防止

既に導入していたEPPに加えて、EDRも導入した城西病院（東京・杉並区）。担当者いわく、「感染後の迅速な対応を行うためにEDRの導入も検討した」とのこと。導入の結果、EDRがしっかりとマルウェアを防御しており、インシデントも発生していないという。

EDRの導入によって、エンドポイントをリアルタイムで常時監視し、感染してしまった端末やマルウェアの侵入経路、影響範囲などを迅速に特定できるようになる。また、異常を検知すると担当者にアラートもしてくれるために迅速な対応が可能になる。同病院の事例では、こうしたEDRの導入効果がいかんなく発揮されたと考えられる。

セキュリティ担当者の負荷低減

家電メーカーのバルミューダ株式会社では、2022年9月より、メールの添付ファイルなどを経路としたEmotet感染に対する対策の一環としてEDRを導入。同社の担当者は、マクロウイルス感染の防止のほか、「アラートが出ることで検知および実行防止が判断できるため、運用負荷が軽い」という運用面での導入効果も感じていると言う。同社の事例のように、EDRはシステムが自動で初期対応をしてくれるため、担当者の負荷軽減が期待できる。

EDRは疑わしい振る舞いを全て検知・アラートするため、アラート量が膨大になることもあり得る。ともするとアラート慣れが起き、注意すべき重大な脅威を見落としかねない。そこで有効なのが、EPPとの併用だ。EPPによってマルウェア感染を水際である一定のレベルで防ぐことで、EDRのアラート頻度を大幅に抑えることができるのだ。

そのほか、EDRの運用には一定のセキュリティ知識を持つ人材や、場合によっては24時間の監視体制が必要になる。自社でセキュリティ人材を確保できない場合には、EDR運用の外部委託も選択肢になるだろう。

ベンダーとしては、クライアントの状況に応じてEDRの導入メリットを説明しつつ、EPPとの併用やEDRの外部委託といった包括的な提案もしていきたい。