日々進化するサイバー攻撃は、情報漏洩やマルウェア・ランサムウェア感染といった事態を引き起こし、企業の信頼に悪影響を与えます。手口も巧妙化しており、昔のように端末へのマルウェア侵入を防ぐセキュリティソフトウェアだけではサイバー攻撃への対応が難しくなっています。クラウド化が進み、外部からのネットワーク接続が普及しつつあるところでパンデミックが起き、テレワークが加速化された中で、セキュリティ対策も同様に急速なアップデートが必須となりました。マルウェアやランサムウェアの不審な挙動を検知し、サイバー攻撃から端末を守るために開発されたセキュリティ製品がEDRです。
この記事ではEDRの仕組みやMDR・NDRとの違い、主要な機能、注目される理由に加えて、自社に適したEDRの選び方について解説します。
1. EDR(エンドポイント・ディテクション&レスポンス)とは?
EDRとは、「Endpoint Detection and Response(エンドポイント・ディテクション&レスポンス)」の略であり、エンドポイントセキュリティ製品の1つです。
【エンドポイントとは】
意味:末端・終点
セキュリティ用語で使用される場合には、ネットワーク上で末端に当たる機器を指す。主に、パソコンやタブレット、スマートフォンなどがエンドポイント端末に該当する。
EDRは企業や組織のネットワークに接続されたエンドポイントを監視し、マルウェアやランサムウェアの侵入など、サイバー攻撃の検出と通知、初動対処を行います。
1-1. EDRの仕組み
EDRは、エンドポイントとなる端末に専用のソフトウェアやセンサーを導入することで、機能するプログラムです。エンドポイントにマルウェアやランサムウェアなどが侵入して攻撃を開始すると、通常のプログラムとは異なる挙動が発生するケースが少なくありません。
EDRシステムは監視中のエンドポイントで発生した異常信号や不審な動作を検出し、管理者へ通知する仕組みです。現在進行形の異常はもちろん、保存された過去ログからも不審な挙動の痕跡を察知すれば通知します。
セキュリティ担当者がEDRから受けた通知をもとに、エンドポイントで検出された脅威の精査・分析を行うことで、迅速かつ適切な対応が可能です。
1-2. EDR・MDR・NDRの違い
EDRと似たセキュリティ対策製品に、MDRとNDR、EPPがあります。それぞれの概要や特徴は下記の通りです。
| MDR(Managed Detection and Response) |
|---|
| MDRは、EDRなどを利用したセキュリティ対策の一部または全部を、外部の専門家に依頼する方法です。自社内に専門的なスキルを持った人材がいない場合でもEDRを活用でき、高いセキュリティレベルを維持できます。 |
| NDR(Network Detection and Response) |
|---|
| NDRは、ネットワーク上の挙動やログを監視し、サイバー攻撃の発生をリアルタイムで感知するシステムです。ネットワーク上を移動する不審なプログラムの検知力が高く、ログが改ざん・削除されたり、心臓部や別のエンドポイントに辿り着かれたりする前に阻止できます。 |
| EPP(Endpoint Protection Platform) |
|---|
| EPPは、マルウェアの侵入・感染防止に特化したシステムです。システム内に侵入しようとしたマルウェアの駆除、および有害なプログラム実行の阻止を行います。 |
EPPがエンドポイントの入り口でマルウェアからガードする役割、EDRはEPPが阻止できなかったマルウェアをエンドポイントで検出、感染の拡大を食い止める役割です。NDRは、EDRを突破したマルウェアをネットワーク上で検出・阻止する役割だと考えればよいでしょう。MDRは、EDR・NDR・EPPなどの委託運用サービスを指します。
2. EDRの主要機能
EDRには多数の機能が搭載されています。EDR製品によっても多少の差はあるものの、下記の4つはほとんどのEDRに共通する機能です。
| 監視機能 |
|---|
| 監視機能はEDRの基本です。対象となるエンドポイントに導入されたセンサーがクラウド上の管理サーバーと通信し、端末の状況をリアルタイムで監視します。例えば、デバイス内のファイル操作やレジストリの変更、ネットワークの変更ログなどが監視対象です。 |
| 分析機能 |
|---|
| マルウェアが侵入したエンドポイントや侵入経路を特定し、攻撃手段や被害状況を可視化して通知するのが分析機能です。監視機能によりエンドポイント内から脅威が検出されると、分析機能によりクラウド上のシステムによる解析や、データベースとの照会が行われます。システム管理者の現状把握を助けます。 |
| 疑わしいアクティビティの検証機能 |
|---|
| EDRには、明確なマルウェアの種類を特定していない・未知のマルウェアの侵入を受けた場合にも、検知された不審な挙動を検証する機能が備わっています。アクティビティの疑いが晴れるまで、該当するアプリケーションを停止したり脅威と共通点のあるプロセスを自動停止したりといった対応が一般的です。ネットワーク切断の自動化が可能な製品もあります。 |
