Written by WizLANSCOPE編集部
目 次
EDRとは、PCやスマートフォン、サーバーなどのエンドポイントにおける不審な挙動やインシデントの兆候をリアルタイムで検知し、迅速な対応を可能にするセキュリティソリューションです。
EDRは、エンドポイントを常時監視する仕組みを備えており、マルウェア感染や不正アクセスなどの脅威をいち早く検知し、対応することが可能です。
近年、サイバー攻撃は高度化・巧妙化が進み、すべての脅威を防ぐことは困難になっています。
このような状況から、脅威の侵入を前提とし、検知から対応までを迅速に行える「EDR」は、企業・組織のセキュリティ対策において重要な役割を担う存在として注目を集めています。
本記事では、EDRのメリットや主な機能、製品を選定する際のポイントなどを解説します。
▼本記事でわかること
- EDRの概要
- EDRのメリット
- EDRの機能
- EDR製品の選定ポイント
「なぜEDRを導入した方がよいのか」「EDRで何ができるのか」などを知りたい方はぜひご一読ください。
EDRとは
「EDR(Endpoint Detection and Response)」とは、PCやスマートフォン、サーバーなどのエンドポイントにおける不正な活動をいち早く検知し、迅速な対応を可能にするセキュリティソリューションです。
例えば、エンドポイントにマルウェアが侵入した場合、EDRは以下のような流れで対応します。
| 1.検知 | ・エンドポイント上の各種ログを継続的に収集し、サーバー側で解析することで、マルウェアや不審な挙動を検出する ・検出した脅威は、アラートとして管理者に通知する |
|---|---|
| 2.封じ込め | ・感染したエンドポイントをネットワークから切り離し、マルウェアの拡散を防止する(遠隔で隔離することも可能) |
| 3.調査 | ・収集したログをもとに、マルウェアの種類や侵入経路、影響範囲などを詳細に調査・特定する |
| 4.復旧 | ・感染したファイルやアプリケーションを削除し、マルウェアの駆除を行うことで、エンドポイントの正常な状態を回復させる |
近年、サイバー攻撃は高度化・巧妙化が進み、どれほど対策を徹底していても、脅威の侵入を完全に防ぐことは難しくなっています。
そこで、侵入を前提とし、迅速な検知と対応によって被害の最小化を図る「EDR」は、重要なセキュリティ対策になるとして注目を集めています。
EDRの仕組み
EDRは、不正な活動を速やかに検知そして通知するために、エンドポイントを常時監視する仕組みを備えています。
そのため、監視対象となるPCやサーバーなどのエンドポイントに監視ソフトをインストールし、動作状況や各種ログを継続的に取得します。
取得したログはサーバー上に集約され、機械学習などを活用して分析が行われます。これにより、マルウェアや不審な操作といった異常を高精度で検知することが可能です。
このサーバーは監視ソフトの管理・制御を行うだけでなく、不正な活動が検知された際に、管理者へアラートを通知する役割も担っています。
通知を受けた管理者は、原因や影響範囲を調査した上で適切な対応を取ることで、被害の拡大を最小限に抑えることができます。
EDRが注目される背景
EDRが注目を集めている背景としては以下が考えられます。
- サイバー攻撃が高度化・巧妙化しているため
- 「エンドポイント」を起点としたサイバー攻撃が多発しているため
- 境界型セキュリティが限界を迎えているため
詳しく確認していきましょう。
サイバー攻撃が高度化・巧妙化しているため
従来のセキュリティ対策では、「脅威は侵入前にブロックする」という考え方が一般的でした。
しかし近年のサイバー攻撃は高度化・巧妙化していることから、脅威の侵入をすべて防ぐことが困難になっています。
そこで、脅威の侵入を前提にエンドポイントを監視し、侵入後に迅速な対応が行える「EDR」への注目が高まっています。
「エンドポイント」を起点としたサイバー攻撃が多発しているため
マルウェアの主な感染経路としては、「不正なWebサイト」「メールに含まれるURLや添付ファイル」「無料のアプリやソフトウェア」などが挙げられます。
これらの感染経路からも分かる通り、マルウェアは、PCやスマートフォンといったエンドポイントを起点として、感染を拡大するケースが多く見られます。
さらに、近年被害が急増し、注目を集めている「ランサムウェア」についても、その多くがエンドポイントを標的として、侵入・感染していることが明らかになっています。
