LANSCOPE サイバープロテクション ブログ
セキュリティ
EDRとは?なぜ必要?ウイルスソフト(EPP)との違いや機能・選び方をわかりやすく解説
目次
この記事を読めば、セキュリティソリューション「EDR」に関する概要や機能を、網羅的にわかりやすく理解することができます。
EDRとは、企業や組織の所有する
- PC
- サーバー
- スマートフォン
- プリンター
といった「エンドポイント」内にて、悪質なマルウェアや脅威を検知し、サイバー攻撃の早期対応を実現するための、セキュリティソリューションです。
※エンドポイント…通信ネットワークに接続された、末端端末や機器のこと
万一、PCにウイルスが侵入した場合も、EDRであれば侵入後のウイルスを発見し、速やかにセキュリティ担当者へ通知が飛び、隔離・駆除・復旧を行うことができます。
▼「EDR」について知っておきたいポイント
- 近年の高度なサイバー攻撃対策には、EDRの導入が必要不可欠である
- ウイルス対策ソフト(EPP)で防御しきれなかった攻撃を、カバーするのが「EDR」である
- 「EDRの市場規模」は、右肩上がりで増加している
- EDR製品を選ぶ際は、検知精度・使用できる機能・操作性などを網羅的に判断する
- EDRの自社運用が厳しい場合、運用代行サービスが付属する製品(MDR)を選ぶと良い
本記事では「EDR」に関する主な機能や重要性、選定ポイントまで、知っておきたい情報をわかりやすくお伝えします。
また、エムオーテックス(MOTEX)では、情シス1,000名を対象とした「EDRの利用実態調査」を実施しました。EDR導入率など、役立つ情報をまとめています。ぜひご活用ください。
《いまさら聞けない》EPP・EDRの違いはズバリこれ!~日常生活に例えて分かりやすく解説~
EDR(Endpoint Detection and Response)とは?
改めて、EDR(Endpoint Detection and Respons)とは、エンドポイント(PCやスマートフォンなどの端末)における不正な活動を速やかに検知・セキュリティ監視者へ通知し、サイバー攻撃の侵入にいち早く対処するための、セキュリティーソリューションを指します。
「エンドポイント」のセキュリティ対策は、大きく以下の2種類にわけられます。
1.攻撃の侵入を「ブロック」する役割(EPP、ウイルス対策ソフト)
2.侵入した攻撃を検知し、駆除などの対応をする役割(EDR)
▼EDRの検知~復旧の流れ
サイバー攻撃の「侵入後」対策であるEDRを、「侵入前」対策のEPPと組み合わせることで、強力なエンドポイントセキュリティの体制を構築できます。
▼EDR活用の例
とある組織の従業員が、Webサイトより「無料のファイル」をダウンロードした。そのファイルにはマルウェア(ウイルス等)が仕掛けられており、知らず知らずのうちに、PCがマルウェアへ感染してしまった。
しかし組織では「EDR」を導入していたため、侵入したマルウェアの異常な挙動を、EDR機能で検知し担当者へ通知。速やかに隔離対応を行えたので、被害を最小限に出来た。
EDRは、ウイルス対策ソフト(EPP)と何が違うのか?
皆さんがよく連想する、セキュリティツールと言えば「ウイルス対策ソフト」ではないでしょうか?
今回テーマとなる「EDR」と、「ウイルス対策ソフト(=EPP)」は、共にエンドポイントセキュリティに分類されるソリューションです。
EDRと、ウイルス対策ソフト(=EPP)の明確な違いは、それぞれの「守る対象範囲」にあります。
ウイルス対策ソフト(=EPP)は、外部から仕掛けられた攻撃やマルウェアを、内部に侵入させないよう、防御するのが役割です。
一方のEDRは、エンドポイントに侵入した後の脅威を検知し、被害が最小限に収まるよう、駆除や隔離などの対応を行うのが主な機能となります。
両者の詳しい違いについては、以下の記事もご参考ください。
また最近では、従来のEPPにAI学習機能を組み合わた、より高機能なウイルス対策ソフト「NGAV(次世代型アンチウイルス)」と呼ばれる製品も登場しています。
EDRとウイルス対策ソフト(EPP)、両方の導入がベスト
エンドポイントのセキュリティを、強固にするためには、「ウイルス対策ソフト(EPP)」「EDR」の両方を導入し、多層防御を叶えることが重要です。
エンドポイントのセキュリティ対策として「EPP」の導入は必須項目ですが、EDRがあれば、EPPで防ぎきれなかったマルウェアを侵入後に検知できるためです。
LANSCOPE サイバープロテクションでは、EPP+EDRがセットとなったセキュリティツール「 Cylance PROTECT ×OPTICS」の提供も行っています。
EDRで脅威に対応する、主な流れ(仕組み)
EDRでは、エンドポイントに侵入した「マルウェア」等の脅威に対し、次の4つのステップにて対応を行えます。
1.検出(検知)
2.封じ込め
3.調査
4.復旧
1.検知:EDRは、エンドポイントのログを収集し、サーバで解析して、マルウェアや不審な挙動を検出。検出した脅威は、アラートにて管理者へ通知されます。
2.封じ込め:感染したエンドポイントは、ネットワークから切り離し、マルウェアの拡散を阻止・EDRを使えば、遠隔でエンドポイントを隔離することもできます。
3.調査:収集したログから、マルウェアの種類や侵入経路、影響範囲を調査・特定します。
4.復旧:感染したファイルやアプリケーションを削除し、マルウェアの駆除を実施。元通りの状態へ復旧します。
なぜ、組織のセキュリティ対策に「EDR」が必要なのか?
