近年、働き方改革やリモートワークの増加などの影響でPCやスマホ、タブレットといったエンドポイントセキュリティの重要性が見直されています。そこで注目されているのが、次世代のセキュリティ対策であるEDRです。
この記事では、EDRとはどのような機能を備えているのか、アンチウイルスとの違いと併せて詳しく解説します。
EDRとは
EDRとは、Endpoint Detection and Responseの略称で、直訳すると「エンドポイントの検出と対応」という意味を持ちます。ネットワークにつながっているPCやスマホ、タブレット、サーバーなどのエンドポイントの不審な動きを素早く検知して、データの復元などの対応を行うセキュリティソフトウェアです。
ランサムウェアといったマルウェアやサイバー攻撃を検知するだけでなく、万が一攻撃を受けたときも被害を最小限に抑えるために、感染したエンドポイントの隔離やファイルの復旧などあらゆる支援を実行します。
マルウェアは日々進化しており、1日に200万種類もの新種が登場しているといわれています。従来のセキュリティ対策ソフトは、パターンマッチング方式を採用しており、データベース上に登録されている既知のマルウェアしか検知できません。そこで2013年に誕生したのがEDRです。
EDRは、マルウェアの種類が劇的に増加していることやサイバー攻撃が巧妙化していることなどから、すべてのマルウェアは防御できないという前提のもと開発されました。マルウェアを発見することよりも、不正にネットワークに侵入されてからできるだけ短期間で対処や被害の調査などを行うことに重きをおいています。
現在では、企業や組織を狙ったサイバー攻撃が多発するようになりました。被害はデータの流出にとどまらず、社内システムの使用不能による業務の遅延や停止にまで及び、企業は多大な損害をこうむります。EDRは、そのような被害を食い止める次世代のセキュリティソリューションなのです。
EDRの仕組み
新たな脅威や未知のウイルスを検知するEDRは、様々な機能を兼ね備えています。EDRの仕組みと機能を順に解説します。
1.常にエンドポイントを監視
EDRでは、専用のエージェントソフトウェアを使って常にエンドポイントを監視しています。その上で、エンドポイントから発生するすべてのアクティビティやイベントをログとして記録します。記録したログは膨大な量になりますが、管理サーバーなどに収集されるため、まとめて分析処理が可能です。
2.ログから不審な動きや感染を検知
EDRは、最新のサイバー脅威に関する情報をもとに、集められたログから不審な挙動やウイルス感染がないかを自動的に解析します。検知の機能には次のようなものがあります。
- エンドポイントのドメイン名やIPアドレスを既知のマルウェアと照合する
- エンドポイントの挙動をあらかじめ登録されたマルウェアの挙動と照合する
- 機械学習アルゴリズムによる検知
これらの機能を駆使して、EDRはマルウェアやサイバー攻撃、不正の疑いのあるエンドユーザーの挙動を見つけます。
3.ネットワークの管理者に通知
検知で不審な挙動やウイルスが確認されると、すぐにセキュリティ担当者や管理者にアラートなどで通知します。どのエンドポイントでトラブルが生じたのか、不審な挙動が検知されたのはどのネットワーク機器やファイル、アプリケーションなのかなどの詳細がわかります。
4.感染したエンドポイントをネットワークから隔離
EDRからウイルス感染や不正侵入のアラートが届いた後、被害が拡大しないよう、セキュリティ担当者は速やかにエンドポイントをネットワークから隔離します。EDR製品によっては、感染したエンドポイントのプログラムを強制的に停止したり、ファイルを削除したりといった対処を自動的に行うリモート機能を持つものもあります。
5.被害に遭った原因や影響の範囲を調べる
EDRは収集したログ情報から、サイバー攻撃やウイルス感染にあった原因や侵入経路を調査します。また、脅威の影響が及んでいる範囲の特定も可能です。
6.感染したエンドポイントの復旧を行う
EDRは、分析・調査結果をもとにエンドポイントやネットワークの復旧を迅速に実行します。感染した箇所のマルウェアの駆除や悪意のあるファイルの削除などを行い、脅威を取り除きます。さらにマルウェアによって破壊されたファイルやアプリケーション、データなどを復元します。
