近年、企業の安全を脅かすウイルスやサーバー攻撃は巧妙化し、日々新たな手口が生まれています。企業としては、そのような脅威からいかに自社を防衛するかが重要になります。既知の脅威に対応することはもちろんとして、未知なる脅威も検出し、すみやかに対応できることが理想です。
未知なる脅威を含めた様々な脅威を防ぐためのソリューションのひとつとして、EDR製品があります。本記事では、EDR製品について基本知識から具体的な主流製品までを紹介します。本記事を参考に、EDR製品の導入を検討してみましょう。
「EDR製品」とはどのようなもの?
まずはEDR製品とはどのようなものを指すのか、混同されやすい用語との違いを含めて解説します。
EDRとは
EDRとは、EDR(Endpoint Detection and Response)の略で、PCやタブレット端末、スマホ、サーバー、プリンターなどの端末(つまりエンドポイント)それぞれの不審な挙動を検知し、迅速な対応を行うという観点のセキュリティ(エンドポイントセキュリティ)ソリューションを指します。
近年の情報セキュリティにおいては、「情報資産に対する全ての通信を信頼せず、適切なサイバーセキュリティ対策を講じるべき」とする“ゼロトラストセキュリティ”の概念が主流となっています。
EDRは、このゼロトラストセキュリティの概念に基づきエンドポイントのセキュリティ強化を図るソリューションです。
EDRには、個々の端末の監視に加え、組織全体の利用状況の一覧化などエンドポイントのインシデント発生時に迅速な対応を可能にするための様々な機能が包含されています。
EDR製品とは
EDR製品とは、EDRの具体的な製品を指します。EDR製品には一般的に、組織内のエンドポイントから収集したログデータの相関解析、不審な挙動やサイバー攻撃を迅速に検知して対応(分析・封じ込め・原因特定など)する機能などが備わっています。
提供形態としてはクラウド型とオンプレミス型がありますが、近年ではクラウド型での提供が主流です。様々なセキュリティベンダーからエンタープライズ向けEDR製品が提供されており、EDR製品によって細かな機能や特徴が異なります。
代表的なEDR製品の詳細は後ほどご紹介します。
EDRとEPPの違い
EDRと混同されやすい用語にEPP(Endpoint Protection Platform)があります。
EDRとEPPどちらもエンドポイントセキュリティを強化するソリューションですが、エンドポイントセキュリティにおける役割として以下の違いがあります。
- EPP:侵入したマルウェアを検知、自動駆除やマルウェアの実行防止を行いエンドポイントをマルウェア感染から守る
- EDR:エンドポイントのマルウェア感染を検知し、迅速な事後対応を行う
EPPはマルウェア感染の未然防止を支援する役割、EDRはマルウェア感染による被害を最小限に抑える事後支援の役割を担うと捉えておくとよいでしょう。
ただし、エンドポイントセキュリティはEPPとEDR両方が揃って実現できるものであるため、EDRとして提供されている製品のなかには、EPPの機能が含まれているものもあり、その逆もあります。
EPPの機能やEDRとの違いは下記の記事で詳しく解説しています。
▼「EPP」と「EDR」の違いとは? エンドポイント対策の目的や機能について解説
EDRとアンチウイルスや次世代アンチウイルスとの違い
EDRとアンチウイルス、次世代アンチウイルスとの機能や役割の違いについても解説します。
アンチウイルスは、主に侵入したマルウェアを検知し、感染自体を防止する事前対策を担います。EPPとほぼ同義であり、企業においてはEPP製品というよりアンチウイルス製品という言葉のほうが一般的でしょう。
アンチウイルスは、ベンダーから提供される最新の定義ファイルを用いて、定義された挙動に該当する脅威を検知・遮断するパターンマッチングと呼ばれる方式でエンドポイントを保護します。
次世代アンチウイルス(Next Generation AntiVirus、NGAV)は、アンチウイルスの機能に加え、AI型の機械学習や振る舞い検知などが実装されています。
次世代アンチウイルスが担う役割はアンチウイルスと同様ですが、アンチウイルスが既知の脅威に対する防御が中心なのに対し、次世代アンチウイルスは未知の脅威にも対応できる点が特徴です。
EPPとEDRの違いで解説したとおり、EPP・アンチウイルス・次世代アンチウイルスはマルウェア感染を防ぐ事前対策なのに対し、EDRはマルウェア感染後の不審な挙動の検知・遮断など事後対策という違いがあります。
また、EDRとして提供されている製品のなかには、アンチウイルスや次世代アンチウイルスの機能が含まれているものもあります。