近年のエンドポイントセキュリティに「EDR」が欠かせない理由として
1.すべてのサイバー攻撃の侵入を防ぐことは、不可能だから
2. サイバー攻撃被害の大半が「エンドポイント」を起点に発生しているから
の2点が挙げられます。
1. すべてのサイバー攻撃の侵入を防ぐことは、不可能だから
これまでのセキュリティ対策では、「脅威を侵入前に全てブロック」するという考え方が一般的でした。
しかし、近年の巧妙化したサイバー攻撃に対し「攻撃を100%防ぐことは、事実上不可能」というのが、昨今セキュリティ業界の共通認識となっています。
そこで、攻撃を100%防げないことを前提に、エンドポイントへ侵入後でも対策が行える、「EDR」の注目が高まっているのです。
アンチウイルスソフトで取りこぼした脅威も、EDRを活用すれば、侵入後に駆除や隔離を行うことができます。
2.サイバー攻撃被害の多くが「エンドポイント」を起点に発生しているから
多くのサイバー攻撃が、PCやスマートフォンといった「エンドポイント」を起点として行われていることも、EDRを導入すべき大きな理由です。
例えば、不正なメールやWebサイトを閲覧してマルウェアに感染する、マルウェアを含む無料のアプリやソフトウェアをダウンロードしてしまうなどの被害は、すべてエンドポイントを中心に起きているものです。
いま話題の「ランサムウェア攻撃」も、その大半が「エンドポイント」を狙ったものである等、組織のセキュリティ対策において「エンドポイントセキュリティ」は必須事項であり、強固なエンドポイントセキュリティには「EDR」と「EPP(ウイルス対策ソフト・アンチウイルス・NGAV等)」の併用が欠かせません。
EDRの市場規模は右肩上がりで成長
エンドポイントセキュリティの対策ニーズの高まりから、EDRの市場規模は、大企業から中堅企業を中心に拡大しています。
株式会社アイ・ティ・アールが発表した「マネージドEDRサービス市場規模推移および予測」によれば、EDR市場は2019年より右肩上がりで成長。2025年には186億円に達すると予測しています。
▼マネージドEDRサービス市場規模推移および予測(2019~2025年度予測)
出典:日本経済新聞│ ITR、国内のマネージドEDRサービス市場規模推移および予測を発表
「マネージドEDRサービス」とは、EDR運用を専門の外部パートナーへ委託するセキュリティサービスです。「MDR」とも言います。
「自社でのEDR運用が困難だが、EDRの導入はしたい」という企業を中心に、昨今MDRを導入する組織も増えてきました。MDRの詳細については、下記の記事もご参考ください。
EDRとNDR・XDRの違い
EDRと、しばしば比較されるセキュリティツールに「NDR」があります。
EDRとNDRは、ともに「脅威が侵入すること」を前提とし、侵入後の脅威を「検知」「対応」する点で共通しています。
両者の違いは、EDRが「エンドポイント」を、NDRが「ネットワーク」を対象としたセキュリティツールである点にあります。
▼NDRとEDRの違い
EDRとNDRは、どちらかが秀でているものではなく、両者を導入することで最大のパフォーマンスを発揮できるものです。ただし、両方の導入が難しいという場合、自社のニーズとセキュリティ環境に沿って、より最適なソリューションを選択するのがおすすめです。
また、EDRやNDRを包括し、あらゆるレイヤー(エンドポイント・システム・ネットワーク・クラウド等)にて、脅威情報の収集や分析をし、スピーディーに攻撃へ対処する「XDR」というセキュリティ概念も、注目されています。
EDR・NDRを含む、網羅的なセキュリティ体制を構築する「XDR」を実現できれば、あらゆる高度なサイバー攻撃に対し早期検知・対応・より詳細な分析などを行えるようになります。
失敗しない、EDR選びのポイント
EDRの導入で失敗しないためには、あらかじめ自社の要件を明らかにし、目的に沿ったEDRソリューションを選択することが重要です。
▼ EDRを選ぶ際、基準にすべきポイント例
- 「操作性」はわかりやすいか
- 「検知精度」は高いか(誤検知は少ないか)