セキュリティ担当者は、見つかったぜい弱性のアップデートや修正を行い、再発防止に向けて脅威の検出ルールを更新するとよいでしょう。
EDRとアンチウイルスの違い
EDRはマルウェアに感染、サイバー攻撃を受けたときに迅速に察知して、エンドポイントやネットワークから脅威を排除し、正常に復旧する役割を持っていますが、アンチウイルスはそれらの攻撃や被害を防御するためのソフトウェアです。ウイルス感染から防御するための考え方もアンチウイルスと呼ぶことがあります。
EDRはマルウェアに感染してからの事後対策、アンチウイルスは感染する前の事前対策に重点を置いているところが大きく異なります。アンチウイルスの仕組みや次世代型のアンチウイルスについて詳しく解説します。
アンチウイルスの仕組み
アンチウイルスは、主にパターンマッチング方式を利用してウイルスを検知します。パターンマッチング方式とは、ウイルスが持つ特徴的なソースコードを、注意すべきパターン(シグネチャコード)としてデータベースに登録し、PC内のファイルと照合する手法です。ウイルスと同じパターンを持つファイルがあれば、不正ファイルとして検知されます。
ウイルスは次々と新しい種類が発見されるため、頻繁にデータベースの更新を行う必要があるとされています。こうすることで誤検知が起こりにくく、ほぼ確実にウイルスの侵入を防げるのです。
しかし、既知のウイルスしか検出できない点がデメリットといえます。データベース化されていない未知のウイルスに対しては、防御ができないのです。
EPPとは
EPPとは、Endpoint Protection Platformの略称で、エンドポイント保護プラットフォームとも呼ばれています。アンチウイルスソフトのひとつで、パターンマッチング方式に加え、振る舞い検知機能や機械学習機能などを兼ね備えた高度な製品も多くあります。
振る舞い検知とは、ファイルの置き換えや大量のダウンロード、外部との不自然な通信など、普段の振る舞いとは異なる動作があった場合に、マルウェアと判断して検知する方法です。パターンマッチング方式では、データベースをもとに検知を行うため、データベース上にないマルウェアは検知できません。その点、振る舞い検知なら、不審な振る舞いがあれば、過去に例がなくてもマルウェアとして検知するため、未知の脅威にも対応可能です。
中でも「次世代型アンチウイルス」NGAV(Next Generation Anti-Virus)は、より高度な検知精度を備えています。振る舞い検知の他、AI(人工知能)による機械学習やサンドボックスによるマルウェアの検知が可能です。AI・機械学習機能は、数十万種類のマルウェアから得たデータをもとに機械学習アルゴリズムでマルウェアかどうかを解析します。
またサンドボックスでは、クラウド上に作られた保護空間でマルウェアの検知を行います。社内ネットワークから隔離されたクラウドで解析するため安全で、業務に支障をきたすこともありません。ベンダーが提供する製品によって機能は異なりますが、EPPのライセンスでNGAVを利用できる場合もあります。
EPPやNGAVについて詳しい記事をご用意しております。ぜひご覧ください。
▼「EPP」と「EDR」の違いとは? エンドポイント対策の目的や機能について解説
▼NGAV(次世代型アンチウイルス)とは? 従来型対策やEPP・EDRとの違いも解説
EDRとアンチウイルスの比較一覧
EDRとアンチウイルスの違いは、次の通りです。
| EDR | アンチウイルス | |
| 目的 | マルウェアに感染した後に被害を最小限にとどめる | マルウェアの感染を防御する |
| 仕組み | エンドポイントのアクティビティを監視し、マルウェアの侵入を検知する。 マルウェア確認後は調査を行い、復旧に向けて対処する |
マルウェアのパターンを登録したデータベースと該当のファイルを照合して感染がないか確認する |
| メリット | 不審な挙動などからマルウェアを検出するため、未知のウイルスでも見つけやすい | 過去に被害に遭った事例のあるマルウェアはデータベースに記録されているため、ほぼ確実に検知可能 |
| デメリット | マルウェア感染を前提として、感染後の事後対策に重点を置いているため、サイバー攻撃は防げない | データベースに登録されていない未知のマルウェアは検知できず、防げない |
このように、EDRとアンチウイルスは目的や仕組みが異なっていることがわかります。
EDRとアンチウイルス対策はどちらも必要?