このように深刻な被害をもたらす「マルウェア」「ランサムウェア」から組織を守るためには、EDRを活用し、エンドポイントセキュリティを強化することが求められています。
境界型セキュリティが限界を迎えているため
従来の働き方では、オフィスに出社し、社内ネットワークを介して業務を行うことが一般的でした。
そのため、安全とされる社内ネットワークと、信用できない社外ネットワークの境界に防御策を設ける「境界型セキュリティ」が、主流のセキュリティ対策として、広く採用されていました。
しかし、近年のテレワークの普及により、自宅や外出先などの社外環境から社内ネットワークにアクセスする機会が増加しています。
こうした状況では、ネットワーク内外を明確に区別することが難しくなり、境界型セキュリティだけでは、十分な安全性を確保できなくなっています。
このような背景から、近年では「ゼロトラストセキュリティ」の考え方が重要視されています。
ゼロトラストとは、「サーバーや社内ネットワークに接続する、すべてのデバイスやアプリケーションは、常に脅威になり得るものとして扱う」という前提に立ってセキュリティ概念です。
そのため、たとえ社内ネットワークからのアクセスであっても信頼せず、社外ネットワークからのアクセスと同様に、都度認証や検証を行います。
このゼロトラストセキュリティを実現するためには、社内外を問わずネットワークに接続されるエンドポイントの状態を常に可視化し、異常を早期に検知・対応できる仕組みが欠かせません。
この中核を担うソリューションとして、エンドポイントをリアルタイムで監視する「EDR」への注目が高まっています。
EDRを導入するメリット
EDRを導入することで、以下のようなメリットが期待できます。
- 被害の拡大を阻止できる
- 影響範囲が迅速に特定できる
- ファイルレスマルウェアにも対応できる
EDRの導入を検討されている方はぜひ参考にしてみてください。
被害の拡大を阻止できる
EDRは、エンドポイントを常時かつ継続的に監視する仕組みを備えていることから、脅威を迅速に検知し、被害の拡大を防止することが可能です。
また、管理者は遠隔から感染したエンドポイントを隔離したり、脅威となるファイルやプロセスを削除したりすることができるため、迅速な封じ込めと復旧が可能となります。
影響範囲が迅速に特定できる
EDRでは、収集したログを分析することで、次のような情報を特定することが可能です。
- マルウェアの被害を受けたデバイス
- マルウェアの侵入経路や感染原因、被害内容
これらの情報を把握することで、外部から侵入したプログラムや実行されたファイルを時系列に沿って、詳細に追跡できるようになります。
その結果、被害が及んだ範囲を正確に特定でき、適切な封じ込めや再発防止策の検討につなげることが可能になるでしょう。
ファイルレスマルウェアにも対応できる
マルウェアの中には、従来のアンチウイルスソフトによる検知をすり抜けてしまうものも存在します。
その代表例が、「ファイルレスマルウェア」です。
ファイルレスマルウェアとは、一見無害なファイルに見せかけてエンドポイントに侵入し、WindowsなどのOSに組み込まれた正規のツール(PowerShellなど)を悪用して、攻撃を仕掛けます。
不正なファイルをほとんど用いずに、正規ツールを悪用して攻撃を行うため、シグネチャベースのアンチウイルスでは、検知が困難であるという厄介な特徴があります。
しかしEDRを導入していれば、たとえアンチウイルスで検知できずに侵入された場合であっても、異常を検知し、迅速な対応で被害を食い止めることが可能です。
EDRの機能
EDRには、主に以下のような機能が備わっています。
- 監視
- 分析・検知
- インシデント対応
- フォレンジック調査
それぞれどのような機能なのかを解説します。
監視
前述の通り、EDRは監視対象のエンドポイントにエージェントソフトウェアを導入し、ログを常時取得・監視するソリューションです。
収集するログとしては、以下が挙げられます。
- ファイル操作
- ネットワーク接続
- レジストリ情報
- 各種プロセス
これにより、インシデントが発生した際にも、速やかに原因の特定を行うことが可能です。
分析・検知
EDRでは、収集したログをサーバー上に集約し、パターンマッチングや機械学習によって分析することで、マルウェア感染の挙動と思われるものを検知します。
検出されたマルウェアは、管理者へアラート通知されます。
インシデント対応