| 悪意のあるアクティビティの予防機能 |
|---|
| エンドポイントにインストールされているOSやアプリケーションの情報を把握し、バージョンやパッチの更新がないかを照会します。各プログラムの最新版への更新を自動的・強制的に実行することにより、悪意あるアクティビティ実行を予防できます。 |
3. EDRが注目される3つの理由
サイバー攻撃の脅威が広く知られるようになった近年では、ウイルス対策ソフトウェアをはじめとしたEPP未導入のエンドポイントは少なくなりました。しかし、EDRへの注目度は高まっています。
EDRが注目される主な理由は、下記の3つです。
・日々高度化するサイバー攻撃を防御するため
・モバイル端末の普及により多様化したウイルスの感染経路に対抗するため
・テレワークなど働き方の多様化による不正アクセスを防ぐため
攻撃者側の取る手段は進化を続けており、ステルス性の高いサイバー攻撃にさらされる頻度や、未知のマルウェア・ウイルス感染の危険性も増えています。モバイル端末の普及により、これまでとは異なる経路で侵入される事例も増えてきました。
また、働き方の多様化によりネットワークとの接続ポイントが増大したことも、EDRの重要性が高まっている理由の1つです。
従来のようにオフィス勤務であれば、限られた範囲のセキュリティを強化すればサイバーリスク対応として十分な効果が期待できました。しかしテレワークの普及により、社外のネットワークと社内のネットワークの接続が必要になりました。社外と社内でネットワークを厳密に分けて管理できなくなった以上、もはやEPPの機能だけではすべての脅威を回避するのは困難です。
そのため、サイバー攻撃からの全面回避ではなく、マルウェアなどに侵入されることを前提とした対策が必要とされています。EDRは、ネットワークへの侵入を許してしまった場合に、被害を未然に防ぐ、あるいは最小限に抑えるのに欠かせないシステムと言えるでしょう。
4. 企業に適したEDRの選び方
さまざまな種類のEDR製品が、多くの企業から販売されています。EDRの基本的なシステムは同じですが、搭載されている機能には差があるため、慎重に検討しなければなりません。
企業に導入するEDRを選ぶ際は、下記の選定ポイントを比較するとよいでしょう。
・検知方法・分析精度・調査能力
・管理サーバー・システム環境
・導入・管理コスト
EDRは、製品ごとに備わっている検知方法・分析精度・調査能力が異なります。例えば、検知方法には端末へのインストール作業が必要なエージェント型と、インストール不要なエージェントレス型があります。エージェント型はインストール作業が必要な一方、より広い範囲で分析ができる点、エージェントレス型は範囲が限定される代わりに導入負荷が軽い点が特徴です。
また、管理のために自社サーバーを置く必要があるか、あるいはクラウドを利用できるか、使用中のOSに対応しているかといった点は、導入・管理コストに大きく影響します。そもそも、社内にEDRを運用できる人材がいるか否かも確認しておかなければなりません。
EDR導入には、専門的な知識と高い技術を持ったプロの力が不可欠です。SYSCOM GLOBAL SOLUTIONSでは、最新のテクノロジー・ツールを活用した、日系企業向けのMDRセキュリティサービスを提供しています。企業規模とビジネスの特性に合ったセキュリティシステムを導入する際は、ぜひ当社へご相談ください。
まとめ
EDRとはエンドポイントを監視し、サイバー攻撃の検出・通知・初動対処を行う、エンドポイントセキュリティ製品の1つです。
EDRはモバイル端末やテレワークの普及、サイバー攻撃の高度化によって注目されています。EDRを選ぶときには、製品のスペックに加えて、自社のシステム環境や導入コストも考慮することが必要です。
SYSCOM GLOBAL SOLUTIONSは次世代エンドポイントセキュリティとして、未知のマルウェアによる攻撃にも対応可能なEDRを提供しています。また、セキュリティについての疑問に答えるウェビナーも随時開催しています。在米の日系企業やグローバル企業の方は、ぜひともSYSCOMにご相談ください。
・SYSCOM GLOBAL SOLUTIONSの「MDRセキュリティサービスサービス」はこちら
Dynamics365とは?特徴や強み・導入時の注意点を解説
エンドポイントセキュリティとは|重要性や企業ができる対策について
DXとは?日本企業におけるDX推進の課題から導入の流れ・活用方法まで
ERPとは何か分かりやすく解説|導入の流れやメリットも紹介
ペーパーレス化はDX推進の第1歩!メリットや進めるポイントを解説
OTセキュリティとは?ITセキュリティとの違いや重要性を解説
データドリブンとは|3Kとの違いや実施の手順・ポイントも
DX人材とは?7つの職種の役割|DX人材不足を補う市民開発者
PMOとは?種類ごとの役割や求められる資格・スキルも