Written by Fumi
Webコンテンツディレクター
プロフィール:Webライター・編集者を経て現在はディレクターに携わる。扱っているコンテンツは主にSEO記事、ホワイトペーパー、自社メディア。マーケティング・DX系を中心に執筆中。
目 次
えっ、そうだったの!EDR 5つの誤解
《いまさら聞けない》EPP・EDRの違いはズバリこれ!日常生活に例えて分かりやすく解説
EDR(Endpoint Detection and Response)とは?
EDRが脅威に対応する主な流れ
EDRの基本機能
監視
分析・検知
インシデント対応
フォレンジック調査
なぜ、組織のセキュリティ対策に「EDR」が必要なのか?
1. すべての脅威の侵入を100%防ぐことは不可能だから
2.サイバー攻撃被害の多くが「エンドポイント」を起点に発生しているから
3.境界型セキュリティでは限界があるから
EDRを導入するメリット
被害の拡大を阻止できる
影響範囲が迅速に特定できる
アンチウイルスで対応できないマルウェアにも対応できる
関連ページ
EDRの市場規模は右肩上がりで成長
関連ページ
EDRはアンチウイルス(EPP)と何が違うのか?
関連ページ
EDRと振る舞い検知の違い
関連ページ
関連ページ
EDRとウイルス対策ソフト(EPP)、両方の導入がベスト
関連ページ
2024年9月最新版【情シス1,000人に聞いた】EDR&MDR利用実態調査
EDRとNDRの違い
EDRとXDRの違い
関連ページ
2024年9月最新版【情シス1,000人に聞いた】EDR&MDR利用実態調査
失敗しない、EDR選びのポイント
関連ページ
運用コストが少ないEDR「CylanceOPTICS」とは
関連ページ
まとめ
えっ、そうだったの!EDR 5つの誤解
2024年9月最新版【情シス1,000人に聞いた】EDR&MDR利用実態調査
EDR(Endpoint Detection and Response)とは、PCやスマートフォンといったエンドポイント上の不審な挙動を速やかに検知・セキュリティ監視者へ通知し、脅威の侵入にいち早く対処するためのセキュリティソリューションです。
エンドポイントのセキュリティ対策は、大きくわけると、前述した「EDR」と「アンチウイルス(=EPP)」の2種類があります。
それぞれ「守る対象範囲」が異なり、アンチウイルス(=EPP)は、マルウェアなどの脅威を内部に侵入させないことを目的としています。
一方のEDRは、脅威がエンドポイントに侵入した際の被害を最小限に抑えることを目的としており、侵入後の対応を担っています。
▼EPPとEDRの違い
特性 | EPP | EDR |
---|---|---|
目的 | マルウェア感染の防止 | 感染後の被害拡大を防止 |
主な対象 | 「侵入前」の防御 | 「侵入後」の対応 |
検出方法 | パターンマッチング、機械学習、振る舞い解析 | ログを元にしたリアルタイム検知 |
このEDRとEPPを併用すれば、万が一マルウェアがアンチウイルス(=EPP)をすり抜けて侵入してしまっても、EDRで素早く脅威を検出し、隔離や駆除を行うことができるので、より強固なエンドポイントセキュリティを実現することができます。
本記事では、EDRの重要性やEPPとの違い、選定ポイントなどを解説します。
▼この記事を要約すると
- EDRは、エンドポイントに侵入したマルウェア・不審な挙動などを検知し、隔離や駆除・復旧までを行えるセキュリティ製品
- ウイルス対策ソフト(EPP)をすり抜け、PCやスマートフォンに侵入した攻撃を、EDRで発見し対応できる
- 昨今の巧妙化したサイバー攻撃に対し、全ての侵入を防御するのは不可能。そこで「侵入後」の脅威へアプローチできる「EDR」が必要
- ウイルス対策ソフト(EPP)とEDRは、同じエンドポイントセキュリティだが、EPPが「侵入前」・EDRが「侵入後」のセキュリティを担う
- EDRとNDRは「侵入後」の脅威検知を行う点で共通だが、EDRが「エンドポイント」・NDRが「ネットワーク」のセキュリティを担う
- EDRの自社運用が困難な組織向けに、EDRの運用代行サービス「MDR(もしくはSOCサービス)」が存在する
- EDR選定時は、メイン機能の「検知精度」に加え「操作のしやすさ」「隔離や分析などの機能内容」「MDRの有無」などに注目する
EDR(Endpoint Detection and Response)とは?
