EDRとは？重要視される理由や主な機能、EDRの選定ポイントを解説

サイバー攻撃は年々巧妙になり、業務環境のセキュリティ対策にはさまざまな工夫が必要になりました。マルウェアの感染を未然に防ぐだけではなく、感染後の対策も万全に行わなければなりません。そこで注目されているのがEDRです。本記事では、EDRの概要をおさらいしながら、EPPとの違いやEDRの機能、EDRを選ぶ際のポイントなどについて解説します。

EDRとは

EDRは「Endpoint Detection and Response」の略称で、エンドポイントセキュリティの仕組みのひとつです。
ネットワークに接続されるPCやスマホをはじめ、サーバなどのエンドポイントとなるデバイスを監視するセキュリティ対策になります。サイバー攻撃に備えたセキュリティ対策を突破され、エンドポイントにマルウェアが感染した場合を想定した対策です。
ネットワークに接続されているエンドポイントのログを収集して調査することで、攻撃を受けたエンドポイントを特定したり、ネットワークから切り離したりして対処します。エンドポイントの不審な挙動を検知することで、被害の拡大を防ぐことが可能です。
また、マルウェア感染が確認されたPCなどのエンドポイントは隔離して管理し、収集した情報を調査し、ネットワーク上のその他のデバイスへの被害状況を確認します。

EDRとEPPとの違い

EDRが登場する以前は、EPP（Endpoint Protection Platform）が代表的なセキュリティ対策でした。これは、主に、マルウェアの侵入などを事前に防御する方法です。
しかし、境界線での水際対策だけではサイバー攻撃を防ぐことが難しくなっています。そこで登場したのが、マルウェアが侵入してしまった後の対策を行うEDRです。
EDRとEPPの違いは以下のように表すことができます。

EDR：攻撃を受けた後の対応……マルウェア感染後の被害拡大を抑えることが目的
EPP：攻撃を受ける前の備え……マルウェア感染を事前に防ぐことが目的

近年では、これらを組み合わせて多層防御をするのが有効な手段となっています。

EDRセキュリティが重視される理由とは

セキュリティの考え方が変わりテレワークの普及が進む中、EDRセキュリティが重視されています。その理由は、サイバー攻撃の脅威が進化し、従来のウイルス対策ソフトだけでは不十分になってきたためです。
AIやテクノロジーの発展により、マルウェア攻撃は高度化し、未知の脅威を生み出すようになりました。さらに、リモートワークの増加はこれまでのネットワークの利用方法を変え、社内外の境界型防御だけではリスクに対応できなくなっています。
このような背景から、侵入された後の被害を最小限に抑えるEDRの役割が注目されるようになりました。EDRはマルウェアがエンドポイントに侵入した後の対応ができるため、巧妙化・複雑化するサイバー脅威への対策として重要な役割を果たしています。

EDRの機能

EDRには、大きく3つの機能が備わっています。ここでは、「検知機能」「記録機能」「調査機能」に分けて、それぞれをみていきましょう。

検知機能

EDRは、ネットワークに接続されている全てのエンドポイントをリアルタイムに監視し、マルウェアによる不審な挙動を検知できます。また、従来型のマルウェアはもちろんのこと、未知のマルウェアまで検知可能です。
企業が直面するサイバー攻撃の複雑化に対し、EDRの検知機能は、従来のセキュリティ対策では見逃されがちな脅威を発見し、対処することができます。

記録機能

EDRの記録機能は、エンドポイント上で発生するあらゆるイベントを詳細に記録し、長期間にわたって取得します。この機能は、エンドポイントにおける以下のような挙動をログとして記録します。

• ファイルの作成や削除
• ディスク上での読み書き操作
• プロセスの実行や停止
• サービスの管理
• ネットワークを介したアクティビティ
• レジストリの変更
• ユーザのログオン・ログオフ情報
• コマンドプロンプトなどの実行内容

エンドポイント上で行われるあらゆる活動の記録が可能です。これにより、サイバー攻撃や不審な挙動が発生した際に、その原因を迅速かつ正確に突き止め、適切な対策を講じることができます。

調査機能

EDRにおける調査機能は、どのデバイスがマルウェアに感染したのか、ネットワーク上の他のデバイスが感染していないかなどの被害状況を調査・分析します。調査対象のイベントデータが長期間にわたって保持されるため、過去に発生したインシデントの詳細な分析も可能です。
これにより、過去の攻撃パターンが把握でき、将来的な脅威に備えることができます。

