EDRとは？事前防御のウイルス対策との違いやEDRを使ったインシデント対応について解説

サイバー攻撃やマルウェアに対してアンチウイルスで事前防御を施すことは、企業にとってもはや必須のセキュリティ対策となりました。しかし、巧妙化・複雑化・高度化するサイバー攻撃を従来型アンチウイルスによる事前防御だけで防ぎきることは困難です。そのため、マルウェアなどの侵入を防ぐための対策だけでなく、万が一侵入を許してしまった際にいち早く検知し脅威を除去する対策としてEDRが注目を集めています。いざというときに被害の拡大を防いでくれるEDRとはなにか、事前防御型のウイルス対策との違いはどこにあるのか、EDRを使ったインシデント対応について解説します。

EDR（Endpoint Detection and Response）とはなにか？

企業ネットワークにつながるサーバ・PC・スマートフォンなどのネットワーク端末は、エンドポイントと呼ばれて常にサイバー攻撃の脅威にさらされています。エンドポイントのセキュリティ対策として重要なのが、EPP（Endpoint Protection Platform）とEDR（Endpoint Detection and Response）です。EPPが「Protection＝保護・防護」に重きを置いているのに対して、EDRは「Detection＝検出・探知」と「Response＝応答・対応」を重視しています。

EDRとは

EDRはサイバー攻撃を受けてしまったときに、その被害を最小限に食い止めるためのセキュリティソリューションです。マルウェアの侵入・悪意のある攻撃など、エンドポイントにおける不審な挙動や脅威を検出して管理者に通知し、迅速な対応を支援してくれます。

マルウェアが攻撃を開始する前、もしくは攻撃を開始した際にそれを検知して、マルウェアだと思われるプログラムやプロセスが動いている場所を特定することが可能です。そのため、管理者によって怪しい動きをするプロセスを即時停止させ、ネットワークを遮断して隔離することで、被害の拡大を防ぐことができます。

また、エンドポイントでの動作をすべて監視しているため、事後の解析でセキュリティ侵害の原因や侵入経路の特定ができることも大きなポイントです。

EDRが必要な理由

昨今のサイバー攻撃は増加そして高度化の一途を辿っています。昨年一年間世界で確認されたマルウェアの数は前年との比較で3.5倍以上に増加、日本でも猛威を振るった「Emotet」に限れば、実に4000％も増えています※。

サイバー攻撃が増加する背景として、ビジネス化していることが挙げられます。そのため組織化され技術力の高いハッカー集団が金銭目的で攻撃を行うケースが多く発生しています。

※出典元：Deep Instinct 2020 サイバー脅威レポート

アンチウイルスや次世代型アンチウイルスでマルウェアの感染を防ぐべく事前防御をすることはセキュリティ上必要不可欠ですが、次々に生み出される新種のマルウェアすべてを事前防御で退けるというのは現実的ではありません。

エンドポイントを守り抜くためには、サイバー攻撃の脅威にさらされること、マルウェアに感染することを前提としたEDRのような対策が必要なのです。

アンチウイルスとの違い

従来型アンチウイルスや次世代型アンチウイルスといった従来のウイルス対策は、EPPとEDRでいえばEPPに属します。どちらもエンドポイントのセキュリティを目的としていますが、EPPはマルウェアに感染しないことを目指した対策であるのに対して、EDRは感染後の被害を最小限にすることに主眼を置いた対策です。

［トピックス：次世代型アンチウイルスとは？］

従来型アンチウイルスはシグネチャと呼ばれるマルウェアの特徴や行動パターンを記録したデータベースと照合することでマルウェアを検出するため、データベースにない未知のマルウェアへの対応が課題となっていました。

そこで登場したのが、振る舞い検知やAIによる機械学習などで未知のウイルスを検知・ブロックできるNGAVと呼ばれる次世代型アンチウイルスです。次世代型アンチウイルスは、ソフトウェアにある未知の脆弱性を突くゼロデイ攻撃や、悪意のあるソフトウェアをインストールさせることなく攻撃を仕掛けるファイルレス攻撃・ファイルレスマルウェアにも対応できます。そのため、マルウェアの侵入やマルウェアへの感染を防ぐ事前防御として重用されているのです。

高性能の事前防御を実現する次世代型アンチウイルス、防御を越えられてしまったときに被害を最小限に食い止めるEDRという、異なるアプローチを併用してエンドポイントのセキュリティを高める企業も増えつつあります。

EDRの導入効果

EDRはサイバー攻撃を水際で防ぐことができなかったとき、マルウェアなどに感染してしまったときの対応にその効果を発揮します。サイバー攻撃に対する事後対応を効率的に行ない、セキュリティを侵害した根本原因を特定し、システム全体における脅威を把握することで被害の拡大や二次被害を防ぐのです。

事後対応の効率化

EDRはサイバー攻撃や感染を前提としたセキュリティ対策を組んでいるため、マルウェアなどに感染した事後に効率的な対応を行なうことができます。潜んでいるマルウェアや悪意のある攻撃を初期段階で検知することで、怪しい動きをするプロセスを即時停止させるなどの早期対応が可能です。

また、エンドポイントでの動きが記録されているため、下記で説明する根本原因の特定や脅威の把握も効率的に行なえます。常に証拠保全がなされている状態なので、エンドポイントへのサイバー攻撃が原因で情報流出などのインシデントが起きた際に調査などがしやすいことも大きなポイントです。利害関係者への説明・対応も迅速に行なえます。