EDR(Endpoint Detection and Respons)とは、エンドポイント(PCやスマートフォンなどの端末)における不正な活動を速やかに検知・セキュリティ監視者へ通知し、サイバー攻撃の侵入にいち早く対処するための、セキュリティーソリューションを指します。
製品によって異なりますが、EDRには以下のような機能が備わっています。
- 各エンドポイントをリアルタイムに監視
- エンドポイントのログデータを分析
- 分析結果から、サイバー攻撃の兆候を検知
- サイバー攻撃を受けた際に、その影響範囲を調査・特定
こうした機能により、たとえマルウェアに感染したとしても、初動対応をスムーズに行うことができ、被害を最小限に抑えることが可能です。
EDRが脅威に対応する主な流れ
EDRがエンドポイントに侵入した「マルウェア」などの脅威に対応する主な流れは、以下の通りです。
1.検出(検知)
2.封じ込め
3.調査
4.復旧
1.検知:EDRは、エンドポイントのログを収集し、サーバで解析して、マルウェアや不審な挙動を検出。検出した脅威は、アラートにて管理者へ通知されます。
2.封じ込め:感染したエンドポイントは、ネットワークから切り離し、マルウェアの拡散を阻止・EDRを使えば、遠隔でエンドポイントを隔離することもできます。
3.調査:収集したログから、マルウェアの種類や侵入経路、影響範囲を調査・特定します。
4.復旧:感染したファイルやアプリケーションを削除し、マルウェアの駆除を実施。元通りの状態へ復旧します。
EDRの基本機能
EDRには、以下のような機能が備わっています。
●監視
●分析・検知
●インシデント対応
●フォレンジック調査
監視
EDRは、監視対象の端末にエージェントソフトウェアを導入し
●ファイル操作
●ネットワーク接続
●レジストリ情報
●各種プロセス
などのログを常時取得・監視します。
これにより、インシデントが発生した際、速やかに原因の特定を行えます。
分析・検知
取得したログをサーバー上に集約・分析し、パターンマッチングや機械学習によってマルウェア感染の挙動と思われるものを検知します。
検出したマルウェアは、アラートにて管理者へ通知されます。
インシデント対応
EDRは、インシデントが発生した際
●マルウェアが侵入したエンドポイントをネットワークから切り離す
●アプリを非アクティブ化する
●マルウェアが実行しているプログラムを自動で停止する
といった対応を行い、被害の拡大を迅速に食い止めます。
フォレンジック調査
フォレンジック調査とは、セキュリティインシデントが発生した際に、端末やネットワーク内の情報を収集し、被害状況を解明したり、法的証拠を見つけたりすることを表します。
EDRでは、インシデントが発生した際に、収集したログから
●マルウェアの種類
●マルウェアの侵入経路
●影響範囲
などを特定できます。
なぜ、組織のセキュリティ対策に「EDR」が必要なのか?
