EDRとは？セキュリティ対策で注目される背景と選び方

EDRとは？仕組みと機能

EDRとはEndpoint Detection and Responseの略で、ネットワーク下にある各端末（パソコン、サーバ、タブレット端末、スマートフォンなど）の操作状況や通信内容を監視し、異常を検知するソリューションです。
EDRは、テレワークの普及などに伴い注目されている「エンドポイントセキュリティ」の一種です。ネットワークに接続されたさまざまな端末は、サイバー攻撃による侵入を100％は防げないという考え方を前提としたうえで、侵入後の脅威に対してセキュリティ対策を行います。不正アクセスされた場合やマルウェアに侵入された場合、可能な限り速やかに対応して被害を最小限に抑えることに主眼を置いています。

EDRの仕組み

エンドポイントの各端末や機器にエージェントと呼ばれる情報収集を行うソフトウェアを導入し、エンドポイントの使用状況や通信内容などのログを一定期間収集します。その後「不審な動き」「サイバー攻撃の可能性」等を分析、アラートをSOCが監視し、異常を発見次第すぐに利用者へ通知する仕組みとなっています。また、ソフトウェアにはログの情報をもとに被害の範囲や侵入経路を特定する機能も搭載していますので、被害を拡散させないための迅速なインシデント対応ができます。

EDRの基本的な機能

1.サイバー攻撃などによる不正な侵入を検知する

端末の不審な挙動や通信から、ウイルスなどが活動している兆候を検知します。

2.隔離

不審と思われるプログラムなどが見つかった場合、すみやかに管理コンソール上から遠隔で感染端末をネットワークから隔離することができ、ネットワーク上の他の端末への感染など被害拡大を防止します。

3.調査

端末のログ情報を常時収集しているため、その情報をもとに感染端末の侵入経路、被害状況（感染後の動作、範囲を含む）などを調査することができます。その結果を元にシステム上のどこで何が起こったか、それがどういった理由で発生したのかをひとつずつ切り分け、必要な対処や復旧までの手順を利用者に報告します。

EDRがセキュリティ対策で注目される背景

ここからはEDRが企業の情報セキュリティ対策で注目される背景についてご紹介します。

増加する不正アクセス行為

以下は、2023年の警察庁・総務省・経済産業省による「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」における、不正アクセスの認知件数データをグラフ化したものです。

2018年以前は1,000件台で推移していた件数が、2019年には2,960件と、前年の2倍に迫る勢いで増加しました。2020年の件数も前年からほぼ横ばいの状態です。しかし、2021年になると認知件数は1,000件台へと一気に減少しており、前年と比べて1,290件減少した結果となっています。
ただし、2022年には2,200件と684件（約45.1％）増加しました。このデータは不正アクセスと認知された案件のみの数であるため、この件数にカウントされていない脅威も含めると不正アクセス行為の数はさらに増えると予想されます。
社内のネットワークや端末に不正アクセスされると、個人情報や機密情報を抜き取られ、情報漏洩につながることがあります。不正アクセスの被害にあった企業は大きな損害を受けることもあるため、セキュリティ対策が重要です。
しかし、サイバー攻撃などの脅威は日々進化し続けており、不正アクセスを完全に防ぐことは難しいといわれています。そこで、万が一侵入された際の対策として、EDRが注目されているのです。

不正アクセスの巧妙化や新たな手口の増加

近年のサイバー攻撃は巧妙化しており、明確なターゲットを下調べしてから行う「標的型攻撃」、端末やデータに制限をかけ身代金を要求するマルウェアの「ランサムウェア」などが増えています。

未知のサイバー攻撃の増加にともなって、従来の不正アクセス対策だけでは攻撃を検知できず未然に防ぐことが困難になりました。これまでのサイバー攻撃では、大企業が標的となる傾向が強かったものの、近年では中小企業を標的とするケースが多く見られます。このような未知の脅威に万が一侵入された際、いち早く対応するため、EDRが注目されているのです。

リモートワークの増加によるエンドポイント管理の煩雑化

テレワークなどのリモートワークが普及し、社内で管理されていない端末を利用して業務が行われるようになりました。リモートワークが増加した結果、セキュリティ管理も煩雑になってしまっているという課題を抱えている企業は多いです。
従来は各企業のネットワーク単位で行っていたセキュリティ対策ですが、利用するすべての機器や端末のセキュリティも強化する必要が出てきたといえるでしょう。

上記の背景から、徹底的なセキュリティ対策が重要となってきており、EDRは注目度が高まっています。

EDRとEPPとの違いは何？

EDRに似た名称のセキュリティ対策に「EPP」があります。また、EDR と同じくエンドポイントに対するセキュリティソリューションであるNGAVもあります。
ここでは、EDRとEPPの違いやNGAVについても見ていきましょう。

EPPとは

EPPとは「Endpoint Protection Platform」を略した呼び名で、ネットワーク下の各端末のマルウェア感染防止を目的としたセキュリティツールを総称するものです。古くから存在するウイルス対策ソフトも、EPPの1つと考えてよいでしょう。

