EDR（Endpoint Detection and Response）とは？

EDR（Endpoint Detection and Respons）とは、エンドポイント（PCやスマートフォンなどの端末）における不正な活動を速やかに検知・セキュリティ監視者へ通知し、サイバー攻撃の侵入にいち早く対処するための、セキュリティーソリューションを指します。

製品によって異なりますが、EDRには以下のような機能が備わっています。

こうした機能により、たとえマルウェアに感染したとしても、初動対応をスムーズに行うことができ、被害を最小限に抑えることが可能です。

EDRが脅威に対応する主な流れ

EDRがエンドポイントに侵入した「マルウェア」などの脅威に対応する主な流れは、以下の通りです。

1．検知：EDRは、エンドポイントのログを収集し、サーバで解析して、マルウェアや不審な挙動を検出。検出した脅威は、アラートにて管理者へ通知されます。

2．封じ込め：感染したエンドポイントは、ネットワークから切り離し、マルウェアの拡散を阻止・EDRを使えば、遠隔でエンドポイントを隔離することもできます。

3．調査：収集したログから、マルウェアの種類や侵入経路、影響範囲を調査・特定します。

4．復旧：感染したファイルやアプリケーションを削除し、マルウェアの駆除を実施。元通りの状態へ復旧します。

EDRの基本機能

EDRには、以下のような機能が備わっています。

●監視
●分析・検知
●インシデント対応
●フォレンジック調査

監視

EDRは、監視対象の端末にエージェントソフトウェアを導入し

●ファイル操作
●ネットワーク接続
●レジストリ情報
●各種プロセス

などのログを常時取得・監視します。

これにより、インシデントが発生した際、速やかに原因の特定を行えます。

分析・検知

取得したログをサーバー上に集約・分析し、パターンマッチングや機械学習によってマルウェア感染の挙動と思われるものを検知します。

検出したマルウェアは、アラートにて管理者へ通知されます。

インシデント対応

EDRは、インシデントが発生した際

●マルウェアが侵入したエンドポイントをネットワークから切り離す
●アプリを非アクティブ化する
●マルウェアが実行しているプログラムを自動で停止する

といった対応を行い、被害の拡大を迅速に食い止めます。

フォレンジック調査

フォレンジック調査とは、セキュリティインシデントが発生した際に、端末やネットワーク内の情報を収集し、被害状況を解明したり、法的証拠を見つけたりすることを表します。

EDRでは、インシデントが発生した際に、収集したログから

●マルウェアの種類
●マルウェアの侵入経路
●影響範囲

などを特定できます。

なぜ、組織のセキュリティ対策に「EDR」が必要なのか？

EDRが必要とされている背景としては

の3点が挙げられます。

1. すべての脅威の侵入を100％防ぐことは不可能だから

これまでのセキュリティ対策では、「脅威を侵入前に全てブロック」するという考え方が一般的でした。

しかし近年のサイバー攻撃は高度化していることから、脅威の侵入を100%防ぐことは不可能といえます。

そこで、脅威の侵入を前提にエンドポイントを監視し、侵入後に迅速な対応が行える「EDR」に注目が集まっているのです。

2．サイバー攻撃被害の多くが「エンドポイント」を起点に発生しているから

サイバー攻撃で使用されるマルウェアの主な感染経路としては

などがあります。

感染経路を見てわかる通り、マルウェア感染はエンドポイントを中心に起きています。

いま話題の「ランサムウェア攻撃」も、その大半が「エンドポイント」を狙ったものであることから、EDRをはじめとしたエンドポイントセキュリティが欠かせません。

3.境界型セキュリティでは限界があるから

以前まではオフィスに出社し、社内ネットワークを介して業務を行うことが当たり前でした。

そのため、安全な社内ネットワークと信用できない社外ネットワークの境界にセキュリティ対策を講じる「境界型セキュリティ」で対応できていました。

しかしテレワークの普及により、社外ネットワークを介して自宅や外出先などで業務を行う機会も増えたことから、この「境界型セキュリティでは不十分」であり、「サーバーや社内ネットワークに接続する、すべてのデバイスやアプリケーションには脅威の可能性があるものとしてセキュリティ対策をすべき」という考え方を「ゼロトラスト」と言います。

▼境界型セキュリティとゼロトラストの違い

EDRは社外・社内にかかわらず、ネットワークに接続されたエンドポイントをリアルタイムに監視し、異常を検知することができるので、ゼロトラストセキュリティを実現する上で欠かせない存在といえます。