EDRとアンチウイルスは、それぞれ役割や特徴が異なり、お互いを補完しあえる性質を持っています。万全のセキュリティ対策を講じるなら、併用するとよいでしょう。従来のアンチウイルス対策では不安な場合は、NGAVの導入が望ましいといえます。
一般財団法人日本情報経済社会推進協会が発表した「企業IT利活用動向調査2023(※1)」の「セキュリティ製品の利用状況」によると、企業のセキュリティツールの導入率は従来型のマルウェア対策ソフトが53.8%、EDR・NGAVツールが29.6%です。マルウェア対策ソフトの比率の方が高いですが、EDR・NGAVツールは今後の導入を予定している企業が多い傾向にあります。
従来のアンチウイルスは、常にアップデートを実行していれば、すでに攻撃被害のあった種類のマルウェアなどを検知可能です。しかし、マルウェアは日々種類が増えてきており、アップデートを繰り返しても完全に感染を防ぐのは容易ではありません。既知のマルウェアでも検知できない可能性があるのです。一方で、振る舞い検知機能やAI・機械学習機能などを備えたEPPやNGAVは、既知・未知どちらのマルウェアも高い確率で見つけやすくなります。
しかし、マルウェアやサイバー攻撃の手口がより巧妙で高度なものになっていることから、最新のアンチウイルスでも感染を防ぎきれないのが現状です。例えばゼロデイ攻撃は、ネットワークやシステムなどのぜい弱性が発見されてから修正されるまでの短期間のうちに仕掛けられるため、防ぐのは非常に難しいといえます。
「マルウェアから完全に防御する」ということが難しくなってきている現在、活用したいのがEDRです。EDRは、マルウェアの感染やサイバー攻撃を受けることを前提にしているため、脅威を封じ込め、感染の原因や影響範囲の調査、復元までを迅速に実行します。
1台のエンドポイント端末がマルウェアに感染しただけでも、社内ネットワーク全体に被害が及ぶことがあります。リモートワークの増加で、社外にエンドポイントを持ち出す機会が多くなっている現在、エンドポイントセキュリティは重要な課題です。
最新のアンチウイルスとEDRを併用して対策を講じましょう。
※1 出典:JIPDEC/ITR「企業IT利活用動向調査2023」
EDR製品の選び方
EDRの市場規模は増加傾向にあり、需要が高まっています。そのため、多くのベンダーからEDR製品がリリースされており、それぞれに特徴が異なります。自社の業態や規模に合ったEDR製品を選ぶためのポイントをご紹介します。
利用目的
EDRを導入するにあたって、まず利用目的を明確にしておきましょう。自社が抱えるエンドポイントセキュリティの問題点を洗い出して、EDR製品に何を求めるかを決定します。EDR製品は主に次のようなタイプに分けられます。
- EDRに特化
- EDR+EPP
- EDR+EPP+端末管理
EDRに特化
EDRに特化したタイプは、マルウェア感染後の対策が課題となっている企業におすすめです。感染後、影響を最小限にとどめたり、短期間で復旧したりといった作業には、人的リソースや高度なスキルが必要です。EDRに特化した製品なら、これらの作業の負担が軽減されます。すでにEPPを導入しており、脅威からの防御対策は万全という企業にもコスト面で導入しやすいタイプといえるでしょう。
EDR+EPP
EDR+EPPタイプは、感染予防から事後の対策までを一貫して行える製品です。セットで提供されているため、初期・運用コストを抑えられます。従来型のアンチウイルスだけでは不安で、エンドポイントセキュリティを強化したい企業におすすめです。
EDR+EPP+端末管理
EDR+EPP+端末管理タイプは、EDRとEPPの機能に加えて、エンドポイント端末の管理ができる製品です。端末によってWEBサイトへのアクセスを制限する機能がついており、社内情報の漏えいを防ぎます。リモートワークを推進しているものの、個々の端末管理対策が必要な企業におすすめです。
検知方法
EDR製品はいずれも優れた検知能力を持っていますが、製品によっては検知精度に差異が生じます。どのような方法で検知するのか、精度はどれくらいなのかを比較検討するとよいでしょう。セキュリティ対策で実績のあるベンダーが提供する製品なら、収集データも多く、高い検知精度が期待できます。
導入形態
EDR製品の導入形態には、クラウド型とオンプレミス型の2種類があります。現在、他のITインフラと同様にEDR製品もクラウド型が主流になりつつあるようです。クラウド型は、初期・運用コストが大幅に抑えられ、導入もスピーディーに行えます。
一般的に、クラウド型のEDR製品は、エンドポイントに専用のエージェントソフトウェアを設置して、クラウド上の管理サーバーで一元管理が可能です。リモートワークや出張などで端末を社外に持ち出す際にも安全に管理ができます。
