EDRとNDRの違いとは？ 機能や必要とされる理由、XDRについて詳しく解説

巧妙化するサイバー攻撃を100％防ぐことは難しく、脅威が侵入した後の対策に力点を置くソリューションが注目され、「EDR」の製品が広まっています。
また、同様の事後対応ソリューションとして、近年は「NDR」も登場し、その製品も提供され始めました。
そこで本記事では、EDRとNDRの違いや、それぞれの具体的な機能や必要性を詳しく解説します。

EDRとNDRは、双方とも脅威の侵入後に対処するサイバーセキュリティソリューションです。しかし、監視対象とアプローチが異なります。この違いを確認する前に、まずは双方の基本知識から確認しましょう。

EDR（Endpoint Detection and Response）とは、マルウェアなどのサイバー攻撃を受けた後の対処を行うセキュリティソリューションです。
例えば、EDR製品ではPCに侵入したマルウェアをリアルタイムで検知し、管理者に通知します。管理画面に攻撃の全体像や被害範囲が表示され、管理者はインシデントの把握や感染端末のネットワーク隔離が可能です。こうした応急措置や復旧を素早く実施するため、様々な企業にEDR製品が導入されています。

EDRの主な機能では、エンドポイントの監視とログの収集を行います。エンドポイントとは、企業や組織のネットワークの末端に接続するPCやスマホ、サーバーなどを指します。
各エンドポイントにインストールされたエージェントソフトがログを収集し、ログをクラウドサーバーに送信します。クラウドサーバー上でログを解析し、不審なイベントがあれば管理者に通知する仕組みです。
通知を受けた管理者は、エンドポイントの隔離などの対処を実行します。離れた拠点にある端末でも、EDRによる遠隔操作で対処できるため、スムーズなインシデント対応が可能です。EDRの管理画面には侵入経路や被害状況といった復旧に必要な情報が表示されています。

EDRの概要や製品について詳しく解説した記事をご用意しております。ぜひご参考になさってください。
▼EDR製品でどのようなセキュリティを実現できる？ 概要や仕組み、具体的な製品を紹介

NDR（Network Detection and Response）とは、ネットワークに不正侵入した脅威の迅速な検知と対処を支援するセキュリティソリューションです。
例えば、「マルウェアによる外部への通信」「重要ファイルへのアクセス」「ランサムウェアの暗号化による膨大な通信量」といった異常な通信を検知します。
NDRはEDRと同様に、脅威の侵入を事前に防ぐわけではなく、脅威による被害拡大を抑えるために導入されます。

NDRの主な機能は、企業のネットワークに流れるトラフィックの常時監視とログ収集です。AI（人工知能）がすべてのログを解析し、異常なトラフィックを検知します。
異常発見後は直ちにアラート通知し、ネットワークの状況をリアルタイムに可視化して管理者による対応をサポートします。
また、NDRはネットワーク機器のポートと接続してトラフィックを監視するため、エージェントソフトは必要ありません。ネットワーク機器上でNDRのシステムが稼働しないことから、ネットワーク全体への負荷がかかりにくいといえます。

以下の一覧表に、EDRとNDRの違いをまとめました。

EDRとNDRの役割は共通しており、どちらも脅威侵入後の事後対策を担っています。サイバー攻撃の被害を最小限に抑えるため、企業のスピーディな対応を支援する機能が備わっています。

一方、EDRとNDRの異なる点は、監視対象です。EDRはPCやサーバーなどのエンドポイントを、NDRはネットワークの通信を監視しています。
つまり、エンドポイントに侵入した脅威はEDRが発見し、EDRをすり抜けた脅威はNDRがネットワーク上で検知します。
さらに、導入手段も異なり、EDRは各エンドポイントにエージェントソフトを導入します。NDRはネットワーク機器と接続するため、エージェントソフトが不要です。

EDRとNDRに近いソリューションとして、XDR（Extended Detection and Response）があります。
このXDRは、エンドポイント・ネットワーク・クラウド・メールなど、様々な領域を包括的に監視するセキュリティシステムです。複数の拠点から得たデータを分析し、脅威に関連するログを紐づけることで、一元的にインシデントへ対応できます。
そして、厳密な定義はないものの、多くの場合でXDRはEDRとNDRの機能を兼ね備えているのです。EDRとNDRを個別に導入する必要がないため、XDRによって効率的な管理・運用を実現しやすくなるでしょう。

