サイバー攻撃は年々巧妙化しており、多くの被害が報告されています。サイバー攻撃を未然に防ぐ事前対策だけでは足りず、サイバー攻撃を受けた後の措置を軸としたセキュリティソリューション「EDR」の必要性が高まっています。
この記事ではEDRとは何か、基本知識や従来のセキュリティ対策との違いをわかりやすく解説します。EDR製品を選ぶ際のポイントや導入時の注意点などもお伝えしますので、ぜひ参考にしてください。
EDRとは
まずは、EDR(イーディーアール)とはどのようなソリューションなのか、知ることから始めましょう。EDRの基本知識や重要とされる理由を解説します。
- EDRの基本知識
EDRとは、「Endpoint Detection and Response」の頭文字を取ったもので、日本語では「エンドポイントでの検出と対応」という意味になります。
EDRはエンドポイントセキュリティ対策のひとつで、エンドポイントにおける脅威の検知と対処が主な目的です。なお、エンドポイントとは、ネットワークに接続された末端機器を指し、企業であれば社員が利用するパソコンやスマホ、サーバーなどがこれに当たります。
これらエンドポイントがランサムウェア攻撃を受けたり、マルウェアに侵入されたりなど、サイバー攻撃を受ける前提で備える対策がEDRです。EDRは事前に防げなかった脅威を迅速に検知し、端末の隔離やシステム停止を自動で行い、被害を最小限に抑えます。
「EDR=脅威侵入後の被害軽減対策」と理解すれば、わかりやすいでしょう。- EPP
エンドポイントへの脅威の侵入を阻止する(事前対策) - EDR
エンドポイントに侵入済みの脅威を迅速に検知・対処し、被害を最小化する(事後対策)
- EPP
- EDRと従来のセキュリティ対策との違い
これまでのセキュリティ対策では、サイバー攻撃による脅威の侵入を防ぐための「事前対策」に重点を置いてきました。EPP(Endpoint Protection Platform)やゲートウェイセキュリティが事前対策の代表例です。エンドポイント保護プラットフォームとも呼ばれ、従来型のアンチウイルスソフトやウイルス対策ソフトが具体的なソリューションです。
EPPについて、さらに詳しい記事もご用意しております。
さらに詳しく解説した記事もご用意しております。
▼EDRとアンチウイルスの違いとは? 次世代のセキュリティ対策を解説
▼「EPP」と「EDR」の違いとは? エンドポイント対策の目的や機能について解説しかし昨今、サイバー攻撃の高度化、巧妙化により、EPPなどの事前対策だけでは脅威の侵入を完全に防ぐことが困難になってきています。セキュリティをすり抜けて侵入する脅威に対抗するための「事後対策」が重要視されるようになり、ここで登場したのがEDRです。
EDRは、パソコンやサーバーなどのエンドポイントを常時監視し、既に侵入し潜伏している脅威を速やかに検知。その後、感染端末の隔離や被害状況の調査を自動で行い、迅速な復旧をサポートします。以上をまとめると、従来のセキュリティ対策であるEPPは「脅威が侵入する前段階の防御対策」であり、EDRは「脅威が侵入した後の被害軽減対策」ということになります。
関連記事もご用意しております。
▼EDRとNDRの違いとは? 機能や必要とされる理由、XDRについて詳しく解説
EDRが重要視される理由
EDRがなぜ注目されるようになったのか、その理由を解説します。
EDRがなぜ注目されるようになったのか、その理由を解説します。
- サイバー攻撃の高度化・巧妙化
EDRが重視されるようになった主な要因として、サイバー攻撃の高度化が挙げられます。
近年、ランサムウェア攻撃や標的型攻撃といった悪質なサイバー攻撃が後を絶たず、その手口も巧妙化。未知のマルウェアの出現や、発見が難しいステルス性の攻撃により、セキュリティ防御をすり抜けて侵入される事例も発生しています。このようにサイバーセキュリティの重要性が高まっている現況では、脅威を侵入させないことに重点を置いた対策だけでは不十分です。「脅威の侵入を防ぐEPP」と「脅威侵入後の対応を行うEDR」を組み合わせた2段構えの対策が必要となっています。
- リモートワークの普及
働き方改革の推進やリモートワークの普及により、働く環境が多様化したことも要因のひとつです。以前は、働く場所といえばオフィスがメインでしたが、近年では、自宅やワーキングスペース、カフェを仕事場にするなど、柔軟な働き方が定着しつつあります。
