Written by Fumi
Webコンテンツディレクター
プロフィール:Webライター・編集者を経て現在はディレクターに携わる。扱っているコンテンツは主にSEO記事、ホワイトペーパー、自社メディア。マーケティング・DX系を中心に執筆中。
目次
EDR(Endpoint Detection and Response)とは、PCやスマートフォンといったエンドポイント上の不審な挙動を速やかに検知・セキュリティ監視者へ通知し、脅威の侵入にいち早く対処するためのセキュリティソリューションです。
エンドポイントのセキュリティ対策は、大きくわけると、前述した「EDR」と「アンチウイルス(=EPP)」の2種類があります。
それぞれ「守る対象範囲」が異なり、アンチウイルス(=EPP)は、マルウェアなどの脅威を内部に侵入させないことを目的としています。
一方のEDRは、脅威がエンドポイントに侵入した際の被害を最小限に抑えることを目的としており、侵入後の対応を担っています。
このEDRとEPPを併用すれば、万が一マルウェアがアンチウイルス(=EPP)をすり抜けて侵入してしまっても、EDRで素早く脅威を検出し、隔離や駆除を行うことができるので、より強固なエンドポイントセキュリティを実現することができます。
本記事では、EDRの重要性やEPPとの違い、選定ポイントなどを解説します。
▼この記事を要約すると
- EDRは、エンドポイントに侵入したマルウェア・不審な挙動などを検知し、隔離や駆除・復旧までを行えるセキュリティ製品
- ウイルス対策ソフト(EPP)をすり抜け、PCやスマートフォンに侵入した攻撃を、EDRで発見し対応できる
- 昨今の巧妙化したサイバー攻撃に対し、全ての侵入を防御するのは不可能。そこで「侵入後」の脅威へアプローチできる「EDR」が必要
- ウイルス対策ソフト(EPP)とEDRは、同じエンドポイントセキュリティだが、EPPが「侵入前」・EDRが「侵入後」のセキュリティを担う
- EDRとNDRは「侵入後」の脅威検知を行う点で共通だが、EDRが「エンドポイント」・NDRが「ネットワーク」のセキュリティを担う
- EDRの自社運用が困難な組織向けに、EDRの運用代行サービス「MDR(もしくはSOCサービス)」が存在する
- EDR選定時は、メイン機能の「検知精度」に加え「操作のしやすさ」「隔離や分析などの機能内容」「MDRの有無」などに注目する
本記事では「EDR」に関する主な機能や重要性、選定ポイントまで、知っておきたい情報をわかりやすくお伝えします。
また、エムオーテックス(MOTEX)では、情シス1,000名を対象とした「EDRの利用実態調査」を実施しました。EDR導入率など、役立つ情報をまとめています。ぜひご活用ください。
EDR(Endpoint Detection and Response)とは?
EDR(Endpoint Detection and Respons)とは、エンドポイント(PCやスマートフォンなどの端末)における不正な活動を速やかに検知・セキュリティ監視者へ通知し、サイバー攻撃の侵入にいち早く対処するための、セキュリティーソリューションを指します。
製品によって異なりますが、EDRには以下のような機能が備わっています。
- 各エンドポイントをリアルタイムに監視
- エンドポイントのログデータを分析
- 分析結果から、サイバー攻撃の兆候を検知
- サイバー攻撃を受けた際に、その影響範囲を調査・特定
こうした機能により、たとえマルウェアに感染したとしても、初動対応をスムーズに行うことができ、被害を最小限に抑えることが可能です。
EDRで脅威に対応する、主な流れ(仕組み)
EDRでは、エンドポイントに侵入した「マルウェア」等の脅威に対し、次の4つのステップにて対応を行えます。
1.検出(検知)
2.封じ込め
3.調査
4.復旧
1.検知:EDRは、エンドポイントのログを収集し、サーバで解析して、マルウェアや不審な挙動を検出。検出した脅威は、アラートにて管理者へ通知されます。
2.封じ込め:感染したエンドポイントは、ネットワークから切り離し、マルウェアの拡散を阻止・EDRを使えば、遠隔でエンドポイントを隔離することもできます。
3.調査:収集したログから、マルウェアの種類や侵入経路、影響範囲を調査・特定します。
4.復旧:感染したファイルやアプリケーションを削除し、マルウェアの駆除を実施。元通りの状態へ復旧します。
なぜ、組織のセキュリティ対策に「EDR」が必要なのか?