EDRを選ぶ際のポイント

EDRはさまざまなベンダーが製品を提供しています。ここではEDR選定のポイントをみていきましょう。

十分な検知能力

EDRは、未知のマルウェアにも対応し、検知できるかどうかが大きなポイントです。従来のセキュリティソフトでは検知が難しいものについても検知できるかどうかをチェックしましょう。
また、同じネットワークに接続されているそれぞれのエンドポイント上で発生するインシデントを相互に関連付けて、全体像を把握できることも評価のポイントとなります。
これにより、企業全体をターゲットとした攻撃でも効果的に特定して対処することが可能になります。

十分な調査機能

脅威が発生した際には、その原因究明、感染経路の追跡、及び影響範囲の特定が欠かせません。これら調査作業を自動化し、効率化する機能を持っているかどうかも選定ポイントのひとつです。
たとえば、テレワーク環境において、遠隔地から感染端末の管理が行えることが挙げられます。疑わしいファイルの隔離を行ったり、ログデータの収集などを迅速かつ正確に実施できたりすることなどが、選定において考慮すべき重要な要素です。

管理サーバの管理や運用方法

EDRサービスを選ぶ際には、自社のセキュリティポリシー、管理能力、予算などを総合的に考慮し、最適な管理サーバの運用方法を選択することが重要です。
管理サーバには、主にオンプレミス型とクラウド型の二つの選択肢があります。オンプレミス型では、ログデータの完全な内部管理が可能です。しかし、導入や維持のためのコストと労力がかかります。一方、クラウド型は、運用の手間やコストを削減できるため、特に自社のリソースや専門知識が限られている場合に適しています。

他のセキュリティとの組み合わせが可能か

他のセキュリティツールやソリューションとの組み合わせが可能か否かも、選定ポイントのひとつに挙げられます。
リモートワークの増加に伴い、社外で働く従業員のセキュリティ確保が重要になりました。そのため、EDRだけではなく従来から利用されているセキュリティソフトなどとの統合管理が必要です。既存のセキュリティ対策との互換性や、組み合わせによるシステム全体のパフォーマンスへの影響も検討しなければなりません。
たとえば、すでに導入しているEPPと組み合わせて使えるのかといった部分は、EDR選定の重要なポイントです。

対応OSなどのシステム環境

自社が利用しているPCやスマホなどのエンドポイントのOSやシステム環境に適用できるかどうかも重要です。製品によって対応している環境は異なるため、動作環境を事前にチェックしておきましょう。

EDR導入は第一歩、総合的なリスク把握が重要

セキュリティ対策にはさまざまな手段が用意されています。EDRを導入することも、サイバー攻撃に対して有効なセキュリティ対策のひとつであり、第一歩です。
ただし、セキュリティ対策の方法を検討する際、最初に行うべきは自社の現状を知り、サイバー攻撃に対する弱点を把握することです。自社の脆弱性を明確化することで、どのようなセキュリティ対策が最も有効であるのかを判断できます。しかし、自社環境の評価は難しいため、専門の事業者にセキュリティリスクを調査してもらうのがおすすめです。
具体的な調査については、たとえば、自社のセキュリティの現状やリスクレベル診断、将来を考慮したセキュリティ対策の方法などが挙げられます。専門事業者が提供するサービスを利用して、総合的なリスク把握を行うとよいでしょう。
セキュリティリスクの総合分析などについては、「セキュリティリスク総合分析サービス」をあわせてご覧ください。

EDRで強固な防御を導入したら、さらに総合的なセキュリティの強化を進めよう！

EDRはマルウェア感染後の被害拡大を防ぎ、詳細な調査を通じて対処ができるエンドポイントセキュリティです。サイバー攻撃の巧妙化やテレワークの普及を背景に、その重要性は高まっています。まずは、EDRの機能や選定のポイントを把握して、自社への導入を検討してみましょう。
また、セキュリティ対策を検討する際には、総合的なセキュリティを強化するためにも、自社の現状を把握することが重要です。「自社のセキュリティリスクのレベル診断」や「EDRの導入」をご検討の方は、こちらよりご相談ください。