オンプレミス型のEDR製品は、社内に設置されたサーバーで管理します。オフライン環境で使用する機器が多い企業には、オンプレミス型がおすすめです。自社のITインフラの形態に合わせて選ぶとよいでしょう。
ネットワーク環境との適合性
導入するEDR製品と自社のネットワークとの適合性も重要なポイントです。EDRを導入することでトラフィックが増加して、すでに利用している他のソフトウェアやリソースに不具合が出ることもあります。アンチウイルス製品との連携がスムーズにできるかも併せて、事前に確認しておきたいポイントです。
さらに、エンドポイントと一口にいっても業種によって様々な種類があります。社内で使用している端末に対応しているEDR製品かの確認も不可欠です。
導入・運用コスト
EDR製品の導入・運用コストも重要なポイントです。製品によって料金プランや契約形態などが異なるため、複数のベンダーに見積もりを依頼して慎重に検討しましょう。また、EDRはマルウェア検知後の対応などの運用面でコストがかかる点にも注意が必要です。
その他、検知ルールの調整のしやすさや作業の自動化の可否なども管理コストに大きく関わってきます。
EDR導入時には支援サービス選びも大事
EDR導入にあたって、自社に合った製品が決定した後は、運用していく上で必要な外部の支援サービスの利用を検討しましょう。EDRは、マルウェア感染やサイバー攻撃を迅速に検知して、事後対応を的確に行うセキュリティソリューションですが、運用にはEDRやマルウェアに精通した人的リソースが不可欠です。
さらにEDRの性質上、何か不審な挙動があった際にはすぐに情報セキュリティの担当者らにアラートが届きます。中には、通常業務中のアクティビティでも脅威とみなされる誤検知も発生する可能性があるでしょう。大量のアラートが届いた際に、真の脅威なのか、どのように対応すべきなのかという判断は非常に難しいことです。そのため、社内に適切な人材がいない、運用体制が整っていないなどの課題が出てきます。しかし、これらの課題は、適切な支援サービスを受けることで解消・業務効率化することが可能です。
テクバンでは、EDR導入時やインシデント発生時にスピーディーに対応できる各種支援サービスを用意しています。以下で簡単に紹介します。
- VMware Carbon Black Cloud(EDR)導入支援サービス
VMware Carbon Black Cloud(EDR)導入支援サービスでは、EDRとNGAV機能を兼ね備えたクラウド型エンドポイントセキュリティの導入支援を行っています。既知の脅威に限らず、従来は検知できなかった未知の脅威にも迅速に対応できます。
さらに、エンドポイントやアプリケーションの管理をセキュアに実行できる「Workspace ONE」の導入にも対応しており、「VMware Carbon Black Cloud」との連携も可能です。両方のサービスを連携することで、より確かなエンドポイントセキュリティが実現します。
関連の事例や資料をご用意しております。ぜひご覧ください。
【事例】リモート環境整備のための、適切なセキュリティ運用を実現
増加する一方のデバイスを、 適切に少ない手間で管理する方法
- Sophos Intercept X Advanced
Sophos Intercept X Advancedは、高性能AI(予測型ディープラーニング)によるハイレベルなマルウェア検知とEDR機能を備えたソリューションサービスです。AIでマルウェアなどの検知から調査、クリーンアップまでを自動で行います。
MDR(Managed Detection and Response)サービスでは、豊富な経験とスキルを持つ専門家がトータルにサポートしており、企業の運用負荷の軽減につながります。 - CrowdStrike Falcon導入支援
CrowdStrike Falcon導入支援は、EDR機能やNGAV機能を持つエンドポイントセキュリティの導入支援サービスです。デバイス制御や脅威ハンティング、ぜい弱性管理、IT資産管理などすべての機能をクラウド上で管理しています。
さらに常に最新の脅威情報を自動的に更新。24時間365日の監視体制で専門チームがネットワークをモニタリングしており、状況に合わせて迅速に対応します。
EDRとアンチウイルスソフトを導入して万全のセキュリティ対策を
EDRとアンチウイルスは、それぞれ仕組みや役割が異なります。マルウェアやサイバー攻撃の脅威が続く現在、セキュリティ対策は万全にしておきたいものです。
マルウェアの侵入を未然に防ぐ次世代型アンチウイルスと侵入後の対応を行うEDRを併用して、セキュリティの効果を高めましょう。自社のネットワーク環境やニーズに合った製品選びも大切です。