EPPとEDRによる対策が必要

EPPはマルウェアなどの感染を未然に防ぐためのものです。一方EDRはマルウェアに感染してしまった後の被害を最小限に抑えるためのセキュリティ対策です。
一般的なEPPのセキュリティシステムは、各マルウェアの攻撃パターンを登録することでマルウェアを検知します。
しかし、新たなマルウェアを登録し続けながらアップデートされてはいるものの、現時点で登録されていない攻撃パターン（未知の脅威）への対処はできません。
そのため、EPPを活用して大部分のウイルスの侵入を防ぎ、万が一侵入された場合はEDRで検知して対応するといった利用が推奨されています。

仮にEPPを導入せずEDRだけを導入した場合についてですが、EDRはあくまで検知と分析が主な機能になり、基本的に侵入のブロックや駆除を行うことはできません。セキュリティ対策を行うのであれば別途それらに対応する仕組みが必要になります。

NGAVとは

NGAVとは、AI・機械学習や振る舞い検知といった機能が組み込まれているウイルス対策ソフトのことで「次世代アンチウイルス」とも呼ばれています。近年、巧妙化・複雑化した未知のマルウェアが急増しており、これらの攻撃に対抗するため新技術が組み込まれたNGAVが誕生しました。NGAVでは従来型のアンチウイルスでは対処できなかった未知のマルウェアまで検出可能となっており、さまざまな企業による導入が進んでいる状況です。
EDRはウイルスが侵入した後の事後対策を行うのに対し、NGAVはエンドポイントにウイルスが侵入する前の事前防御を行うのが特徴です。近年のEDR製品は、NGAVの機能を持つものも増えてきています。EDRとNGAVを組み合わせることで、ウイルスが侵入する前と後の対策を行うことが可能です。

EDRの選び方

数あるEDRが提供されている中で、自社に最適な製品を導入することで最大限の効果を発揮することができます。ここでは、EDRを選ぶ際に見るべきポイントを解説します。

検知精度

1つ目のポイントは検知精度です。サイバー攻撃を正確に検出・封じ込めを行うためには、高い精度を持ったEDRであることが不可欠です。マルウェアをはじめとしたあらゆる脅威は日々進化しています。未知の脅威に確実な対応が可能かどうか、また高い検知能力を有しているかどうかを事前に確かめ、選定のポイントとしましょう。

分析・調査機能

2つ目のポイントは分析・調査機能です。検知能力と並んで重要視する必要があるのが、インシデントが発生した場合の原因究明や被害状況に関する調査や分析の機能です。再発防止の観点からも、調査や分析を自動かつ効率的に行えるソリューションを選定することが重要です。

環境負荷

3つ目のポイントは環境負荷です。優れたEDRを導入しても、ソリューション自体が自社のネットワークに大きな負荷をかけてしまう可能性があり、通常の業務に支障をきたすとデメリットになり得ます。機能性や利便性に優れたEDRをただ導入すれば良いというわけではなく、既存環境への影響を踏まえて導入を検討しましょう。
特に、各端末のメモリやCPUの動作に影響しないかどうかは慎重に確かめる必要があります。

管理サーバの確認

4つ目のポイントは管理サーバの確認です。EDRにはログを監視するための管理サーバが必要です。管理サーバは、自社でサーバを構築する「オンプレミス型」と、クラウド上に提供される「クラウド型」があります。それぞれメリット・デメリットがありますが、導入コストや運用の負担が少ないクラウド型がおすすめです。

他のセキュリティサービスとの連携

5つ目のポイントは他のセキュリティサービスとの連携が可能かということになります。より強固なセキュリティ体制を整えるには、EDR単体ではなく全体的な領域に対応できるように他のセキュリティサービスと連携できる製品を選ぶのがおすすめです。その際は、動作性や安定性、スムーズに連携できるかどうかを検討して組み合わせると良いでしょう。

EDR運用のポイント

EDRの導入・運用にはEDRに関する専門知識や技術が必要となる場合が多く、企業によってはEDRに関する知識を持つ人材がいない、十分な運用体制が整っていない、などの理由でEDRを導入していても適切に運用できていないケースが多いようです。これらの課題を解決するために、運用や管理をアウトソーシングすることも一つの方法です。ALSOKでは、あらゆるサイバー攻撃に対応できる万全なセキュリティサービスをご提供しています。

EDRを導入・運用する際は上記の注意点や運用ポイントを踏まえて検討し、自身で導入などが困難な場合は、専門家に相談すると良いでしょう。

ALSOK EDRサービス

ALSOKでは、AIによって脅威を検知し、復旧までを自動で行うEDRサービスを提供することにより、上記の課題を解決いたします。
また、従来のEDRには無い、マルウェア等に感染したり暗号化されてしまったファイルのロールバック機能を持ち、ランサムウェアの対策に強い製品です。30日の無料トライアルもお気軽にお申込みください。

まとめ