<iframe src="https://www.googletagmanager.com/ns.html?id=GTM-MZLZR25" height="0" width="0" style="display:none;visibility:hidden"></iframe>

エンドポイント対策で注目されるEDRとは何か?EPPとの違いとは?

サイバー攻撃の手口は、年々高度化してきつつあります。

マルウェアに感染させた上で偽装メールを送信し、口座情報などを詐取して金銭を盗み取る「ビジネスメール詐欺」などの、何段階にもわたる巧妙な手口のサイバー攻撃が日本でも確認されています。

さまざまな攻撃に対処するため、情報セキュリティ対策において攻撃を未然に防ぐ対策だけでなく、「サイバー攻撃を受けることを前提とした対策」も注目されています。

今回は、各種端末をセキュリティ事故から守る「エンドポイントセキュリティ」の1つである「EDR」とはどんなものなのか、「EPP」との違いは何なのかなどを解説します。

目次

  1. エンドポイントセキュリティの1つ「EDR」とは何か
  2. EDRとEPPの違いとは
  3. なぜEDRが注目されているのか
  4. よくあるご質問
  5. まとめ
  6. 【比較表でわかる】NGAV・EDR・DLPの違いとは?




エンドポイントセキュリティの1つ「EDR」とは何か

EDR(Endpoint Detection and Response)とは、PC、サーバー、スマートフォン、タブレットなどのネットワークに接続されているエンドポイントの操作や動作の監視を行い、サイバー攻撃を受けたことを発見し次第対処するソフトウェアの総称です。

エンドポイントがサイバー攻撃を受けることを前提に、マルウェアの検知や除去などの初動対処をスムーズに行い、被害を最小限に抑えることを目的としています。またサイバー攻撃の原因の調査および、その後のセキュリティ対策の改善にも役立ちます。

EDRにはさまざまな製品が存在し、製品によって機能は大きく異なりますが、たとえば下記のような機能を持つものがあります。
EDR製品の主な機能
  1. ネットワーク全体の各エンドポイントをリアルタイムに監視する
  2. エンドポイントのログデータを解析し、サイバー攻撃の兆候を検知する
  3. どのエンドポイントで感染が起きたか、他のエンドポイントに感染していないかなど感染や被害の状況を特定する
  4. すべてのエンドポイントの状態を分かりやすくモニターに可視化する
  5. 監視を行うPCやスマートフォンへの負荷を最小限に抑える

▲目次に戻る


EDRとEPPの違いとは

EPP(Endpoint Protection Platform)は、エンドポイント保護プラットフォームとも呼ばれます。エンドポイントにマルウェアなどが感染しないよう保護することを目的としたセキュリティ対策ツールの総称です。

マルウェアに感染しないようにするEPPに対し、EDRはマルウェア感染後に被害を抑えることを主目的としたセキュリティ対策です。

旧来からさまざまな個人や法人で広く利用されている「アンチウイルスソフト」もEPPの1つです。アンチウイルスソフトは、マルウェアの攻撃パターンであるシグネチャをもとにマルウェアを発見します。アンチウイルスソフトは最新のマルウェアに対応するため、常にアップデートされていますが、攻撃パターンを把握できていない未知のマルウェアへの対処は困難な点が問題となっていました。

そこで、振る舞い検知や機械学習などにより、その弱点をカバーできるNGAV(Next Generation Anti Virus)と呼ばれるセキュリティ対策ツールも生まれています。

従来のアンチウイルスソフトでは発見が難しいゼロデイ攻撃を検知し、動作のブロック等を行います。マルウェア以外にも、正規のアプリケーションを悪用するような攻撃を防御することも期待されています。

【比較表でわかる】NGAV・EDR・DLPの違いとは?