しかし、オフィスの外で仕事をする場合、社外のインターネットの使用は避けられません。もし、安全性が確保されていない環境から社内ネットワークにアクセスすれば、マルウェアなどの脅威を持ち込んでしまうリスクが高まるのです。リモートワークにおいては、エンドポイントの保護対策が特に重要です。業務端末を社内から社外に持ち出して使用する場合や、個人所有の端末を社内に持ち込む場合には、EDRによるセキュリティ強化が必須といえるでしょう。
- クラウドサービスの利用増加
近年、クラウドサービスを導入する企業が増えています。クラウドサービスの特長は、インターネット環境さえあればどこからでもアクセスできる利便性の高さですが、そこにはセキュリティ面のリスクが存在します。
そのリスクとは、通信環境の脆弱性です。これを狙うサイバー攻撃は多く、クラウド利用時にマルウェアによる被害や情報漏えいが発生する恐れがあることを、常に認識しなければなりません。
この点でEDRは脅威の侵入を素早く検知できるため、クラウドサービスを安全に利用するためのセキュリティ対策としても有効です。
EDRの仕組みと主な機能
EDRの仕組みと基本機能について解説します。
EDRの仕組み
EDRは、どのようにしてサイバー攻撃の脅威に対処するのでしょうか。
EDRの主な役割と対応の流れをを解説しながら、その仕組みを詳しく解説します。
- エンドポイントの常時監視
EDRは、ネットワーク全体の各エンドポイント(パソコンやサーバーなどの端末)を、リアルタイムで常時監視します。
エンドポイント上のあらゆるログを収集・記録し、不審な挙動や疑わしい痕跡がないか、自動的に解析します。 - 不審な挙動の検知とアラート通知
エンドポイント上で、不審な挙動やマルウェア感染が疑われる痕跡を検知すると、管理者へセキュリティアラートを発します。
セキュリティアラートは異常検知後、即座に送信されるため、サイバー攻撃の予兆を早期に把握し、迅速な対応を取ることが可能となります。 - 脅威対策の実行
他のエンドポイントに被害が広がらないよう、自動的に対策を実行します。
具体的には、感染端末をネットワークから遮断して隔離する、不審なプログラムを強制停止させるなどの処置を行います。脅威を封じ込め、二次被害、三次被害の発生を防ぎます。 - 詳細な原因調査と修復
EDRには、調査分析機能が搭載されており、脅威の侵入経路や被害範囲の特定作業が行えます。
調査結果はレポート形式でわかりやすく表示されるため、問題の全容把握から対応策の検討、復旧作業までスムーズに進みます。
さらに詳しい記事もご用意しております。
▼EDRと振る舞い検知の併用でセキュリティ対策を強化! それぞれの仕組みと違いを解説
EDRの主な機能
EDRの基本機能として、以下の4つが挙げられます。それぞれどのような機能なのか、詳しく解説します。
- 監視(モニタリング)機能
監視機能は、その名の通り、エンドポイント内を監視する機能です。
エンドポイント端末に、侵入検知センサーやソフトウェアを常駐させ、あらゆるアクティビティをリアルタイムに監視します。
監視対象となるのは、ネットワーク接続やファイル操作、レジストリ情報、各種プロセスなどで、これらはすべてログとして記録されます。 - 検知・報告機能
検知・報告機能は、エンドポイント内の脅威を検知し、管理者に報告する機能です。マルウェアの痕跡や攻撃者の侵入が疑われる不審な挙動を検知すると、管理者にセキュリティアラートを通知します。脅威の内容や対処方法などの情報も提供します。
- インシデント対策機能
インシデント対策機能とは、マルウェアなどの脅威の侵入を確認した際に、被害拡大を防ぐための機能です。いわゆる脅威の封じ込め対策です。
被害を最小化するために、以下のような対策を実行します。- ネットワークの遮断
- 感染が疑われる端末の隔離
- アプリケーションの非アクティブ化
- 不審なプロセスの強制停止
- 危険性の高いファイルの削除
EDRは脅威を検知すると、問題が解決するまでネットワークの遮断や感染箇所の隔離を行い、被害拡大を防ぎます。これらの対応は自動的に実行されます。
- 調査・解析機能
調査・解析機能とは、エンドポイント内に侵入した脅威について詳細に調査する機能のことです。具体的には、以下のような項目の調査分析が可能です。
- マルウェアの種類
- 侵入口、侵入経路
- 被害の範囲
EDRは、脅威の侵入経路や被害状況を自動的に特定するため、脅威がいつどこから侵入して今現在どの範囲まで被害が広がっているのか、速やかに把握できます。
なお、調査結果はグラフやレポートで整理された状態で提供されるため、現状の問題点や復旧に必要な作業がすぐにわかります。
関連記事もご用意しております。
▼XDRとEDRの違いとは? EPPはセキュリティ対策にならない? 情報を脅威から守ろう
EDR製品を選ぶ際のポイント
