エンドポイント対策で注目されるEDRとは何か?EPPとの違いとは?
更新日 : 2023年09月29日
|
|
エンドポイントセキュリティの1つ「EDR」とは何か
|
EDR(Endpoint Detection and Response)とは、PC、サーバー、スマートフォン、タブレットなどのネットワークに接続されているエンドポイントの操作や動作の監視を行い、サイバー攻撃を受けたことを発見し次第対処するソフトウェアの総称です。 エンドポイントがサイバー攻撃を受けることを前提に、マルウェアの検知や除去などの初動対処をスムーズに行い、被害を最小限に抑えることを目的としています。またサイバー攻撃の原因の調査および、その後のセキュリティ対策の改善にも役立ちます。 EDRにはさまざまな製品が存在し、製品によって機能は大きく異なりますが、たとえば下記のような機能を持つものがあります。 EDR製品の主な機能
|
EDRの仕組み
|
EDRでは、エンドポイントを常に監視するための専用のソフトウェアである「エージェントソフトウェア」を導入します。エージェントソフトウェアはエンドポイントの使用状況や通信内容などといったログを常時収集します。 収集されたログはサーバーへ送られ、データとしての蓄積はもちろん、不審な挙動や攻撃を受けていないか分析を行います。ここで不審な挙動や攻撃が発見された場合は、すぐに管理者に通知される仕組みです。 通知がきた場合は、さらにログを精査し原因や影響範囲を確認し、適切な対処を行います。EDRには、ログを蓄積する機能や、分析結果を通知する機能、不審な挙動や攻撃に対して適切な対応ができる機能が備わっているのが基本です。 |
EDRとEPPの違いとは
侵入を防ぐ「EPP」
|
EDRと似た言葉で「EPP」があります。EPP(Endpoint Protection Platform)は、エンドポイント保護プラットフォームとも呼ばれます。 エンドポイントにマルウェアなどが感染しないよう保護することを目的としたセキュリティ対策ツールの総称です。 |
EDRとEPPの違いは「目的」
 |
EDRとEPPの違いは、目的にあります。マルウェアに感染しないようにするEPPに対し、EDRはマルウェア感染後に被害を抑えることを主目的としたセキュリティ対策です。 また、備えられている機能も異なります。EPPは未知のマルウェアも含めて検知・駆除、攻撃をブロックします。EDRは、検知はもちろん感染経路の特定や、エンドポイント内のアクティビティを監視する機能が備わっています。 旧来からさまざまな個人や法人で広く利用されている「アンチウイルスソフト」もEPPの1つです。アンチウイルスソフトは、マルウェアの攻撃パターンであるシグネチャをもとにマルウェアを発見します。アンチウイルスソフトは最新のマルウェアに対応するため、常にアップデートされていますが、攻撃パターンを把握できていない未知のマルウェアへの対処は困難な点が問題となっていました。 |
|
そこで、振る舞い検知や機械学習などにより、その弱点をカバーできるNGAV(Next Generation Anti Virus)と呼ばれるセキュリティ対策ツールも生まれています。 従来のアンチウイルスソフトでは発見が難しいゼロデイ攻撃を検知し、動作のブロック等を行います。マルウェア以外にも、正規のアプリケーションを悪用するような攻撃を防御することも期待されています。 |
【YouTube】アニメ風動画で解説しています
EDRとはなにか、EPPと何が違うか、EDR選定のポイントなど、セキュリティ用語の解説を易しく6分程度で解説している動画をYouTubeに公開しています。こちらも是非合わせてご覧ください。
なぜEDRが注目されているのか
 |
アンチウイルスソフトを始めとしたEPPが一定の普及率を保持している今、なぜEDRが注目を集めているのでしょうか。 それは、「感染しないこと」のみに重点を置くと、サイバー攻撃の発見・初動対応が遅れ、ひいては被害が拡大する可能性があるためです。 マルウェアなどの脅威は進化し続けています。EPPだけですべてのサイバー攻撃を回避することは難しく、NGAVを利用していたとしても、未知のマルウェアがチェックをすり抜けてしまう可能性もあるでしょう。またステルス性が高く、ユーザーが気づきにくいサイバー攻撃も存在します。 マルウェアなどの脅威の侵入を完全に防ぐことは難しいといわれています。したがってサイバー攻撃前の備えであるEPPに加えて、サイバー攻撃後の対応を行うEDRを組み合わせる"二段構え"の対策が注目されています。 |