次世代アンチウイルス(NGAV)は下記の記事で詳しく解説しています。
▼NGAV(次世代型アンチウイルス)とは? 従来型対策やEPP・EDRとの違いも解説
EDR製品の仕組みと特徴
EDR製品の仕組みや特徴を詳しく解説します。
EDR製品の仕組み
EDR製品がエンドポイントの情報を収集する方法としては、エージェント型とエージェントレス型の2種類があります。
エージェント型は、エンドポイントにエージェントソフトウェアをインストールしておきエージェントソフトウェアを通して情報を収集する方法です。
エージェントレス型は、エージェントソフトウェアをインストールせずにAD(Active Directory)やSNMP(Simple Network Management Protocol)などの汎用的なツール・プロトコルを通して情報を収集する方法です。
エージェント型は、個々の端末にエージェントソフトウェアをインストールする手間がありますが広い範囲で詳細な情報を収集できます。一方、エージェントレス型はエージェントソフトウェアをインストールする手間がかからず導入負荷が軽いものの、取得範囲や取得情報が限定される可能性があるという特徴があります。
EDR製品は、エンドポイントの端末を常時監視し、端末の状態やログなどをサーバー上へ集約します。
その後、集約した情報に対して、不審なファイル作成やプログラム実行などマルウェア感染の疑惑がある挙動がないかをチェックし、マルウェア感染が疑われる場合にはすみやかに管理者への通知や自動駆除がおこなわれる仕組みです。
また、管理者はEDR製品の管理画面を通して全体の状況や根本原因となったファイル、影響範囲などを確認できるため、早期の原因特定や封じ込めができるような仕組みになっています。
EDR製品の特徴
近年のEDR製品の多くは、機械的にログを取得し、マルウェアと疑われる挙動にマッチするパターンを検出するだけのものではありません。
サンドボックスと呼ばれる安全な環境下でプログラムを実行してのマルウェア判断や、NGAVの要素を統合した機械学習や振る舞い検知など高度な機能で未知の脅威を検出できるものが増えています。
また、マルウェアの検出・遮断だけでなく、侵入経路や手口、漏えいしたと思われる情報などの状況調査・解析を自動でおこないます。管理画面を通してログの内容や自動解析結果をわかりやすくグラフやレポートなどで表示できるため、すみやかな状況把握と対処が可能です。
EDR製品の選び方
EDR製品を比較・選定する際に注目すべきポイントなど、選び方の基本を解説します。
自社の状況や利用目的を検討しておく
EDR製品の導入はセキュリティ対策の一環であり、セキュリティ対策を行う上では現状の課題把握と利用目的の明確化が重要になります。
例えば、既にアンチウイルスソフトやNGAV製品を導入済みであればEDRに特化した製品を検討すればよいでしょうし、アンチウイルスソフトは導入しているが未知の脅威への対策を強化したいのであればNGAVを兼ね備えたEDR製品を検討するとよいでしょう。
企業の状況や利用目的によって、同じEDR製品でも必要となる機能が異なるため、あらかじめ情報を整理しておくことが、スムーズな製品選定につながります。
既存ツールと併用する場合の親和性を確認しておく
既に社内で運用しているアンチウイルスやNGAVと併用する予定であれば、既存ツールとの親和性や連携可否などを確認しておきましょう。
エンドポイントのセキュリティを強化するためには、事前対策となるEPP・アンチウイルス・NGAVと事後対策となるEDRのシームレスな連携が欠かせません。
相互のツールの連携がうまくできないと、運用時に情報が分散してしまい、かえってインシデント発生時の初動が遅くなるリスクがうまれる点に注意しましょう。
製品の実績で検知方法や検知精度を確認
EDR製品を検討する場合、未知の脅威までを検出することを前提とされるケースが多いでしょう。しかし、未知の脅威の検出に用いられるAIのアルゴリズムや振る舞い検知の仕組みはベンダーによって異なり、検知精度にも差があります。
特にAIによる学習は、投入されたビッグデータをもとに行われるため、より多くのデータが投入されているほうが検知精度が高くなりやすくなります。
そのため、製品を選ぶ際には、世界的にサービスを展開している実績が豊富なベンダーか、どのような仕組みで脅威を検知しているのかをチェックしておきましょう。
ただし、海外ベンダーの場合は日本語による資料やサポートが乏しいケースもあるため、導入実績と合わせてサポート品質なども確認しておくことがおすすめです。
運用コストもチェック
EDR製品の導入には、クラウドサービスの月額料金など金銭的なコストの他、EDR製品の運用や管理にかかる人的コストも発生します。