EDRは、インシデントが発生した際に以下のような対応をとることで、被害の拡大を迅速に食い止めます。
- マルウェアが侵入したエンドポイントをネットワークから切り離す
- アプリを非アクティブ化する
- マルウェアが実行しているプログラムを自動で停止する
フォレンジック調査
フォレンジック調査とは、セキュリティインシデントが発生した際に、デバイスやネットワーク内の情報を収集・分析し、被害状況を解明するとともに、必要に応じて法的証拠を明らかにするための調査手法です。
EDRでは、インシデントが発生した際に、収集・蓄積されたログを活用することで、「マルウェアの種類」「マルウェアの侵入経路」「影響範囲」などを特定することが可能です。
そのため、迅速かつ高精度なフォレンジック調査を支える役割も担っています。
EDRと他のセキュリティソリューションの違い
ここでは、EDRと比較される機会が多い4つのセキュリティソリューションとの違いについて解説します。
- EPP
- NGAV
- MDR
- XDR
詳しく確認していきましょう。
EDRとEPPの違い
EDRとEPPは、いずれもエンドポイントを守るためのセキュリティソリューションですが、その目的に違いがあります。
EPP(Endpoint Protection Platform)とは、エンドポイントを脅威から未然に防御することを目的としたセキュリティソリューションで、マルウェアの検出や脅威の自動ブロック・駆除などの機能を搭載しています。
一方でEDRは、脅威の侵入を前提として、侵入後の迅速な検知と対応によって被害を最小限に抑えることを目的としたセキュリティソリューションです。
つまり、EPPは「事前防御」を目的としているのに対し、EDRは「事後対策」を目的にしている点に違いがあります。
EDRとNGAVの違い
NGAV(Next Generation Anti-Virus)とは、AIや機械学習、振る舞い検知などの技術を活用し、従来のアンチウイルスよりも検知精度を高めた次世代のアンチウイルスです。
従来のパターンマッチング形式のアンチウイルスでは既知のマルウェアしか検出できないという課題がありましたが、NGAVは、ファイルやプロセスの挙動を分析することで、未知や亜種のマルウェアにも対しても、検知・防御することが可能です。
NGAVは、前述したEPPの一種であり、マルウェアの侵入を未然に防ぐことに重きを置いています。
そのため、EPPと同様にNGAVは「事前防御」を目的にするのに対し、EDRは「事後対策」を目的にしている点に違いがあります。
EDRとMDRの違い
MDR(Managed Detection and Response)とは、24時間365日体制で組織のセキュリティを監視・運用するマネージドサービスで、「EDR」や「NDR」などのセキュリティソリューションを組み合わせて提供されるケースも多いです。
具体的には、EDRが検知・出力したアラートをセキュリティの専門家が素早く分析し、重要度が高いと判断した脅威は、企業の担当者へ通知を行います。
MDRは、セキュリティ人材が不足している企業や、EDRの運用に課題を感じている企業などにとって、有効なサービです。
このように、「EDR」はエンドポイントを保護するためのセキュリティソリューションであるのに対して、「MDR」はEDRなどのセキュリティソリューションの運用を代行するサービスという点に違いがあります。
EDRとXDRの違い
XDR(Extend Detection and Response)とは、PCやスマートフォンなどのエンドポイントに加え、クラウド、ネットワーク、アプリケーションといったシステム全体からデータを収集・分析することで、包括的なセキュリティ体制を構築し、迅速な脅威検知と対応を可能にするセキュリティソリューションです。
EDRがエンドポイントに特化したセキュリティソリューションであるのに対し、XDRはエンドポイントも含む複数のセキュリティレイヤーからデータを横断的に検知・収集・分析し、統合的にインシデント管理を行うという点が異なります。
XDRは、EDRの拡張版とも言えるでしょう。
| 名称 | 目的 |
|---|---|
| EDR | ・脅威の侵入を前提として、侵入後の不審な挙動を迅速に検知・対応することで、被害を最小限に抑えることを目的としたセキュリティソリューション |
| EPP | ・エンドポイントを脅威から未然に防御することを目的としたセキュリティソリューション |