EDRが必要とされている背景としては
1.すべての脅威の侵入を100%防ぐことは不可能だから
2. サイバー攻撃被害の大半が「エンドポイント」を起点に発生しているから
3.境界型セキュリティでは限界があるから
の3点が挙げられます。
1. すべての脅威の侵入を100%防ぐことは不可能だから
これまでのセキュリティ対策では、「脅威を侵入前に全てブロック」するという考え方が一般的でした。
しかし近年のサイバー攻撃は高度化していることから、脅威の侵入を100%防ぐことは不可能といえます。
そこで、脅威の侵入を前提にエンドポイントを監視し、侵入後に迅速な対応が行える「EDR」に注目が集まっているのです。
2.サイバー攻撃被害の多くが「エンドポイント」を起点に発生しているから
サイバー攻撃で使用されるマルウェアの主な感染経路としては
- 不正なWebサイトの閲覧
- メールのURLや添付ファイルを開く
- 無料のアプリやソフトウェアのダウンロード
などがあります。
感染経路を見てわかる通り、マルウェア感染はエンドポイントを中心に起きています。
いま話題の「ランサムウェア攻撃」も、その大半が「エンドポイント」を狙ったものであることから、EDRをはじめとしたエンドポイントセキュリティが欠かせません。
3.境界型セキュリティでは限界があるから
以前まではオフィスに出社し、社内ネットワークを介して業務を行うことが当たり前でした。
そのため、安全な社内ネットワークと信用できない社外ネットワークの境界にセキュリティ対策を講じる「境界型セキュリティ」で対応できていました。
しかしテレワークの普及により、社外ネットワークを介して自宅や外出先などで業務を行う機会も増えたことから、この「境界型セキュリティでは不十分」であり、「サーバーや社内ネットワークに接続する、すべてのデバイスやアプリケーションには脅威の可能性があるものとしてセキュリティ対策をすべき」という考え方を「ゼロトラスト」と言います。
▼境界型セキュリティとゼロトラストの違い
EDRは社外・社内にかかわらず、ネットワークに接続されたエンドポイントをリアルタイムに監視し、異常を検知することができるので、ゼロトラストセキュリティを実現する上で欠かせない存在といえます。
EDRを導入するメリット
EDRを導入することで、以下のようなメリットが期待できます。
●被害の拡大を阻止できる
●影響範囲が迅速に特定できる
●ファイルレスマルウェアにも対応できる
被害の拡大を阻止できる
EDRはエンドポイントを常時監視していることから、脅威を素早く検知できます。
また検知後は、リモートでの脅威の隔離・削除が可能なので、被害を最小限に抑えることが可能です。
影響範囲が迅速に特定できる
EDRでは、取得したログから
●マルウェアの被害を受けた端末
●マルウェアの侵入経路や感染原因、被害
などを特定することができます。
これらが特定できれば、どのようなプログラムが外部から侵入し、どういったファイルが実行されているのかを詳細に追跡できるため、影響範囲を明らかにすることができます。
アンチウイルスで対応できないマルウェアにも対応できる
マルウェアの中には、アンチウイルスソフトの検知をすり抜けてしまうものも存在します。
例えば、「ファイルレスマルウェア」などが挙げられます。
ファイルレスマルウェアは、無害なファイルに見せかけてパソコンに侵入し、WindowsなどのOSに組み込まれた正規のツール(PowerShellなど)を悪用して攻撃を仕掛けます。
攻撃時に不正なファイルを用いずWindowsの正規ツールを利用して行われるため、アンチウイルスの検知をすり抜けてしまうのです。
しかしEDRがあれば、万が一、アンチウイルスで検知できずファイルレスマルウェアが侵入した場合も、事後検知により脅威の拡大を食い止めることが可能なのです。
EDRの市場規模は右肩上がりで成長
エンドポイントセキュリティの対策ニーズの高まりから、EDRの市場規模は、大企業から中堅企業を中心に拡大しています。
株式会社アイ・ティ・アールが発表した「マネージドEDRサービス市場規模推移および予測」によれば、EDR市場は2019年より右肩上がりで成長。2025年には186億円に達すると予測しています。
▼マネージドEDRサービス市場規模推移および予測(2019~2025年度予測)
出典:日本経済新聞│ ITR、国内のマネージドEDRサービス市場規模推移および予測を発表
「マネージドEDRサービス」とは、EDR運用を専門の外部パートナーへ委託するセキュリティサービスです。「MDR」とも言います。
「自社でのEDR運用が困難だが、EDRの導入はしたい」という企業を中心に、昨今MDRを導入する組織も増えてきました。MDRの詳細については、下記の記事もご参考ください。
EDRはアンチウイルス(EPP)と何が違うのか?