特に、EDR製品の運用や管理をセキュリティベンダーなどに外部委託する場合、運用コストが一気に膨れ上がるケースが多いでしょう。運用コストを削減するためには、機能や管理画面などのわかりやすさ、対応の容易さ、サポートサービスの充実性が高いツールを選び、できる限り社内で運用や管理ができる体制を整える必要があります。
自社でEDR製品にかけられる運用コストと照らし合わせつつ、どこまで自社で運用管理するかを検討し、それに合わせた製品を選定しましょう。
クラウド型かオンプレミス型かを検討する
自社の状況にあわせてクラウド型かオンプレミス型かを検討しましょう。
2023年現在の主流であるクラウド型の大きなメリットは、機器の用意やネットワークの構成変更などが不要で導入が容易な点、EDRのソフトウェアやサーバーなどの管理をアウトソーシングできる点です。
初期費用を抑えて導入したい、できる限り既存環境への影響や運用管理の負担を軽減して導入したいという場合にはクラウド型が適しているでしょう。
一方で、自社の情報セキュリティポリシーとしてEDRのソフトウェアやサーバーなどの管理をアウトソーシングしたくない、自社で運用しているシステムと連携するなど独自のカスタマイズをおこないたいといった特別なニーズがある場合には、オンプレミス型を検討するのも手でしょう。
エージェント型かエージェントレス型かを検討する
前述したとおりEDR製品にはエージェント型とエージェントレス型があります。
エージェント型は個々の端末にエージェントソフトウェアをインストールする手間があるものの、広範囲に詳細な情報取得が可能です。
一方、エージェントレス型はエージェントソフトウェアをインストールする手間はないものの、情報を取得できる範囲や内容が限定的になる可能性があるのが特徴です。
基本的には広範囲に詳細な情報を取得できるエージェント型が主流でおすすめですが、自社の環境にあっているかの確認は必要です。
特に生産設備で利用している端末など、独自のソフトウェアを利用している端末の場合、エージェントソフトウェアをインストールすると既存のソフトウェアに動作不良が発生するケースもあります。
事前にPoC(実施前の概念検証)でエージェントソフトウェアインストールによる影響を確認し、状況によってはエージェントレス型の併用なども検討するとよいでしょう。
代表的なEDR製品①「VMware Carbon Black Cloud」
VMware Carbon Black Cloudは、世界中で展開されており、導入実績が豊富なヴイエムウェア社のクラウド型のEDR製品です。
■主な機能
- EDRを進化させたXDR(Extended Detection and Response)
- NGAVによる未知の脅威検出
- リアルタイムかつリモートでのマルウェア駆除、復旧
- 能動的な脅威探知と端末挙動の可視化
■製品の特徴
VMware Carbon Black CloudはEDR製品のパイオニア的存在であり、NGAVの機能を兼ね備えた高い防御率を誇るEDR製品です。
エージェント型の製品であり、導入にあたってエージェントソフトウェアのインストールが必要という手間はありますが、NGAVの機能を兼ね備えているため、既存で運用しているアンチウイルスソフトやNGAVを一本化できるというメリットがあります。
エージェントソフトウェア自体が軽量なため、既存ソフトウェアに対する影響を抑えられるでしょう。
また、ヴイエムウェア社は豊富な導入実績とともに複数のネットワーク・セキュリティのソリューションを提供している点も大きな特徴です。
例えばデジタルワークスペースを構築するWorkspace ONEと連携し、あらゆるエンドポイントの情報を集中管理できます。その他にもVDI(Virtual Desktop Infrastructure)環境を構築するVMware Horizonなど、VMwareから提供されているソリューションを導入すれば、さらなるセキュリティ向上を図れるでしょう。
VMware Carbon Black Cloudについて、詳しくはこちらから。
代表的なEDR製品②「CrowdStrike Falcon」
CrowdStrike Falconはクラウドストライク社が提供する、独自のThreat Graphデータベースとスマートフィルタリング技術を活用したクラウドスケールのAIをもつEDR製品です。
■主な機能
- 豊富な検知ロジックによるマルウェア検知
- NGAVやサンドボックスによる未知の脅威検知
- 膨大なイベントの関連付けとリアルタイム分析、評価
- シングルプラットフォーム、シングルエージェント、シングルコンソールによる管理負荷軽減
■製品の特徴