XDRについて詳しい記事もご用意しております。ぜひお役立てください。
▼XDRとEDRの違いとは？ EPPはセキュリティ対策にならない？ 情報を脅威から守ろう

現在のIT環境下では、EDRやNDRの必要性が高まっていることを認識されている方も多いでしょう。その理由として、次の6つが挙げられます。

1. マルウェアの侵入を防ぎきれない
2. 標的型攻撃が増えている
3. VPN経由の不正侵入が多くなった
4. EDRを導入できない端末がある
5. サプライチェーン攻撃が多発している
6. ランサムウェアの手口が変化した

脅威の危険性を正しく理解するため、それぞれ詳しく説明します。

近年のセキュリティ対策は、脅威の侵入を前提とした考え方に変化しています。サイバー攻撃の技術力が高度化し、完全な防御が難しくなったためです。
例えば、多くのマルウェアはファイルを持ち、これを検知することでマルウェアを防御しますが、ファイルのない「ファイルレスマルウェア」は従来のアンチウイルスで検知できません。
脅威の事前対策だけでなく、EDRやNDRによる事後対策の重要性が増しています。

ファイルレス攻撃について詳しい記事もご用意しております。ぜひご確認ください。
▼痕跡を残さないファイルレスマルウェア！ 攻撃への対策方法とは

すべてのマルウェア侵入を防ぐのは難しい上、標的型攻撃の被害が相次いでいます。
標的型攻撃とは、無差別にマルウェアをばら撒くのではなく、特定の企業をターゲットにする攻撃です。関係者に偽装したメールにマルウェアを添付する手法が多く、標的のセキュリティシステムの脆弱性を調べて独自のマルウェアを用意する場合もあります。
マルウェアに感染すると情報漏えいなどの被害に発展する恐れがあるため、即座に脅威を検知するEDRやNDRが必要です。

標的型攻撃の一種であるEmotetについて解説した記事をご用意しております。ぜひご確認ください。
▼Emotet（エモテット）の特徴と感染時の対策を解説

攻撃者がネットワークへ侵入する手段として、VPN経由の侵入が多発しています。
警察庁の資料「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」によれば、令和5年度上半期に発生したランサムウェア被害のうち、VPN機器から侵入された企業は71％を占めました。攻撃者はVPNのアカウント情報を盗んだり、脆弱性を悪用したりしてVPNから侵入すれば、ネットワーク内部で自由に活動できるのです。
これをNDRで監視することで、ネットワーク上の異常な活動の早期発見につなげます。

ランサムウェアの被害事例についてまとめた記事をご用意しております。ご確認の上、対策を進めてはいかがでしょうか。
▼【国内外のランサムウェア被害事例】種類や対策を徹底解説

EDRを利用する際は、エンドポイントへのエージェントソフトの導入が必要です。
一方で、企業のエンドポイントには、スマホやタブレット、IoT（モノのインターネット）といった様々な機器があります。EDR製品やエンドポイントの種類によっては、エージェントソフトを導入できない可能性があります。
NDRを導入すればネットワーク全体を監視できるため、EDR未導入のエンドポイントをすり抜けた脅威の検知が可能です。

サプライチェーン攻撃とは、大企業と供給網でつながる関連会社を狙う攻撃です。
攻撃者は、まず関連会社の脆弱なシステムにアクセスし、さらに関連会社と大企業をつなぐネットワークへ侵入し、大企業のシステムやデータを狙います。
サプライチェーン攻撃を防ぐには、関連会社へのEDR導入と、侵入した脅威の迅速な発見が重要です。また、NDRを導入していれば、関連会社と大企業をつなぐネットワークの異常も検知できるでしょう。

ランサムウェアとは、企業の重要なファイルを勝手に暗号化し、ファイルを元に戻す代わりに金銭を要求するマルウェアです。従来のマルウェアはエンドポイントに感染すると、すぐに攻撃を開始していました。
しかし、昨今のランサムウェアは手口が巧妙化し、エンドポイントへの侵入後はまず潜伏します。エンドポイントからネットワーク深部へと密かに進み、企業のより重要な情報を探るようになったのです。
企業が受ける被害が甚大化する恐れがあるため、EDRやNDRによる事後対策が不可欠といえます。

EDRとNDRは、それぞれ監視対象が異なります。どちらか片方だけを利用する場合、エンドポイントまたはネットワークしか監視できません。併用することで脅威を検知する範囲が広くなり、多くのサイバー攻撃を防御できるでしょう。
さらに、EDRとNDRはどちらも「フォレンジック機能」があります。フォレンジックとは、サイバー攻撃を受けた際の原因調査や解析を行う機能です。エンドポイントとネットワークの双方を調査することで、より効果的な再発防止策を立てられます。