EDRとアンチウイルス(=EPP)の違いは、「守る対象範囲」です。
アンチウイルス(=EPP)は、マルウェアなどの脅威を内部に侵入させないことを目的としています。
一方のEDRは、脅威がエンドポイントに侵入した際の被害を最小限に抑えることを目的としており、侵入後の対応を担っています。
▼EPPとEDRの対象範囲の違い
以下の記事ではEPPとEDRの違いをより詳しく解説していますので、ぜひあわせてご覧ください。
EDRと振る舞い検知の違い
「振る舞い検知」は、マルウェアの侵入からエンドポイントを防ぐ「アンチウイルス」で主に用いられる機能です。
EDRが「侵入後や実行後のマルウェアの動きを検知し、駆除や隔離、復旧などの対応を行う」のに対し、振る舞い検知は、「不審な動き(=振る舞い)を見つけ出し、PCやモバイル端末へ侵入しようとするマルウェアを検知・ブロック」します。
また、アンチウイルスの中でも、振る舞い検知の機能を備える最新のセキュリティソリューションは、「NGAV(次世代型アンチウイルス)」と呼ばれています。
EDRとウイルス対策ソフト(EPP)、両方の導入がベスト
エンドポイントセキュリティをより強固なものにしたいのであれば、「EDR」と「アンチウイルス(EPP)」を両方導入するのが望ましいです。
EDRとEPPを併用すれば、万が一マルウェアがEPPをすり抜けて侵入してしまっても、EDRで素早く脅威を検出し、隔離や駆除を行うことができます。
LANSCOPE サイバープロテクションでは、EPP+EDRがセットとなったセキュリティツール「CylancePROTECT×OPTICS」の提供も行っています。
EDRとNDRの違い
EDRと、しばしば比較されるセキュリティツールに「NDR」があります。
EDRとNDRは、ともに「脅威が侵入すること」を前提とし、侵入後の脅威を「検知」「対応」する点で共通しています。
両者の違いは、EDRが「エンドポイント」を、NDRが「ネットワーク」を対象としたセキュリティツールである点にあります。
▼NDRとEDRの違い
EDRとNDRは、どちらかが秀でているものではなく、両者を導入することで最大のパフォーマンスを発揮できるものです。ただし、両方の導入が難しいという場合、自社のニーズとセキュリティ環境に沿って、より最適なソリューションを選択するのがおすすめです。
EDRとXDRの違い
EDRやNDRを包括し、あらゆるレイヤー(エンドポイント・システム・ネットワーク・クラウド等)にて、脅威情報の収集や分析をし、スピーディーに攻撃へ対処する「XDR」というセキュリティ概念も、注目されています。
EDRがエンドポイントに特化したセキュリティソリューションであるのに対し、XDRはエンドポイントも含めた、広範なレイヤーからデータを検知・収集・分析し、統合的にインシデント管理を行います。
EDR・NDRを含む、網羅的なセキュリティ体制を構築する「XDR」を実現できれば、あらゆる高度なサイバー攻撃に対し早期検知・対応・より詳細な分析などを行えるようになります。
失敗しない、EDR選びのポイント
EDRの導入で失敗しないためには、あらかじめ自社の要件を明らかにし、目的に沿ったEDRソリューションを選択することが重要です。
▼ EDRを選ぶ際、基準にすべきポイント例
- 「操作性」はわかりやすいか
- 「検知精度」は高いか(誤検知は少ないか)
- 検知した攻撃に対し「隔離・駆除」といった対応が行えるか
- 検知した攻撃の、「詳細な分析」が行えるか
- 「運用サポートや支援」が受けられるか
- 「マネージドサービス(代理運用)」が付属しているか
仮にEDRの運用をインハウスで行うなら、「EDRの操作性のわかりやすさ」はとても重要です。
