EDR（Endpoint Detection and Response）とは、組織内ネットワークのエンドポイントからログデータを収集・解析するためのセキュリティ手法である。不審な挙動やサイバー攻撃が検知されれば管理者へ通知する。

EDRの仕組み

EDRは、監視対象の端末に専用ソフトを導入し、操作ログを常時収集することにより、管理サーバーに集約されたログデータを分析する仕組みである。疑わしい挙動が検出されると即座に管理者へ通知が行われるため、ログから問題の根本原因や影響範囲が特定されて適切な対応につながる。

EPPとの違い

EPP（Endpoint Protection Platform）は、マルウェアがエンドポイントへ侵入することを防ぐセキュリティ手法である。一方EDRは、発生した後で速やかにマルウェアの感染を検知し、それに対応することで被害を食い止める。

ここでは、従来型の防御が通用しなくなった、現代のビジネス環境における二大要因をひも解いていく。

サイバー攻撃の高度化

近年のAIをはじめとするテクノロジーの著しい進歩は人々の生活を豊かにしてきた半面、ハッカーに悪用されるケースも増え、マルウェア攻撃そのものが多様化・高度化してきた。また、中小企業を踏み台にして、セキュリティが強固な大企業や官公庁に攻撃を仕掛けるサプライチェーン攻撃の事例も増えている。

そのため、いまや従来の境界型セキュリティだけでは不十分であり、マルウェアが侵入する前提で被害を最小限に抑える必要があることも、EDRが求められる背景である。

テレワークの普及

新型コロナウイルス感染症の拡大を機に中小企業でもリモートワークが急速に普及し、従業員が社外ネットワーク経由で業務を行うケースが急増した。これにより、社内外の境界があいまいになり、境界型セキュリティだけでなく、EDRで異常を速やかに検知することも必要とされている。

ここでは、万一の侵入を前提とした際、組織が享受できる三つの決定的なメリットを解説する。

サイバー攻撃被害の拡大を防止

EDRはエンドポイントを常時継続的に監視できるため、脅威を迅速に検知できる。これにより、脅威が発見されれば、管理者は速やかにネットワーク上で感染端末の切り離しや脅威となるファイルの削除などを実行できる。そのため、被害の拡大を最小限にとどめることが可能である。

サイバー攻撃の影響範囲を即座に特定

EDRのログを分析することで、被害を受けた端末やマルウェアの侵入経路、さらには感染原因や被害内容を特定できる。そこから、今後同じマルウェアが侵入してきた場合の封じ込め策や再発防止策を立案できるため、インシデント後の対応がスムーズになるであろう。

境界型セキュリティで防ぎきれなかったマルウェアにも対応

技術の進歩は急速で、境界型セキュリティだけで全てのマルウェアを防ぎきることは困難になってきた。境界型セキュリティでは一度侵入された脅威に対して対処できないが、EDRは境界型セキュリティで防ぎきれなかったマルウェアがあっても異常な挙動を検知できるため、被害を最小限に抑えることができる。

ここでは、EDRの選定方法について、自社の体制や予算にマッチした製品を見極めるための六つのチェックポイントを提示する。

無料トライアルの有無

無料トライアルがあれば、実際の社内環境で手軽に使い勝手を試せる。そこで自社ネットワークとの適合性や運用管理の手間、さらには検知精度などを確認できるため、高額なツールを導入した後に、ミスマッチによる早期のリプレイスを余儀なくされる事態を防げる。

マルウェア検知の精度

サイバー攻撃の技術は日々進歩しており、マルウェア検知の精度が高いEDRでなければ実用的ではない。また、あわせて誤検知の発生率を確認しておくと、不要なアラート対応で管理の手間が増大する事態を防げる。

インシデントの分析機能

インシデントの原因や被害について分析・調査する機能にも着目したい。これらの機能が充実していれば、セキュリティインシデントの再発防止策を立案する際にも役立てられる。特に、セキュリティの専門家を確保できない体制の場合、AIによる高度な自動対応機能を有するツールがおすすめである。

システムへの負荷

高機能のEDRを導入しても、自社ネットワークや端末への負荷が大きいと通常業務に支障を与えかねない。そのため、機能や利便性だけにとらわれず、各端末のメモリーやCPUへの影響も事前に確認することが必要である。

管理サーバーの提供方法

EDRの管理サーバーは、自社でサーバーを用意する「オンプレミス型」とインターネット経由で外部サーバーを利用する「クラウド型」に大別される。一般に、コストや運用負担を抑えたい場合にはクラウド型がおすすめで、自社で柔軟にサーバーをカスタマイズしたい場合はオンプレミス型がおすすめである。

他セキュリティサービスとの連携性

既に導入済みのセキュリティソフトなど、他セキュリティサービスとEDRツールを連携できれば、一層強固なセキュリティを実現できる可能性がある。動作の安定性や連携の簡易さを確認してみてもよい。

EDRを活用することで、サイバー攻撃被害の拡大を速やかに防止でき、境界型セキュリティで防ぎきれなかったマルウェアにも対応できる。EDRを選ぶ場合は、無料トライアルの有無やセキュリティサービスとの連携性などが選定ポイントである。

自社のクライアントには、サプライチェーン攻撃など高度化するサイバー攻撃に対応する手段として、EDRの活用を提案してみるのもよいだろう。