EDRを導入するメリット

EDRを導入することで、以下のようなメリットが期待できます。

●被害の拡大を阻止できる
●影響範囲が迅速に特定できる
●ファイルレスマルウェアにも対応できる

被害の拡大を阻止できる

EDRはエンドポイントを常時監視していることから、脅威を素早く検知できます。

また検知後は、リモートでの脅威の隔離・削除が可能なので、被害を最小限に抑えることが可能です。

影響範囲が迅速に特定できる

EDRでは、取得したログから

●マルウェアの被害を受けた端末
●マルウェアの侵入経路や感染原因、被害

などを特定することができます。

これらが特定できれば、どのようなプログラムが外部から侵入し、どういったファイルが実行されているのかを詳細に追跡できるため、影響範囲を明らかにすることができます。

アンチウイルスで対応できないマルウェアにも対応できる

マルウェアの中には、アンチウイルスソフトの検知をすり抜けてしまうものも存在します。

例えば、「ファイルレスマルウェア」などが挙げられます。

ファイルレスマルウェアは、無害なファイルに見せかけてパソコンに侵入し、WindowsなどのOSに組み込まれた正規のツール（PowerShellなど）を悪用して攻撃を仕掛けます。

攻撃時に不正なファイルを用いずWindowsの正規ツールを利用して行われるため、アンチウイルスの検知をすり抜けてしまうのです。

しかしEDRがあれば、万が一、アンチウイルスで検知できずファイルレスマルウェアが侵入した場合も、事後検知により脅威の拡大を食い止めることが可能なのです。

EDRの市場規模は右肩上がりで成長

エンドポイントセキュリティの対策ニーズの高まりから、EDRの市場規模は、大企業から中堅企業を中心に拡大しています。

株式会社アイ・ティ・アールが発表した「マネージドEDRサービス市場規模推移および予測」によれば、EDR市場は2019年より右肩上がりで成長。2025年には186億円に達すると予測しています。

▼マネージドEDRサービス市場規模推移および予測（2019～2025年度予測）



出典：日本経済新聞│ ITR、国内のマネージドEDRサービス市場規模推移および予測を発表

「マネージドEDRサービス」とは、EDR運用を専門の外部パートナーへ委託するセキュリティサービスです。「MDR」とも言います。

「自社でのEDR運用が困難だが、EDRの導入はしたい」という企業を中心に、昨今MDRを導入する組織も増えてきました。MDRの詳細については、下記の記事もご参考ください。

EDRはアンチウイルス（EPP）と何が違うのか？

EDRとアンチウイルス（=EPP）の違いは、「守る対象範囲」です。

アンチウイルス（=EPP）は、マルウェアなどの脅威を内部に侵入させないことを目的としています。

一方のEDRは、脅威がエンドポイントに侵入した際の被害を最小限に抑えることを目的としており、侵入後の対応を担っています。

▼EPPとEDRの対象範囲の違い

以下の記事ではEPPとEDRの違いをより詳しく解説していますので、ぜひあわせてご覧ください。

EDRと振る舞い検知の違い

「振る舞い検知」は、マルウェアの侵入からエンドポイントを防ぐ「アンチウイルス」で主に用いられる機能です。

EDRが「侵入後や実行後のマルウェアの動きを検知し、駆除や隔離、復旧などの対応を行う」のに対し、振る舞い検知は、「不審な動き（＝振る舞い）を見つけ出し、PCやモバイル端末へ侵入しようとするマルウェアを検知・ブロック」します。

また、アンチウイルスの中でも、振る舞い検知の機能を備える最新のセキュリティソリューションは、「NGAV（次世代型アンチウイルス）」と呼ばれています。

EDRとウイルス対策ソフト（EPP）、両方の導入がベスト

エンドポイントセキュリティをより強固なものにしたいのであれば、「EDR」と「アンチウイルス（EPP）」を両方導入するのが望ましいです。

EDRとEPPを併用すれば、万が一マルウェアがEPPをすり抜けて侵入してしまっても、EDRで素早く脅威を検出し、隔離や駆除を行うことができます。

LANSCOPE サイバープロテクションでは、EPP＋EDRがセットとなったセキュリティツール「CylancePROTECT×OPTICS」の提供も行っています。

EDRとNDRの違い

EDRと、しばしば比較されるセキュリティツールに「NDR」があります。

EDRとNDRは、ともに「脅威が侵入すること」を前提とし、侵入後の脅威を「検知」「対応」する点で共通しています。

両者の違いは、EDRが「エンドポイント」を、NDRが「ネットワーク」を対象としたセキュリティツールである点にあります。

EDRとNDRは、どちらかが秀でているものではなく、両者を導入することで最大のパフォーマンスを発揮できるものです。ただし、両方の導入が難しいという場合、自社のニーズとセキュリティ環境に沿って、より最適なソリューションを選択するのがおすすめです。

EDRとXDRの違い

EDRやNDRを包括し、あらゆるレイヤー（エンドポイント・システム・ネットワーク・クラウド等）にて、脅威情報の収集や分析をし、スピーディーに攻撃へ対処する「XDR」というセキュリティ概念も、注目されています。

EDRがエンドポイントに特化したセキュリティソリューションであるのに対し、XDRはエンドポイントも含めた、広範なレイヤーからデータを検知・収集・分析し、統合的にインシデント管理を行います。

EDR・NDRを含む、網羅的なセキュリティ体制を構築する「XDR」を実現できれば、あらゆる高度なサイバー攻撃に対し早期検知・対応・より詳細な分析などを行えるようになります。