EDR（Endpoint Detection and Response）は、PCやサーバーなどエンドポイント端末を継続的に監視できるセキュリティ製品である。異常が発生しているエンドポイント端末の特定に加え、発生事象の解明や異常への遠隔対処も実行できる。これにより、サイバー攻撃を受けても、速やかに対処して被害を最小限に抑えることが可能になる。

ここでは、EDRの基礎知識について、以下の2点を解説する。

EPPとの違い

EPP（Endpoint Protection Platform）は、エンドポイントにマルウェアが侵入すること自体を未然に防ぐことが目的である。一方EDRの目的は、マルウェアが侵入したことをいち早く察知し、被害を最小限に食い止めることにある。そのため、マルウェアの感染前にエンドポイントを守るEPPと、マルウェアの感染後に対処できるEDRの両者を組み合わせるとさらにセキュリティ強化が可能となる。

EDRが必要とされる背景

EDRが必要とされる背景には、「守るべき境界線」の変化と、攻撃の高度化という二つの大きな要因がある。

従来のセキュリティ対策は、安全地帯である社内ネットワークを守るため、マルウェアの侵入を防ぐ「境界型セキュリティ」が主流であった。しかし、サイバー攻撃の巧妙化によって境界型セキュリティだけではセキュリティ対策に限界が生じており、侵入されても被害を食い止められるEDRが注目されている。

また昨今では、働き方改革やコロナ禍を経てテレワークが定着している。その結果、社外ネットワークから社内システムへアクセスするケースが増え、社内と社外の境界線があいまいになってきた。そこで、エンドポイントセキュリティを強化するEDRへの需要が急速に高まっている。

さらに、AIの普及と進歩に伴い、専門知識がない攻撃者でも高度なマルウェアや詐欺メールの作成が可能になっている。こうした背景により、既存のセキュリティ対策だけでは防ぎきれないサイバー攻撃に対処するため、EDRの重要性が増している。

ここでは、EDRの主要機能について、以下の4点を解説する。

監視

EDRは監視対象の端末にエージェントを導入し、「ファイル操作」「ネットワーク接続」「各種プロセス」などのログを常時収集する。これにより、インシデント発生時にも素早く原因を特定でき、被害の早期封じ込めにつながる。

分析・検知

収集されたログはサーバー上に集約され、パターンマッチングや機械学習によって、マルウェア感染の疑いがある挙動が自動検出される。脅威が確認されると管理者に対しアラートが通知されるため、早期の状況把握と初動対応が可能である。

インシデント対応

インシデントが発生した場合、「感染端末をネットワークから切り離す」「不審なプログラムを自動停止する」「マルウェアに感染したアプリを停止する」などの対応が可能で、リモート環境下でも実行することができる。

フォレンジック調査

フォレンジック調査とは、インシデント発生後にデバイス内の情報を収集・分析し、被害状況を解明する手法である。EDRでは、蓄積・収集されたログを活用することで、迅速かつ精度の高い調査と再発防止につなげることができる。

ログから特定できる項目は、主にマルウェアの種類や侵入経路、影響範囲などである。

ここでは、EDRを導入するメリットについて、以下の3点を解説する。

いち早くサイバー攻撃を察知

EDRはエンドポイントをリアルタイムで常時監視できるため、標的型攻撃など脅威が発覚するまでに時間がかかりやすい攻撃も早期に検出できる可能性がある。少しでも異常が見られたら即座にアラートを鳴らすため、被害が拡大する前に対策を実行でき、影響を最小限に抑えられる。

即時対応が可能

EDRにはログの保存・分析機能が備わっており、発生したインシデントを時系列で可視化できる。これによってマルウェアの侵入経路や影響範囲を短時間で特定でき、初動から復旧までの対応期間を大幅に短縮できるであろう。

コンプライアンスを強化

インシデント発生時の報告義務を果たすだけでなく、証拠に基づいた透明性の高い対応が可能となり、企業の社会的信頼の維持に直結するだろう。

ここでは、EDRの比較ポイントについて、以下の3点を解説する。

コスト

一般的には、オンプレミス型よりもクラウド型の方が導入費用や導入期間を抑えられるとされており、ツールやプランによってコストにばらつきがある。

利用環境との親和性

対応できるOSや管理サーバーは、製品ごとに形態が異なる。そのため、自社の利用環境と親和性があるかを確認する必要がある。

サポート体制

EDRの運用には専門知識が求められる。そのため、サポート時の対応時間や連絡手段を事前に確認しておくことが不可欠である。また、自社・ベンダー・第三者の外部委託先のうち誰が保守・運用の担当者であるかを決定しておく必要がある。

EDRは、PCやサーバーなどエンドポイント端末を継続して監視できるセキュリティ製品である。導入することにより、脅威の早期検知や被害の最小化を実現できる。

サイバー攻撃の高度化やテレワークの普及により、境界型セキュリティだけでなく侵入を前提としたセキュリティ対策も重要になっていることが、EDRが注目されている背景である。EDRを導入すれば、継続的なログ監視や迅速なインシデント対応が可能となり、いち早くサイバー攻撃を察知できるうえにコンプライアンスの強化にも役立つ。

自社のクライアントには、高度化するサイバー攻撃への対応策として、EDRの活用を提案してみるのもよいだろう。