テレワークの普及も関係している
|
新型コロナウイルス感染症の拡大防止対策や、働き方改革によりテレワークの導入が普及しています。出社とテレワークを組み合わせたハイブリッド出社を導入する企業も増えていて、働く場所がオフィスだけではなくなってきました。 しかし、オフィスの外で仕事をするということは、社外のネットワークを使わなければなりません。テレワークで利用する端末に脅威への対策をしていないと、ネットワークを経由した脅威の侵入の可能性があります。EDRはテレワーク端末に対応している製品もあります。 新しい働き方が普及しはじめたことで、EDRによるさらなるセキュリティ対策が必要でしょう。 |
EDR製品の選び方
|
EDR製品はさまざまなものがあり、各製品それぞれ備えられている機能が異なります。EDRを運用していく上で、求められる機能が備えられていない場合もあるでしょう。ここでは、EDR製品を選ぶ際のポイントをご紹介します。
|
EDR運用のポイント
 |
EDRは導入後、思ったよりも運用が難しかった、運用体制が整っていなかったといった課題が挙げられることがあります。というのも、管理者への通知が誤検知の可能性もあるため、見極めが必要です。通知から脅威に対する対応までを行うには、経験値と技術力が欠かせません。 そのため、EDRの導入や運用を成功させるには、EDRに関する「専門知識」が必要です。運用にはEDRの知識を持った人材がいなければなりません。人材が不足している場合は、アウトソーシングを検討しましょう。 |
まとめ
|
今回は、エンドポイントセキュリティの1つ「EDR」についてご紹介しました。 サイバー攻撃を未然に防ぐEPPだけでは、エンドポイントセキュリティは十分とは言えません。 サイバー攻撃への対処が遅れれば、大規模な情報漏えいや企業Webサイトの稼働停止などに発展する可能性は高まることなどから、未知のマルウェアに感染してしまった際に、素早く検知し対処するEDRに注目が集まっています。 EDRには単体の製品のほか、EPPとEDRを組み合わせたエンドポイント対策パッケージもあります。企業・組織の実情に沿った、適切なサービスを選定しましょう。 |
EDR製品の選定や導入、運用に関するご相談
- EDRとは?
PC、スマートフォン、タブレットなどのネットワークに接続されているエンドポイントの操作や動作の監視を行い、サイバー攻撃を受けたことを発見し次第対処するソフトウェアの総称です。詳しくはこちらで紹介しています。
- EDRとEPPの違いとは?
マルウェアに感染しないようにするEPPに対し、EDRはマルウェア感染後に被害を抑えることを主目的としたセキュリティ対策です。詳しくはこちらで紹介しています。
- なぜEDRが注目されているのか
「感染しないこと」のみに重点を置くと、サイバー攻撃の発見・初動対応が遅れ、ひいては被害が拡大する可能性があるためです。詳しくはこちらで紹介しています。
- EDR製品を導入する際の注意点は?
EDR製品は「脅威を検知する」、検知後の対応作業は人手の作業が中心となります。よって、製品導入後の運用体制についても検討する必要があります。JBサービスが提供する運用サービスはこちらです。
- EDR製品を運用できる体制が社内がない場合は?
セキュリティ運用をアウトソースしてみてはいかがでしょうか。JBサービスが提供する運用サービスはこちらです。
Cortex XDR (統合型セキュリティプラットフォーム|EPP×EDR×NTA×UBA×SIEM×AI)
FortiEDRは、最新OSからWindows 7などのレガシーOS、ワークステーションやサーバー、POS、製造制御などあらゆるエンドポイントを保護します。
マルウェア・ファイルレス攻撃・エクスプロイト攻撃などを防ぐNGAV機能と、検知と対処を行うEDR機能を両立します。
エンドポイントセキュリティなど技術的な対策は情報漏洩を防ぐ1要素に過ぎません。昨今のサイバー攻撃やテレワークなど働く環境の変化によって発生している情報漏洩の具体的なケースと対応策をご紹介します。