近年、多くのEDR製品がリリースされています。製品ごとに脅威の検知方法やセキュリティ範囲が異なるため、自社に必要な機能が搭載されているか、しっかり確認することが重要です。
EDR製品を選ぶ際のチェックポイントとして、以下の5つが挙げられます。
- セキュリティの範囲
EDR製品には様々な種類があり、EDRに特化した製品だけでなく、EDRとEPPを兼ね備えた製品なども存在します。
まずは、「脅威が侵入した後のセキュリティ対策(EDR)」を重点的に行いたいのか、あるいは「脅威が侵入する前+侵入後のセキュリティ対策(EPP+EDR)」をトータルで導入したいのか、目的を明確にする必要があります。簡潔に説明すると、EPP、NGAV(次世代型アンチウイルス)、NGEPP(次世代型EPP)は脅威の侵入を防ぐ「事前対策」で、EDRは侵入した脅威に対抗する「事後対策」となります。
エンドポイントに対して包括的なセキュリティ対策を講じるのであれば、NGAVとEDRを組み合わせた製品などが適しています。同時に情報漏えい対策も強化するなら、DLP(Data Loss Prevention)を搭載した製品がおすすめです。
一方、既にEPPやNGAVを導入済みの場合は、EDRに特化した製品を検討するといいでしょう。参考に、エンドポイントセキュリティの主な種類と特徴を以下に紹介します。
- EPP
脅威の侵入防止対策(既知の脅威を検知) - NGAV、NGEPP
脅威の侵入防止対策(既知・未知の脅威を検知) - EDR
脅威侵入後の被害軽減対策(既知・未知の脅威の検知、封じ込め、駆除) - DLP
情報漏えい対策(重要データの監視と保護)
NGAV他、エンドポイントセキュリティの種類と特徴について紹介した記事もご用意しております。ぜひご確認ください。
▼NGAV(次世代型アンチウイルス)とは? 従来型対策やEPP・EDRとの違いも解説 - EPP
- 提供形態
EDR製品の提供形態は、「クラウド型」と「オンプレミス型」の2つに分類されます。両者にはそれぞれメリットとデメリットがあります。
メリット デメリット クラウド型 - 初期費用や運用コストを抑えられる
- 短期間で導入できる
- 社外に持ち出した端末の管理も可能
- オフライン環境(インターネット接続がない状態)では利用不可
オンプレミス型 - カスタマイズ性が高く、独自のシステムを構築できる
- より厳重なセキュリティ対策の実現が可能
- オフライン端末の管理ができる
- 導入コストが高額になりやすい
- 導入までに時間がかかる
他のITソリューションと同様に、EDRに関してもクラウド型の導入が主流となっています。必要な機能がパッケージ化されているため導入しやすく、サービス契約後すぐに利用できる点も、多くの企業に選ばれる理由です。
一方、オンプレミス型は、高度なセキュリティ要件が求められる環境下や、セキュリティ対策を自社で完結させたい企業で利用されています。 - 機能・検知精度
EDR製品を選ぶ際は、搭載機能を具体的に確認することが重要です。その中でも、脅威の検知方法や分析精度は、特に注目すべきポイントといえます。
高度化するサイバー攻撃に対抗するためには、既知のマルウェアだけでなく、未知のマルウェアや新たな脅威に対処できる機能が必要です。高性能AI(人工知能)や機械学習などの最新技術を活用したEDR製品がおすすめといえます。これによって、あらゆる脅威の迅速な検知と被害の最小化が期待できるでしょう。
また、エンドポイント上で脅威を検知した際、被害拡大を防ぐためにどのような対策が自動で行われるか、どの程度の調査分析能力が備わっているかなども、確認しておきたいポイントです - 導入・運用コスト
EDR製品の導入費用や料金体系は、サービスごとに異なります。一般的には、保護するエンドポイントの数やサポートの有無などによって料金が変化します。実際に自社で導入する場合、どれくらいのコストが発生するのか、事前に確認しておくといいでしょう。
また、EDR製品を導入すると、経済的なコストだけでなく、運用のための人的リソースの確保が必要です。企業によっては、IT人材の採用や運用体制の構築に取り組まなければならないケースもあるでしょう。
- 既存ツールとの連携の可否
EDR製品と他のセキュリティツールを併用する場合は、事前に連携の可否や相性のチェックが必要です。
例を挙げると、既にEPPを運用しており、それにプラスしてEDRを導入するようなケースです。新しく導入するEDRと既存ツールの相性が悪ければ、パフォーマンスが下がってしまう可能性があります。反対に、既存ツールと連携できるEDR製品であれば、それぞれが所持する情報を紐付けて活用できるため、セキュリティレベルの向上が期待できます。あらかじめEPPとEDRがセットになった製品を導入するのもひとつの方法です。