NGAV・EDRをはじめ、セキュリティ対策製品には目的に応じた様々な種類がありますが、似たような略語のため混乱してしまう方も少なくありません。

本コラムでは、それぞれの機能や特徴などについて比較表をご用意しています。

コラムを読む

▲目次に戻る


なぜEDRが注目されているのか

アンチウイルスソフトを始めとしたEPPが一定の普及率を保持している今、なぜEDRが注目を集めているのでしょうか。

それは、「感染しないこと」のみに重点を置くと、サイバー攻撃の発見・初動対応が遅れ、ひいては被害が拡大する可能性があるためです。

EPPだけですべてのサイバー攻撃を回避することは難しく、NGAVを利用していたとしても、未知のマルウェアがチェックをすり抜けてしまう可能性もあります。またステルス性が高く、ユーザーが気づきにくいサイバー攻撃も存在します。

したがってサイバー攻撃前の備えであるEPPに加えて、サイバー攻撃後の対応を行うEDRを組み合わせる"二段構え"の対策が注目されています。

▲目次に戻る

よくあるご質問

EDRとは?
PC、スマートフォン、タブレットなどのネットワークに接続されているエンドポイントの操作や動作の監視を行い、サイバー攻撃を受けたことを発見し次第対処するソフトウェアの総称です。詳しくはこちらで紹介しています。
EDRとEPPの違いとは?
マルウェアに感染しないようにするEPPに対し、EDRはマルウェア感染後に被害を抑えることを主目的としたセキュリティ対策です。詳しくはこちらで紹介しています。
なぜEDRが注目されているのか
「感染しないこと」のみに重点を置くと、サイバー攻撃の発見・初動対応が遅れ、ひいては被害が拡大する可能性があるためです。詳しくはこちらで紹介しています。
EDR製品を導入する際の注意点は?
EDR製品は「脅威を検知する」、検知後の対応作業は人手の作業が中心となります。よって、製品導入後の運用体制についても検討する必要があります。JBサービスが提供する運用サービスはこちらです。
EDR製品を運用できる体制が社内がない場合は?
セキュリティ運用をアウトソースしてみてはいかがでしょうか。JBサービスが提供する運用サービスはこちらです。

まとめ

今回は、エンドポイントセキュリティの1つ「EDR」についてご紹介しました。

サイバー攻撃を未然に防ぐEPPだけでは、エンドポイントセキュリティは十分とは言えません。

サイバー攻撃への対処が遅れれば、大規模な情報漏えいや企業Webサイトの稼働停止などに発展する可能性は高まることなどから、未知のマルウェアに感染してしまった際に、素早く検知し対処するEDRに注目が集まっています。

EDRには単体の製品のほか、EPPとEDRを組み合わせたエンドポイント対策パッケージもあります。企業・組織の実情に沿った、適切なサービスを選定しましょう。

EPPとEDRを組み合わせたエンドポイント対策製品ならCortex XDR

Cortex XDRは、エンドポイント・ネットワーク・クラウドから収集したログデータを機械学習によって総合的・多面的に分析し、ブラックリストや汎用検出ルールを回避する未知の脅威を特定して被害を食い止めます。

製品情報はこちら




関連コラムのご案内

NGAV・EDR・DLPの違いとは? 用語解説

概要

EDRとNGAV・DLPの違いについては、以下の記事で詳しく解説しております。

コラムを読む

EDRの進化版? 新たなセキュリティ対策XDRとは

概要

新たなカテゴリー「XDR」とは何なのか、なぜ必要なのかをご紹介します。

コラムを読む

もはや他人事ではない情報漏えい~情報漏えいが及ぼす影響とは

概要

情報漏えいが企業に及ぼす影響については、詳しく解説しております。

コラムを読む

EDRの導入に関するご相談・お問い合わせ

contact1.png


関連サービス
Cortex XDR (統合型セキュリティプラットフォーム|EPP×EDR×NTA×UBA×SIEM×AI)

Cortex XDR (統合型セキュリティプラットフォーム|EPP×EDR×NTA×UBA×SIEM×AI)

Cortex XDRとは、ネットワーク・エンドポイント・クラウドに跨るデータをAIを活用した分析によって、脅威の発見・分析・対処までをワンストップで提供するクラウドベースのアプリケーションです。JBサービス(JBS)は企業の情報セキュリティ対策・ITシステム運用をご提供いたします。

詳しく »