EDRが必要とされている背景としては
1.すべての脅威の侵入を100%防ぐことは不可能だから
2. サイバー攻撃被害の大半が「エンドポイント」を起点に発生しているから
3.境界型セキュリティでは限界があるから
の3点が挙げられます。
1. すべての脅威の侵入を100%防ぐことは不可能だから
これまでのセキュリティ対策では、「脅威を侵入前に全てブロック」するという考え方が一般的でした。
しかし近年のサイバー攻撃は高度化していることから、脅威の侵入を100%防ぐことは不可能といえます。
そこで、脅威の侵入を前提にエンドポイントを監視し、侵入後に迅速な対応が行える「EDR」に注目が集まっているのです。
2.サイバー攻撃被害の多くが「エンドポイント」を起点に発生しているから
サイバー攻撃で使用されるマルウェアの主な感染経路としては
- 不正なWebサイトの閲覧
- メールのURLや添付ファイルを開く
- 無料のアプリやソフトウェアのダウンロード
などがあります。
感染経路を見てわかる通り、マルウェア感染はエンドポイントを中心に起きています。
いま話題の「ランサムウェア攻撃」も、その大半が「エンドポイント」を狙ったものであることから、EDRをはじめとしたエンドポイントセキュリティが欠かせません。
3.境界型セキュリティでは限界があるから
以前まではオフィスに出社し、社内ネットワークを介して業務を行うことが当たり前でした。
そのため、安全な社内ネットワークと信用できない社外ネットワークの境界にセキュリティ対策を講じる「境界型セキュリティ」で対応できていました。
しかしテレワークの普及により、社外ネットワークを介して自宅や外出先などで業務を行う機会も増えたことから、境界型セキュリティでは不十分となっています。
これにより、ゼロトラストに則ってエンドポイントセキュリティを強化することが重要視されています。
▼境界型セキュリティとゼロトラストの違い
※ゼロトラスト…すべてのユーザーやデバイスを信頼せず、情報資産への全アクセスに対し検査・認証を行うというセキュリティ概念
EDRは社外・社内にかかわらず、ネットワークに接続されたエンドポイントをリアルタイムに監視し、異常を検知することができるので、ゼロトラストセキュリティを実現する上で欠かせない存在といえます。
EDRの市場規模は右肩上がりで成長
エンドポイントセキュリティの対策ニーズの高まりから、EDRの市場規模は、大企業から中堅企業を中心に拡大しています。
株式会社アイ・ティ・アールが発表した「マネージドEDRサービス市場規模推移および予測」によれば、EDR市場は2019年より右肩上がりで成長。2025年には186億円に達すると予測しています。
▼マネージドEDRサービス市場規模推移および予測(2019~2025年度予測)
出典:日本経済新聞│ ITR、国内のマネージドEDRサービス市場規模推移および予測を発表
「マネージドEDRサービス」とは、EDR運用を専門の外部パートナーへ委託するセキュリティサービスです。「MDR」とも言います。
「自社でのEDR運用が困難だが、EDRの導入はしたい」という企業を中心に、昨今MDRを導入する組織も増えてきました。MDRの詳細については、下記の記事もご参考ください。
EDRはアンチウイルス(EPP)と何が違うのか?
EDRとアンチウイルス(=EPP)の違いは、「守る対象範囲」です。
アンチウイルス(=EPP)は、マルウェアなどの脅威を内部に侵入させないことを目的としています。
一方のEDRは、脅威がエンドポイントに侵入した際の被害を最小限に抑えることを目的としており、侵入後の対応を担っています。
▼EPPとEDRの対象範囲の違い
以下の記事ではEPPとEDRの違いをより詳しく解説していますので、ぜひあわせてご覧ください。
また最近では、従来のEPPにAI学習機能を組み合わせた、より高機能なウイルス対策ソフト「NGAV(次世代型アンチウイルス)」と呼ばれる製品も登場しています。
EDRとウイルス対策ソフト(EPP)、両方の導入がベスト
エンドポイントセキュリティをより強固なものにしたいのであれば、「EDR」と「アンチウイルス(EPP)」を両方導入するのが望ましいです。
EDRとEPPを併用すれば、万が一マルウェアがEPPをすり抜けて侵入してしまっても、EDRで素早く脅威を検出し、隔離や駆除を行うことができます。
LANSCOPE サイバープロテクションでは、EPP+EDRがセットとなったセキュリティツール「CylancePROTECT×OPTICS」の提供も行っています。
EDRとNDR・XDRの違い
EDRと、しばしば比較されるセキュリティツールに「NDR」があります。
EDRとNDRは、ともに「脅威が侵入すること」を前提とし、侵入後の脅威を「検知」「対応」する点で共通しています。
両者の違いは、EDRが「エンドポイント」を、NDRが「ネットワーク」を対象としたセキュリティツールである点にあります。
▼NDRとEDRの違い