- 検知した攻撃に対し「隔離・駆除」といった対応が行えるか
- 検知した攻撃の、「詳細な分析」が行えるか
- 「運用サポートや支援」が受けられるか
- 「マネージドサービス(代理運用)」が付属しているか
仮にEDRの運用をインハウスで行うなら、「EDRの操作性のわかりやすさ」はとても重要です。
- 自社で問題なく操作できるか
- 万一、脅威を検知した際、自社でEDRを用いて対処できるか
といった観点から、操作性のわかりやすい製品を選ぶと良いでしょう。
「そもそも社内でEDR運用が難しい」という方は、EDR製品に運用監視サービスを付属できる、「マネージドサービス」付のEDR(MDR)がおすすめです。
また、「エンドポイントに侵入したサイバー攻撃の検知」が主な目的のEDRにおいて、検知精度の高さは、非常に重要なポイントです。
検知精度が高いほど、攻撃を早期に発見し、被害を最小限に抑えられるためです。無駄なアラート対応を削減するため、誤検知・過検知の発生率も、低い程望ましいでしょう。
さらに、検知後の脅威に対し
- 隔離・駆除・復旧といった対応機能が揃っているか
- 影響範囲や侵入経路の特定など、分析を行えるか
といった要件も大切です。
導入時は、複数のEDRソリューションの中から比較検討を行い、自社のニーズや条件・リソースに最適なものを選びましょう。
運用コストが少ないEDR「CylanceOPTICS」とは
- 万が一に備えてEDRは導入したいけれど、管理工数を割きたくない
- なるべく低価格なEDRを導入したい
そんな情シス・セキュリティ担当者様におすすめしたいのが、LANSCOPE サイバープロテクションが提供する、お手軽EDR「 Cylance OPTICS(サイランスオプティクス)」です。
Cylance OPTICSは、EPP製品「 Cylance PROTECT 」のオプションとして導入するEDRのため、通常の製品より安価な導入が可能です。
また、EPPとEDR機能を同時に導入できるため、エンドポイントを侵入前後でより強固に対策することができます。
未知のマルウェアでも99%予測検知と隔離ができる次世代型アンチウイルス「CylancePROTECT」と連動させることで、AIによる高い精度での脅威の検知、調査、封じ込め、復旧まで一連の対応が行なえます。
まとめ
エンドポイントのセキュリティソリューション、「EDR」に関して解説いたしました。
本記事の要点は下記の通りです。振り返り用にご利用ください。
▼本記事のポイント
- EDRは、エンドポイントに侵入したマルウェア・不審な挙動などを検知し、隔離や駆除・復旧までを行えるセキュリティ製品
- ウイルス対策ソフト(EPP)をすり抜け、PCやスマートフォンに侵入した攻撃を、EDRで発見し対応できる
- 昨今の巧妙化したサイバー攻撃に対し、全ての侵入を防御するのは不可能。そこで「侵入後」の脅威へアプローチできる「EDR」が必要
- ウイルス対策ソフト(EPP)とEDRは、同じエンドポイントセキュリティだが、EPPが「侵入前」・EDRが「侵入後」のセキュリティを担う
- EDRとNDRは「侵入後」の脅威検知を行う点で共通だが、EDRが「エンドポイント」・NDRが「ネットワーク」のセキュリティを担う
- EDRの自社運用が困難な組織向けに、EDRの運用代行サービス「MDR(もしくはSOCサービス)」が存在する
- EDR選定時は、メイン機能の「検知精度」に加え「操作のしやすさ」「隔離や分析などの機能内容」「MDRの有無」などに注目する
エンドポイントへのセキュリティ対策は、企業にとって欠かせない存在です。そしてエンドポイントのセキュリティ構築には、ウイルス対策ソフト(EPP)とEDRを併用し、エンドポイントの「侵入前」「侵入後」両方の脅威に対応する必要があります。も
本記事が、皆様の「EDR」理解に少しでもお役に立てれば幸いです。
「まだEDRの導入を行っていない」「EDRの導入に悩んでいる」という方は、下記の「情シス1,000人に聞いた『EDR利用実態調査』もぜひご覧ください。EDR導入に関する、リアルな本音や導入率がわかります。
関連記事