さらに詳しい記事もご用意しております。
▼EDR製品でどのようなセキュリティを実現できる? 概要や仕組み、具体的な製品を紹介
EDRの導入メリットと注意点
最後にEDRを導入するメリットと注意点を解説します。
EDRを導入するメリット
EDRの役割は、脅威が侵入した後の被害を最小限に抑えることです。導入による具体的なメリットを紹介します。
- 挙動の異常やマルウェア感染を迅速に検知できる
EDRの導入により、侵入した脅威の早期発見と迅速な初動対応が実現します。
EDRには、エンドポイント内に侵入した脅威や不審な挙動を素早く検知する機能があります。振る舞い検知やAI・機械学習などの高度な検知技術を活用し、既知・未知を問わず脅威をブロックします。
また、脅威を検知すると同時に管理者へアラート通知を行うため、早い段階でサイバー攻撃の予兆や兆候を把握し、対策をとることができます。 - 素早い対応で被害拡大を抑えられる
サイバー攻撃による被害を最小化できることも、EDR導入の大きなメリットです。EDRは侵入した脅威を検知した後、被害拡大を防ぐための対策を自動で実行します。
具体的には、マルウェアに感染したエンドポイントをネットワークから切り離す、不審なプロセスを強制停止するなどの対策をとることで、事態の悪化を防ぎます。特に企業や組織では、1台の端末の感染がきっかけで被害が全体に及ぶことがあります。そのため、他の端末やサーバーへの感染拡大を阻止する早期の隔離対応が非常に重要となります。
EDRを導入する際の注意点
EDRの導入には注意点もあります。後で問題にならないよう、事前に確認しておきましょう。
- 導入・運用にコストがかかる
EDRの導入と運用にはコストがかかります。具体的な費用や料金体系はサービスによって異なりますが、一般的にコストはエンドポイントの数に比例します。つまり、業務で使用するパソコンやスマホなど、セキュリティ対策が必要な端末が多いほどコストがかかるということです。
また、EDRの運用にかかる人的コストについても考えておく必要があります。
EDRの導入にどれくらいのコストをかけられるのか、事前に予算を確認しておきましょう。 - 専門的な知識やスキルを持つ人材が必要
EDRを効果的に運用するためには、セキュリティに関する知識やスキルを持つ人材が必要です。会社内にIT人材がいない場合、EDR製品を検討する段階においても苦慮することが予想されます。
とはいえ、セキュリティ専任者の確保や運用体制の構築は容易なことではありません。自社での人材確保が難しい場合は、セキュリティ対策を外部委託するのも有効な方法です。テクバンでは、セキュリティに関連する幅広いサービスを提供しています。最適なセキュリティ対策の提案から、セキュリティツールの導入支援、ITインフラの運用保守代行、社内SEのアウトソーシングまで、ニーズに合わせた柔軟なサポートが可能です。
「どのEDR製品が自社に適しているのかわからない」「強固なエンドポイントセキュリティ対策を導入したい」など、どのようなお悩み・ご要望もぜひお気軽にご相談ください。
- テクバンのEDR導入支援サービス
高性能なAIで未知の脅威も検出・対応できる「VMware Carbon Black Cloud」や「Sophos Intercept X Advanced」の導入支援を提供しております。
VMware Carbon Black Cloudの【導入事例】資料をご用意しております。ぜひダウンロードしてご活用ください。
Sophos Intercept X Advanced【導入事例】資料もご用意しております。ぜひご活用ください。 - テクバンのシステム運用マネジメント
ネットワークやサーバーの24時間365日リモート監視もテクバンへお任せください。
- テクバンのEDR導入支援サービス
関連記事もご用意しております。ぜひご確認ください。
▼CrowdStrike FalconはEDR・NGAV製品。エンドポイントを強化する仕組みは?
EDR導入でセキュリティ対策の強化を
この記事では、EDRとはどのようなツールなのか、その特徴やメリット、導入時のポイントなどを解説しました。
サイバー攻撃によるセキュリティリスクは、年々深刻化しています。巧妙かつ多様な脅威に対抗するためには、EDRによるセキュリティ強化が不可欠です。
高度な検知技術や処理能力を有するEDRを導入して、迫り来るサイバー攻撃に備えましょう。
テクバンへセキュリティ対策を相談する