EDRとNDRは、どちらかが秀でているものではなく、両者を導入することで最大のパフォーマンスを発揮できるものです。ただし、両方の導入が難しいという場合、自社のニーズとセキュリティ環境に沿って、より最適なソリューションを選択するのがおすすめです。
また、EDRやNDRを包括し、あらゆるレイヤー(エンドポイント・システム・ネットワーク・クラウド等)にて、脅威情報の収集や分析をし、スピーディーに攻撃へ対処する「XDR」というセキュリティ概念も、注目されています。
EDR・NDRを含む、網羅的なセキュリティ体制を構築する「XDR」を実現できれば、あらゆる高度なサイバー攻撃に対し早期検知・対応・より詳細な分析などを行えるようになります。
失敗しない、EDR選びのポイント
EDRの導入で失敗しないためには、あらかじめ自社の要件を明らかにし、目的に沿ったEDRソリューションを選択することが重要です。
▼ EDRを選ぶ際、基準にすべきポイント例
- 「操作性」はわかりやすいか
- 「検知精度」は高いか(誤検知は少ないか)
- 検知した攻撃に対し「隔離・駆除」といった対応が行えるか
- 検知した攻撃の、「詳細な分析」が行えるか
- 「運用サポートや支援」が受けられるか
- 「マネージドサービス(代理運用)」が付属しているか
仮にEDRの運用をインハウスで行うなら、「EDRの操作性のわかりやすさ」はとても重要です。
- 自社で問題なく操作できるか
- 万一、脅威を検知した際、自社でEDRを用いて対処できるか
といった観点から、操作性のわかりやすい製品を選ぶと良いでしょう。
「そもそも社内でEDR運用が難しい」という方は、EDR製品に運用監視サービスを付属できる、「マネージドサービス」付のEDR(MDR)がおすすめです。
また、「エンドポイントに侵入したサイバー攻撃の検知」が主な目的のEDRにおいて、検知精度の高さは、非常に重要なポイントです。
検知精度が高いほど、攻撃を早期に発見し、被害を最小限に抑えられるためです。無駄なアラート対応を削減するため、誤検知・過検知の発生率も、低い程望ましいでしょう。
さらに、検知後の脅威に対し
- 隔離・駆除・復旧といった対応機能が揃っているか
- 影響範囲や侵入経路の特定など、分析を行えるか
といった要件も大切です。
導入時は、複数のEDRソリューションの中から比較検討を行い、自社のニーズや条件・リソースに最適なものを選びましょう。
運用コストが少ないEDR「CylanceOPTICS」とは
- 万が一に備えてEDRは導入したいけれど、管理工数を割きたくない
- なるべく低価格なEDRを導入したい
そんな情シス・セキュリティ担当者様におすすめしたいのが、LANSCOPE サイバープロテクションが提供するEDR「 CylanceOPTICS(サイランスオプティクス)」です。
CylanceOPTICSは、EPP製品「CylancePROTECT 」のオプションとして導入するEDRのため、通常の製品より安価な導入が可能です。
また、EPPとEDR機能を同時に導入できるため、エンドポイントを侵入前後でより強固に対策することができます。
未知のマルウェアでも99%予測検知と隔離ができる次世代型アンチウイルス「CylancePROTECT」と連動させることで、AIによる高い精度での脅威の検知、調査、封じ込め、復旧まで一連の対応が行なえます。
まとめ
本記事では「EDR」をテーマに、その概要やEPPとの違い、選定ポイントなどを解説しました。
▼本記事のまとめ
- EDRは、エンドポイントに侵入したマルウェア・不審な挙動などを検知し、隔離や駆除・復旧までを行えるセキュリティ製品
- ウイルス対策ソフト(EPP)をすり抜け、PCやスマートフォンに侵入した攻撃を、EDRで発見し対応できる
- 昨今の巧妙化したサイバー攻撃に対し、全ての侵入を防御するのは不可能。そこで「侵入後」の脅威へアプローチできる「EDR」が必要
- ウイルス対策ソフト(EPP)とEDRは、同じエンドポイントセキュリティだが、EPPが「侵入前」・EDRが「侵入後」のセキュリティを担う
- EDRとNDRは「侵入後」の脅威検知を行う点で共通だが、EDRが「エンドポイント」・NDRが「ネットワーク」のセキュリティを担う
- EDRの自社運用が困難な組織向けに、EDRの運用代行サービス「MDR(もしくはSOCサービス)」が存在する
- EDR選定時は、メイン機能の「検知精度」に加え「操作のしやすさ」「隔離や分析などの機能内容」「MDRの有無」などに注目する
エンドポイントへのセキュリティ対策は、企業にとって欠かせない存在です。そしてエンドポイントのセキュリティ構築には、ウイルス対策ソフト(EPP)とEDRを併用し、エンドポイントの「侵入前」「侵入後」両方の脅威に対応する必要があります。
本記事が、皆様の「EDR」理解に少しでもお役に立てれば幸いです。
「まだEDRの導入を行っていない」「EDRの導入に悩んでいる」という方は、下記の「情シス1,000人に聞いた『EDR利用実態調査』もぜひご覧ください。EDR導入に関する、リアルな本音や導入率がわかります。
関連する記事