- 自社で問題なく操作できるか
- 万一、脅威を検知した際、自社でEDRを用いて対処できるか
といった観点から、操作性のわかりやすい製品を選ぶと良いでしょう。
「そもそも社内でEDR運用が難しい」という方は、EDR製品に運用監視サービスを付属できる、「マネージドサービス」付のEDR(MDR)がおすすめです。
また、「エンドポイントに侵入したサイバー攻撃の検知」が主な目的のEDRにおいて、検知精度の高さは、非常に重要なポイントです。
検知精度が高いほど、攻撃を早期に発見し、被害を最小限に抑えられるためです。無駄なアラート対応を削減するため、誤検知・過検知の発生率も、低い程望ましいでしょう。
さらに、検知後の脅威に対し
- 隔離・駆除・復旧といった対応機能が揃っているか
- 影響範囲や侵入経路の特定など、分析を行えるか
といった要件も大切です。
導入時は、複数のEDRソリューションの中から比較検討を行い、自社のニーズや条件・リソースに最適なものを選びましょう。
運用コストが少ないEDR「CylanceOPTICS」とは
- 万が一に備えてEDRは導入したいけれど、管理工数を割きたくない
- なるべく低価格なEDRを導入したい
そんな情シス・セキュリティ担当者様におすすめしたいのが、LANSCOPE サイバープロテクションが提供するEDR「 CylanceOPTICS(サイランスオプティクス)」です。
CylanceOPTICSは、EPP製品「CylancePROTECT 」のオプションとして導入するEDRのため、通常の製品より安価な導入が可能です。
また、EPPとEDR機能を同時に導入できるため、エンドポイントを侵入前後でより強固に対策することができます。
未知のマルウェアでも99%予測検知と隔離ができる次世代型アンチウイルス「CylancePROTECT」と連動させることで、AIによる高い精度での脅威の検知、調査、封じ込め、復旧まで一連の対応が行なえます。
まとめ
本記事では「EDR」をテーマに、その概要やEPPとの違い、選定ポイントなどを解説しました。
▼本記事のまとめ
- EDRは、エンドポイントに侵入したマルウェア・不審な挙動などを検知し、隔離や駆除・復旧までを行えるセキュリティ製品
- ウイルス対策ソフト(EPP)をすり抜け、PCやスマートフォンに侵入した攻撃を、EDRで発見し対応できる
- 昨今の巧妙化したサイバー攻撃に対し、全ての侵入を防御するのは不可能。そこで「侵入後」の脅威へアプローチできる「EDR」が必要
- ウイルス対策ソフト(EPP)とEDRは、同じエンドポイントセキュリティだが、EPPが「侵入前」・EDRが「侵入後」のセキュリティを担う
- EDRとNDRは「侵入後」の脅威検知を行う点で共通だが、EDRが「エンドポイント」・NDRが「ネットワーク」のセキュリティを担う
- EDRの自社運用が困難な組織向けに、EDRの運用代行サービス「MDR(もしくはSOCサービス)」が存在する
- EDR選定時は、メイン機能の「検知精度」に加え「操作のしやすさ」「隔離や分析などの機能内容」「MDRの有無」などに注目する
エンドポイントへのセキュリティ対策は、企業にとって欠かせない存在です。そしてエンドポイントのセキュリティ構築には、ウイルス対策ソフト(EPP)とEDRを併用し、エンドポイントの「侵入前」「侵入後」両方の脅威に対応する必要があります。
本記事が、皆様の「EDR」理解に少しでもお役に立てれば幸いです。
「まだEDRの導入を行っていない」「EDRの導入に悩んでいる」という方は、下記の「情シス1,000人に聞いた『EDR利用実態調査』もぜひご覧ください。EDR導入に関する、リアルな本音や導入率がわかります。
関連する記事