| NGAV | ・ AIや機械学習、振る舞い検知などの技術を活用し、未知・亜種のマルウェアであっても高精度で検知・防御することで、エンドポイントを事前防御するセキュリティソリューション |
| MDR | ・24時間365日体制で組織のセキュリティを監視・運用するマネージドサービス ・「EDR」や「NDR」などのセキュリティソリューションを組み合わせて提供されるケースもある |
| XDR | ・ 複数のセキュリティレイヤーから横断的にデータを収集・分析し、包括的なセキュリティ体制を構築するとともに、迅速な脅威検知と対応を可能にするセキュリティソリューション |
EDRの選定ポイント
自社に最適なEDR製品を選ぶためのポイントを紹介します。
- 検知精度
- 対象範囲
- 導入・運用コスト
- 管理サーバーの形態
- 既存システムとの連携性
- サポート体制
EDRの導入を失敗しないためには、あらかじめ自社の要件を明らかにし、目的に沿ったEDRソリューションを選択することが重要です。
詳しく確認していきましょう。
検知精度
エンドポイントに侵入したサイバー攻撃を検知することを役割とするEDRにおいて、検知精度の高さは、非常に重要なポイントです。
検知精度が高いほど、重要な脅威を見逃すリスクを低減でき、インシデントの早期発見と迅速な対応につながります。
一方で、誤検知が多いEDRを導入してしまうと、不要なアラート対応に追われが管理者の負担が増加してしまいます。
そのため、EDRを選定する際は、検知精度の高さに加え、誤検知の発生率が低いかどうかも重要な判断基準とすることが推奨されます。
対象範囲
EDR製品は、製品ごとにカバーできる範囲が異なります。
例えば、EDRの機能に特化した製品は、主に侵入後の検知・対応といった「事後対応」を対象としているため、検知から封じ込め、対処までを自動化できるものが多く、迅速なインシデント対応を重視する場合に適しています。
一方、EDR機能に加えてEPP機能も併せ持った製品は、マルウェアの侵入を防ぐ「事前防御」から、侵入後の「事後対応」まで幅広い範囲をカバーすることが可能です。
包括的なエンドポイントセキュリティを実現したい場合は、有効な製品です。
導入・運用コスト
EDR製品を導入する場合、初期導入費用やライセンス費用などがかかります。
ライセンス費用は、エンドポイントの台数やサポートオプションの有無などによって変動します。
また、EDRの運用を外部に委託する場合は、その費用もプラスされます。
そのため、自社の要件に合致する製品を選定するためには、エンドポイントの数や必要な機能・サポート、EDRの運用に充てられる人材など、自社の状況をあらかじめ明らかにした上で、比較検討することが推奨されます。
管理サーバーの形態
EDRの導入には、エンドポイントのログを収集・保管するための管理サーバーが必要です。
この管理サーバーの形態としては主に以下の3つがあります。
| オンプレミス型 | ・自社のデータセンターにサーバーを構築するもの |
|---|---|
| クラウド型 | ・セキュリティベンダーが提供するクラウド環境を利用するもの |
| ハイブリッド型 | ・オンプレミス型とクラウド型を組み合わせたもの |
オンプレミス型は導入・運用に手間がかかりますが、ログを自社で管理できるという利点があります。
対してクラウド型は、初期費用が抑えやすいというメリットがあります。
それぞれメリット・デメリットがあるため、自社のニーズに合ったものを選ぶようにしましょう。
既存システムとの連携性
すでにセキュリティツールを導入している場合は、それらと連携できるかも確認するようにしましょう。
連携によって既存のシステムが持っている情報をEDRと紐づけられれば、より強固なセキュリティ体制を構築につながります。
サポート体制
EDRの運用には、専門的な知識やスキルが求められるため、サポート体制の充実度も重要な選定ポイントとなります。
トラブルやインシデントの発生時に、迅速なサポートを受けられるかどうかは、運用の安定性に大きく影響します。
そのため、導入を検討する際には、次のようなポイントを事前に確認しましょう。
- 時間外や緊急時のサポートに対応しているか
- 導入支援や初期構築を支援してもらえるのか
- 使い方や運用方法についてレクチャーしてもらえるか
また、ベンダーによっては前述したMDRやSOCといったマネージドサービスを提供している場合もあります。
社内にセキュリティ人材が不足している場合や、EDRの運用に不安がある場合には、こうしたマネージドサービスを活用することも有効な選択肢の一つです。