EDRやNDRを導入する際は、「脅威の検知方法」「NDRの対応プロトコル」「導入・運用コスト」「運用方法」「サポート体制」などのポイントに注目してみてください。
例えば、情報システム部門がない企業であれば、サポート体制が重要になります。運用サポートが充実している製品、あるいは運用を一任できる製品を選ぶと良いでしょう。

EDRとNDRを運用する場合、脅威を検知した後の対応は自社の管理者が行います。ある程度自動で対応する製品もありますが、完全なる自動化は難しいでしょう。
そのため、EDRやNDRを運用する際は、検知した異常の内容を正しく理解し、適切に対処できる担当者が不可欠です。
また、インシデントの再発防止策を講じるための知識も求められます。

「情報システム部門がない」といった自社による運用が難しい企業は、「MDRサービス」があるEDRやNDR製品がおすすめです。
MDR（Managed Detection and Response）とは、EDRやNDRなどの製品を使った脅威検知や、検知後の対応を代行するサービスです。MDRサービスを利用すれば、専任のセキュリティ担当者がいない企業でもEDRやNDRを運用できます。セキュリティのプロが脅威に対応するため、誤った対応による被害拡大といった心配もありません。

EDR製品「CrowdStrike Falcon」には、MDRサービスがあります。セキュリティ対策の専門家集団「Falcon completeチーム」が、ユーザー企業と連携してEDR運用を代行します。
インシデントの対応方針を決めたプレイブックに沿って対処するため、発見した脅威の即時対応が可能です。

関連記事もご用意しております。ぜひご確認ください。
▼「CrowdStrike Falcon」とは？ 価格や導入の検討前に知っておきたい機能をご紹介

CrowdStrike FalconはEDR製品ですが、NGAV機能も搭載されています。NGAV（Next Generation Anti-Virus）とは「次世代アンチウイルス」とも訳され、プログラムの挙動からマルウェアであるかを検査し、未知と既知のマルウェアを検知・ブロックする技術です。
CrowdStrike Falconを導入すれば、脅威の侵入前と侵入後の対策をひとつのプラットフォームで行えます。

NGAVについてさらに詳しく解説した記事もご用意しております。
▼NGAV（次世代型アンチウイルス）とは？ 従来型対策やEPP・EDRとの違いも解説

EDRにはモバイルデバイス未対応の製品もある中、CrowdStrike Falconはモバイルデバイスもまとめて保護できます。AndroidとiOS端末に対応しているため、ほとんどのスマホやタブレットにEDRの導入が可能です。
また、モバイルデバイスも含め、すべてのエンドポイントは「Falconプラットフォーム」でまとめて管理します。モバイル管理のために追加のプラットフォームを導入する必要がないため、効率的に運用できます。

CrowdStrike Falconが提供する脅威ハンティングサービス「Falcon OverWatch」は、エキスパートによる能動的な脅威検知を行います。
高度なIT技能を持つ専門チームが24時間365日監視し、エンドポイントを通過してネットワーク内に潜んでいる脅威をあぶり出します。脅威がネットワーク内を横移動する前に駆除することで、ネットワーク深部にある重要データの流出や改ざんの防止が可能です。

CrowdStrike Falconは、シングルエージェントで提供されます。EDRやNGAV、モバイルデバイス管理といった機能ごとのエージェントソフトは不要です。
各エンドポイントにはひとつのエージェントソフトのみ稼働し、PCの処理能力を圧迫しません。管理側もひとつのプラットフォームを使用するので、セキュリティシステムの運用負荷を軽くできるでしょう。
さらに、CrowdStrike Falconは検出した異常を自動で優先順位を付けるため、管理者は緊急度が高いイベントから効率的に対応可能です。
テクバンのCrowdStrike Falcon導入支援サービスとは？

EDRはエンドポイントを、NDRはネットワークを監視して脅威を検知するシステムです。役割が違うため、EDRとNDRは組み合わせて利用すると良いでしょう。ただし、EDRやNDRは数多くの製品があり、企業によって適した製品は異なる点に注意が必要です。

テクバンは、お客様のセキュリティ製品の導入支援を行っています。お客様の利用状況や既存システムを分析し、プロの視点で組織にマッチした製品を提案。導入から運用中も丁寧にサポートいたします。セキュリティ対策の強化を検討しているお客様は、ぜひお気軽にご相談ください。
テクバンに相談をする