根本原因の特定

EDRはエンドポイントで通常ではあり得ない動きや不審な動きがないかを常時監視することで、疑わしいプログラムやプロセスを検知します。検知したマルウェアの種類・侵入経路・情報漏洩の有無などの情報を収集して解析と調査を行ない、セキュリティ侵害の根本原因を特定して被害状況を可視化できることがEDRの強みです。

感染端末や被害範囲の割り出しもできるため、プログラムの強制終了やネットワークの遮断などによって、感染した端末や他端末への被害の拡大を最小限に抑えることができます。

脅威の把握

システム内のあらゆるエンドポイントを監視してリアルタイムで挙動を把握することができるEDRだからこそ、システム全体の脅威を把握することが可能です。個々のエンドポイントが感染などの脅威にさらされると、脅威が検知された端末をただちにネットワークから隔離して封じ込めを行なうのはもちろん、迅速に原因の特定が行なわれます。特定された脅威や原因をシステム全体の脅威として把握し、その原因に対する対策をすべてのエンドポイントに適用することで二次被害を防ぐことができるのです。

EDRの機能

EDRの機能は製品によって異なります。エンドポイントセキュリティに欠かせないのは、不審な動作の検知、悪意ある攻撃の阻止、感染後の調査、脅威への対応、感染後の復旧です。EDRの導入を健闘する際には、こうした機能が備わっているのかどうかを確認しましょう。

監視機能

監視機能はEDRのもっとも基本的かつ重要な機能です。ファイル操作・プロセス・イベント・ネットワーク接続など、エンドポイントにおけるあらゆる挙動を監視して記録します。エンドポイント端末にダウンロードされているアプリケーションのバージョンアップやパッチ更新が適切に行なわれているかどうかも監視の対象です。蓄積したログを解析して不審な挙動を検知すると、ユーザーや管理者にアラートがいきます。

感染後の調査

不審な挙動から疑わしいプログラムやプロセスを検知すると、マルウェアの種類や感染経路といった攻撃の全貌が調査されます。感染端末や被害範囲の割り出しも重要な調査ポイントです。エンドポイント端末に対して検索をかけて、マルウェアがいる感染端末を特定します。

感染端末の対策

マルウェアなどの侵入や感染を検知すると、不審な挙動をするプロセスの即時停止やネットワークの遮断など悪意ある攻撃の阻止が行なわれます。感染が疑われるエンドポイント端末を管理者がリモートで停止させるなど、迅速な対応が可能です。感染端末は危険なファイルの削除など脅威を取り除く対応をした上で、復旧を行ないます。

導入時のポイント

EDRの導入時には、上記で述べた機能の確認のほかにも注意すべきポイントがいくつかあります。運用のしやすさやアンチウイルス製品との連携は特に注意が必要です。EDRの導入が向いていない組織もありますので、事前検討をしっかり行ないましょう。管理者や価格の負荷を少なくした防御フォーカス型のEDR「BlackBerryOptics」についてもご紹介します。

運用のしやすさ

ひと言でEDRといっても、製品によって機能・価格・契約形態・導入形態などはさまざまです。例えば機能でいうと、解析や調査に重点が置かれたEDRもあれば、アンチウイルスなどの機能と一体化させた防御に重点を置くEDRもあります。
また、EDRからのアラートやインシデントレポートに基づいて、実際に判断や対応をするのは社内の人間です。滞りなく運用できるようなサポートはあるのか、またサポートは無償なのか有償なのかといったことも踏まえて、自社にとって運用のしやすいEDRを選ぶ必要があります。

アンチウイルス製品との連携

すでに導入しているアンチウイルス製品のベンダーが提供するEDR製品やEDRサービスを選ぶと、アンチウイルス製品との連携も良く、導入の負担を少なくすることが可能です。また、EDRを含めたセキュリティ・プラットフォームを新たに導入するという方法もあります。

EDR導入が向いている組織と向いていない組織

EDRの運用は一般的に難易度が高い傾向にあります。インシデントレポートを理解することができ、それをもとに適切な対策を練ることができる人材がいなければ、EDRを存分に使いこなすことはできません。インシデント対応などの専門知識をもった人材を確保できる組織においては、EDRは極めて有用です。逆にいうと、こうした人材の登用や育成を導入前に行なうことが困難だという組織は、EDR導入には向いていないといえるでしょう。
もちろん万が一のときのためにEDRは有効ですが、組織の体制やリソースが追いつかない状態で導入をしても思ったような効果は得られません。まずはアンチウイルスで事前防御を万全に整えることが大切です。

負荷の少ないEDR「BlackBerry Optics」とは

万が一に備えてEDRは導入したいけれど、管理者や価格の負荷はできる限り少なくしたいという場合におすすめしたいEDRソリューションが「BlackBerry Optics」です。この製品はエンドポイントを最大限に保護することで、インシデント対応の工数を劇的に減らしています。

未知のマルウェアでも99％予測検知と隔離ができる次世代型アンチウイルス「BlackBerry Protect」と連動させることで実現できたEDRです。AIによる脅威の検知、調査、封じ込め、復旧まで一連の対応が行なえます。