クラウドストライク社はエンドポイントセキュリティプラットフォームの大手会社であり、豊富な導入実績をもつ多様な機能を包括したEDR製品です。
NGAVとEDRによるエンドポイントセキュリティだけでなく、ファイアウォール管理やぜい弱性管理など、幅広いセキュリティ機能を搭載したプラットフォームであることが大きな特徴です。
多機能である一方で、軽量なシングルエージェント、視覚的に把握しやすいGUI(Graphical User Interface)でのシングルプラットフォームを採用するなど、運用管理の負担を軽減する配慮がなされています。
CrowdStrike Falconを導入すれば、乱立しているセキュリティ製品を一本化し、セキュリティに関する様々な情報を一元管理できるようになるでしょう。
クラウドストライク社の提供サービスのなかには、クラウドストライク社の専門アナリストが24時間365日体制で脅威を探索するFalcon OverWatchなどもあります。EDR製品の導入が初めてであり、運用管理に不安があるというお客様でも活用しやすいEDR製品です。
CrowdStrike Falconについて、詳しくはこちらから。
代表的なEDR製品③「Sophos Intercept X Advanced」
Sophos Intercept X Advancedはソフォス社が提供する、独自開発のディープラーニングエンジンによる検知・解析に強みをもつEDR製品です。
■主な機能
- 独自開発のディープラーニングエンジンによる高速ディープラーニング
- EDRの検知分析をAIで自動化
- エクスプロイトやランサムウェアへの高度なブロック機能
- ソフォスのソリューションとの自動的なデータ共有
■製品の特徴
Sophos Intercept X Advancedの大きな特徴は、独自のディープラーニングエンジンによる未知の脅威の検知にあります。
米国のDARPA(国防高等研究計画局)のテクノロジーをベースとしたエンジンのため、イベントの複雑な関係性をタイムリーに把握し、高精度で未知の脅威を検知できる仕組みになっています。AIの活用はEDR機能にも生かされており、脅威の検知から隔離、駆除、復旧までをAIが自動で実施してくれる点も大きなメリットです。
ソフォス社は次世代型ファイアウォールであるSophos Firewallやメールセキュリティ製品であるSophos Emailなどのソリューションも提供していますが、Sophos Intercept X Advancedはこれらのソリューションと同期・連携してデータ共有することが可能になっています。
Sophos Firewallなどのソリューションとあわせて導入すれば、よりセキュリティを強固にできるでしょう。クラウドストライク社と同様に、24時間365日体制で脅威の監視を行うSOC (Security Operations Center)が提供されているため、初めてEDR製品を導入する場合でも安心です。
Sophos Intercept X Advancedについて、詳しくはこちらから。
間違いのないEDR製品選びや適切な運用には統合的な知識が必要
EDR製品は脅威の検知や分析を自動でおこなってくれたり、また見やすいレポート出力などをおこなってくれたりしますが、自社の環境に必要となる機能は何なのか、導入時に既存システムとの競合が発生しないかなどを整理する必要があります。
また、EDR製品の導入後も継続した運用や管理が求められ、これらを行うためにはやはり一定以上の専門的な知識・技術が必要です。
自社内で専門人材を確保できる場合は問題ありませんが、多くの企業でIT人材不足が課題となっている昨今では、専門人材を確保するハードルは高いでしょう。EDR製品といったセキュリティに関する製品は一般的に高額なコストがかかるケースが多く、インシデント発生のリスクも高いことから、慎重な製品選定が求められます。
EDR製品の導入に際し、何か課題がある場合には導入支援ソリューションの活用も検討してみましょう。
テクバンでは、代表的なEDR製品の導入支援サービスを提供しています。製品選定から導入後の運用管理まで、EDR製品の導入をご検討のお客様はぜひお気軽にお問い合わせください。
高度な脅威から企業を確実に守るために、EDR製品導入を
EDR製品は、組織内のエンドポイントの挙動を監視・保護し、インシデント発生時の早期対応を支援するソリューションです。
マルウェア感染防止などインシデントを未然に防ぐEPP製品もありますが、日々サイバー攻撃が巧妙化する現代では、従来のアンチウイルスやファイアウォールのみでなくEPP機能とEDR機能を組み合わせ、事前・事後両方の対策を行うことが重要になります。
まだEDR製品を導入していないお客様は、ぜひこの機会にEDR製品の導入をご検討ください。