EDR（Endpoint Detection and Response）とは？EPPとの違いや導入後の運用について

サイバー攻撃の手口は、年々高度化してきつつあります。

マルウェアに感染させた上で偽装メールを送信し、口座情報などを詐取して金銭を盗み取る「ビジネスメール詐欺」などの、何段階にもわたる巧妙な手口のサイバー攻撃が日本でも確認されています。

さまざまな攻撃に対処するため、情報セキュリティ対策において攻撃を未然に防ぐ対策だけでなく、「サイバー攻撃を受けることを前提とした対策」も注目されています。

今回は、各種端末をセキュリティ事故から守る「エンドポイントセキュリティ」の1つである「EDR」とはどんなものなのか、「EPP」との違いは何なのかなどを解説します。

EDRとは

EDR（Endpoint Detection and Response）とは、エンドポイント（PC、サーバー、スマートフォン、タブレットなどネットワークに接続されている端末）の操作や動作の監視を行い、サイバー攻撃を検知し次第対処するソフトウェアの総称です。

エンドポイントがサイバー攻撃を受けることを前提に、マルウェアの検知や除去などの初動対処をスムーズに行い、被害を最小限に抑えることを目的としています。またサイバー攻撃の原因の調査および、その後のセキュリティ対策の改善にも役立ちます。

EDRの仕組み

EDRでは、エンドポイントを常に監視するための専用のソフトウェアである「エージェントソフトウェア」を導入します。エージェントソフトウェアはエンドポイントの使用状況や通信内容などといったログを常時収集します。

収集されたログはサーバーへ送られ、データとしての蓄積はもちろん、不審な挙動や攻撃を受けていないか分析を行います。ここで不審な挙動や攻撃が発見された場合は、すぐに管理者に通知される仕組みです。

通知がきた場合は、さらにログを精査し原因や影響範囲を確認し、適切な対処を行います。

EDR製品の機能

EDRにはログを蓄積する機能や、分析結果を通知する機能、不審な挙動や攻撃に対して適切に対処する機能が備わっているのが基本です。製品によって機能は大きく異なりますが、たとえば下記のような機能を持つものがあります。

EDR製品の主な機能

1. ネットワーク全体の各エンドポイントをリアルタイムに監視する
2. エンドポイントのログデータを解析し、サイバー攻撃の兆候を検知する
3. どのエンドポイントで感染が起きたか、他のエンドポイントに感染していないかなど感染や被害の状況を特定する
4. すべてのエンドポイントの状態を分かりやすくモニターに可視化する
5. 監視を行うPCやスマートフォンへの負荷を最小限に抑える

EDRとEPPの違い

EPPとは

EDRと似た言葉で「EPP」があります。EPP（Endpoint Protection Platform）は、エンドポイント保護プラットフォームとも呼ばれます。 EPPは未知のマルウェアも含めて検知・駆除、攻撃をブロックし、エンドポイントにマルウェアなどが感染しないよう保護する機能が携わっています。

EDRとEPPの違いは、「目的」にあります。マルウェアに感染しないようにするEPPに対し、EDRはマルウェア感染後に被害を抑えることを主目的としたセキュリティ対策です。

旧来からさまざまな個人や法人で広く利用されている「アンチウイルスソフト」もEPPの1つです。アンチウイルスソフトは常にアップデートされていますが、未知のマルウェアへの対処は困難という弱点がありました。

近年では、従来のEPPでは検出できないマルウェアも発見できる、振る舞い検知や機械学習などが組み合わされた「NGAV（Next Generation Anti Virus）」と呼ばれるセキュリティ対策ツールも生まれています。

EDRは、脅威・ウイルスがこれらのセキュリティ対策ツールをすり抜けた後、迅速に対処する役割を担うソフトウェアです。

EDRとEPPの違いについてはわかりやすく解説している動画をYouTubeに公開しています。こちらも是非合わせてご覧ください。

EDRとEPPはどちらも必要

EDRとEPPはエンドポイントへのセキュリティ強化という点が共通していますが、それぞれ異なる機能、目的を持つツールです。マルウェアの侵入からエンドポイントを守るEPPだけでは、年々巧妙化・高度化するサイバー攻撃すべてを防げるとはいえません。

そのため、EDRとEPPを組み合わせて対策することが重要です。両方使用することでセキュリティを強化し、さまざまなリスクに備えることが可能です。

EDRが注目されている背景

アンチウイルスソフトを始めとしたEPPが一定の普及率を保持している今、なぜEDRが注目を集めているのでしょうか。

サイバー攻撃の増加や巧妙化

「感染しないこと」のみに重点を置くと、サイバー攻撃の発見・初動対応が遅れ、ひいては被害が拡大する可能性があるためです。

サイバー攻撃は年々増加傾向にあり、マルウェアなどの脅威は進化し続けています。EPPだけですべてのサイバー攻撃を回避することは難しく、NGAVを利用していたとしても、未知のマルウェアがチェックをすり抜けてしまう可能性もあるでしょう。またステルス性が高く、ユーザーが気づきにくいサイバー攻撃も存在します。

マルウェアなどの脅威の侵入を完全に防ぐことは難しいといわれています。したがってサイバー攻撃前の備えであるEPPに加えて、サイバー攻撃後の対応を行うEDRを組み合わせる"二段構え"の対策が注目されています。