運用コストが少ないEDR「Aurora Focus」
LANSCOPE サイバープロテクションは、運用コストが少ないEDR「Aurora Focus」を提供しています。
「Aurora Focus」は、以下のような課題や悩みを抱える企業・組織の方に最適なEDRです。
- 万が一に備えてEDRは導入したいが、管理や運用に手間をかけたくない
- なるべく低価格なEDRを導入したい
「Aurora Focus」は、AIアンチウイルス「Aurora Protect」のオプションとして提供されるEDRのため、一般的なEDR製品と比較して、コストを抑えた導入が可能です。
また「EPP」と「EDR」の機能を同時に導入できるため、エンドポイントを侵入前後でより強固に対策することができます。
未知のマルウェアに対しても99%の予測検知と隔離を実現する次世代型アンチウイルス「Aurora Protect」と連動することで、AIによる高精度な脅威の検知・調査・封じ込め・復旧までを一連の流れで対応することが可能です。
専門家が24時間365日監視するMDR「Aurora Managed Endpoint Defense」
LANSCOPE サイバープロテクションでは、「Aurora Focus」「Aurora Protect」を専門家が運用する、マネージドサービス「Aurora Managed Endpoint Defense」を提供しています。
- 脅威の侵入をブロックする「AIアンチウイルス」
- 侵入後の脅威を検知し対処する「EDR」
2種類のセキュリティソリューションを、セキュリティの専門家がお客様の代わりに運用。徹底したアラート管理により、お客様にとって本当に必要なアラートのみを厳選して通知するので、不要なアラートへの対応工数は大幅に軽減されます。
緊急時もお客様の代わりにサイバー攻撃へ即時で対応するため、業務負荷を減らし、安心して本来の仕事へ集中していただけます。
またスタッフは全員、サイバーセキュリティの修士号を取得したプロフェッショナルなので、安心して運用をお任せいただけます。詳しくは以下の製品ページをご覧ください。
まとめ
本記事では「EDR」をテーマに、メリットや主な機能、製品を選定する際のポイントなどを解説しました。
▼本記事のまとめ
- EDRとは、エンドポイントに侵入したマルウェア・不審な挙動などを検知し、隔離や駆除・復旧までを行えるセキュリティ製品
- 昨今の高度化・巧妙化したサイバー攻撃に対し、全ての侵入を防ぐのは不可能であることから、「侵入後」の脅威へアプローチできる「EDR」が必要
- EPPとEDRは、同じエンドポイントセキュリティだが、EPPが「侵入前」・EDRが「侵入後」のセキュリティを担う
- EDR選定時は、「検知精度」「対象範囲」「導入・運用コスト」といった基本的な項目に加え「管理サーバーの形態」「既存システムとの連携性」「サポート体制」などにも注目して比較検討するとよい
サイバー攻撃が高度化・巧妙化を続け、脅威の侵入を完全に防ぐことが難しくなっている近年、侵入を前提にエンドポイントを常時監視し、侵入後に迅速な対応を行えるEDRは、企業・組織にとって欠かせないセキュリティ対策と言えるでしょう。
よりエンドポイントセキュリティを強するためには、本記事で紹介した通り、EDRとEPPを併用し、「侵入前」と「侵入後」の両面から脅威に対応できる体制を整えることが重要です。
「LANSCOPE サイバープロテクション」では、AIアンチウイルス「Aurora Protect」のオプションとして導入できるEDR「Aurora Focus」を提供しています。
未知のマルウェアでも99%予測検知と隔離ができる次世代型アンチウイルス「Aurora Protect」と連動させることで、AIによる高い精度での脅威の検知、調査、封じ込め、復旧まで一連の対応が行えます。
「Aurora Focus」は、「Aurora Protect」のオプションとして導入するため、一般的な製品よりもコストを抑えた手ごろな価格で導入可能です。
エンドポイントセキュリティをより強化したい、なるべく低価格でEDRを導入したいとお考えの方はぜひご検討ください。
また、「まだEDRの導入を行っていない」「EDRの導入に悩んでいる」という方は、下記の「情シス1,000人に聞いた『EDR利用実態調査』」ぜひご覧ください。EDR導入に関する、リアルな本音や導入率がわかります。
おすすめ記事