テレワークの普及も関係している

新型コロナウイルス感染症の拡大防止対策や、働き方改革によりテレワークの導入が普及しています。出社とテレワークを組み合わせたハイブリッド出社を導入する企業も増えていて、働く場所がオフィスだけではなくなってきました。

しかし、オフィスの外で仕事をするということは、社外のネットワークを使わなければなりません。テレワークで利用する端末に脅威への対策をしていないと、ネットワークを経由した脅威の侵入の可能性があります。EDRはテレワーク端末に対応している製品もあります。

新しい働き方が普及したことで、EDRによるさらなるセキュリティ対策が必要でしょう。

EDR製品の選び方

EDR製品はさまざまなものがあり、各製品それぞれ備えられている機能が異なります。EDRを運用していく上で、求められる機能が備えられていない場合もあるでしょう。ここでは、EDR製品を選ぶ際のポイントをご紹介します。

1. 検知能力の確認
   マルウェアやランサムウェアなど攻撃の脅威は日々高度化していることが考えられます。そのため、最新の脅威を検知できるかどうか、事前にチェックしておきましょう。中には、AIや機械学習などが搭載されたEDR製品もあります。
2. 分析の精度を確認
   EDRは、エンドポイントで得たログをサーバー上で分析を行います。攻撃を検知するには分析はとても重要な部分です。そのため、高い精度・リアルタイムで分析できるかどうかも選ぶ際に確認しましょう
3. 調査機能が十分に備わっているか
   エンドポイント上に脅威が見つかった場合、すぐに調査・対応しなければなりません。EDRには、感染経路や原因、影響範囲の調査を自動化できる機能が備わっている製品もあります。調査機能が十分に備わっているかどうかチェックしましょう。
4. システム環境を確認する
   EDRの製品によって、対応しているサーバーやOSなどが異なります。そのため、対応しているシステム環境を必ず確認しましょう。また、ログ収集や分析には負荷がかかります。既存のICT環境に影響が出る可能性もあるため、過度な負担がかからないかどうか、事前にチェックしておきましょう。
5. 管理サーバーの確認
   ログを監視するために管理サーバーを用意しなければなりません。サーバーは、自社にEDR用のサーバーを置くタイプと、クラウドタイプがあります。クラウドは導入費用や運用の負担が軽減する場合もあるため、費用を抑えたい場合や負担をできるだけ少なくしたい場合におすすめです。ログを社内で管理したいという場合は、自社サーバーを選ぶと良いでしょう。
6. 他のセキュリティ対策とも組み合わせる
   EDRのメリットを最大限に活かすには、他のセキュリティ対策と組み合わせて利用することが必要です。EDR単体だけではなく、アンチウイルスなど、他のセキュリティ対策と一緒に利用しましょう。ただ、他の製品と相性が悪くパフォーマンスが下がってしまう場合もあります。同じ会社が提供している製品を選ぶことをおすすめします。EPPとEDRがセットになった製品を利用するのも良いでしょう。

EDR導入後の運用

EDRは、導入後の運用が重要です。EDRは導入後、思ったよりも運用が難しかった、運用体制が整っていなかったといった課題が挙げられることがあります。EDRは管理者への通知が誤検知となる可能性もあるため、見極めが必要です。通知から脅威に対する対応までを行うには、経験値と技術力が欠かせません。 そのため、専門知識のある社員がいない、アラート時への早急な対応が難しい、などEDRの運用に関しては課題を抱える企業も少なくありません。

EDR運用の外部委託（アウトソーシング）サービス

社内でEDRを運用するセキュリティチームを構築することが難しい場合は、セキュリティ専門の企業へアウトソーシングする方法もあります。

ＪＢサービスでは、EDR運用などのエンドポイントセキュリティ対策を支援しています。知識・経験豊富なエンジニアが企業の状況やご希望に沿ったセキュリティ運用を代行いたします。

関連サービスのご紹介

ＪＢサービス株式会社では、認定ホワイトハッカーを中心としたセキュリティ対策製品に精通したエンジニアがご支援します。ご提供するエンドポイントセキュリティ関連のサービスについては下記からご覧いただけます。 詳細はこちら≫

まとめ

今回は、エンドポイントセキュリティの1つ「EDR」についてご紹介しました。

サイバー攻撃を未然に防ぐEPPだけでは、エンドポイントセキュリティは十分とは言えません。

サイバー攻撃への対処が遅れれば、大規模な情報漏えいや企業Webサイトの稼働停止などに発展する可能性は高まることなどから、未知のマルウェアに感染してしまった際に、素早く検知し対処するEDRに注目が集まっています。

EDRには単体の製品のほか、EPPとEDRを組み合わせたエンドポイント対策パッケージもあります。企業・組織の実情に沿った、適切なサービスを選定しましょう。

EDR製品の選定や導入、運用に関するご相談

関連サービス

Cortex XDR Prevent ＆ Cortex XDR Pro（旧Traps）｜ 次世代型エンドポイントセキュリティ対策

Cortex XDR（旧Traps）とは、日々巧妙化する既知・未知問わないマルウェア・ファイルレス攻撃・エクスプロイト攻撃などを防ぐNGAV機能と、万が一マルウェア感染してしまったとしても検知と対処（EDR）機能も持ったエンドポイントセキュリティ製品です。ＪＢサービス株式会社は、企業の情報セキュリティ対策や最適なIT運用のためのご支援・ソリューションをご提供いたします。

詳しく »