サイバー攻撃の手口は、年々高度化してきています。
経営者や取引先になりすまして偽装メールを送信し、金銭を振り込ませる「ビジネスメール詐欺」や、マルウェアに感染させて特定の企業の機密情報を搾取する「標的型攻撃」など、何段階にもわたる巧妙な手口のサイバー攻撃が日本でも確認されています。
さまざまな攻撃に対処するため、情報セキュリティ対策において攻撃を未然に防ぐ対策だけでなく、「サイバー攻撃を受けることを前提とした対策」も注目されています。
今回は、各種端末をセキュリティ事故から守る「エンドポイントセキュリティ」の1つである「EDR」について、「EPP」との違いや必要とされる理由、選び方、導入後の運用などを解説します。
EDRとは
EDR(Endpoint Detection and Response)とは、エンドポイント(PC、サーバー、スマートフォン、タブレットなどネットワークに接続されている端末)の操作や動作の監視を行い、サイバー攻撃を検知し次第対処するソフトウェアの総称です。
エンドポイントがサイバー攻撃を受けることを前提に、マルウェアの検知や除去などの初動対処をスムーズに行い、被害を最小限に抑えることを目的としています。またサイバー攻撃の原因の調査および、その後のセキュリティ対策の改善にも役立ちます。
EDRの仕組みと主な機能
EDRは、各端末(エンドポイント)に「エージェント」と呼ばれる専用ソフトウェアを導入し、「監視・収集」「検知・分析」「調査・対処」の3つのステップで動作します。以下に、EDRの仕組みと主な機能について詳しく解説します。
1. 監視・ログ収集
EDRの基盤となる機能が、エンドポイントの監視とログの収集です。端末の挙動をリアルタイムで監視し、取得したログデータを自動的に蓄積・可視化します。これにより、管理者は各エンドポイントの状態を常に把握でき、インシデント発生時の迅速な初動対応が可能となります。
2. 検知・分析・通知
収集されたログデータは、AIや独自のアルゴリズムによって継続的に解析されます。通常の利用パターンから逸脱した不審な挙動や、サイバー攻撃の兆候が検知された際は、管理者へ即座にアラートが通知されます。
3. 調査・対処の「支援機能」
アラート発生時、管理者が迅速かつ的確に対応できるよう、多彩な支援機能が提供されます。直感的なダッシュボードでは、感染が発生したエンドポイントや被害範囲を一目で把握することが可能です。さらに被害の拡大を防ぐため、EDRには以下のような「対処」の機能が備わっているものもあります。
- ネットワーク隔離:感染が疑われる端末を、遠隔操作で社内ネットワークから瞬時に切り離す
- プロセスの停止:悪意のある不審なプログラムの実行を強制的に停止・ブロックする
- ファイルの削除・復元:悪意のあるファイルを削除し、レジストリなどを感染前の状態に戻す(製品による)
このようにEDRは強力な機能を持っていますが、これらはあくまで「ツール」です。アラートが鳴った後、実際にツールを操作して脅威に立ち向かうのは「人(運用担当者)」となります。
EDRとEPPの違い
EPPとは
EDRと似た言葉で「EPP」があります。EPP(Endpoint Protection Platform)は、エンドポイント保護プラットフォームとも呼ばれます。 EPPは未知のマルウェアも含めて検知・駆除、攻撃をブロックし、エンドポイントにマルウェアなどが感染しないよう保護する機能が携わっています。EDRとEPPの違いは、「目的」にあります。マルウェアに感染しないようにするEPPに対し、EDRはマルウェア感染後に被害を抑えることを主目的としたセキュリティ対策です。
旧来から個人・法人で広く利用されている「アンチウイルスソフト」もEPPの1つです。アンチウイルスソフトは常にアップデートされていますが、未知のマルウェアへの対処は困難という弱点がありました。
近年では、従来のEPPでは検出できないマルウェアも発見できる、振る舞い検知や機械学習などが組み合わされた「NGAV(Next Generation Anti Virus)」と呼ばれるセキュリティ対策ツールも生まれています。
EDRは、脅威・ウイルスがこれらのセキュリティ対策ツールをすり抜けた後、迅速に対処する役割を担うソフトウェアです。
EDRとEPPの違いについてはわかりやすく解説している動画をYouTubeに公開しています。こちらも是非合わせてご覧ください。
EDRとEPPはどちらも必要
EDRとEPPはエンドポイントへのセキュリティ強化という点が共通していますが、それぞれ異なる機能、目的を持つツールです。マルウェアの侵入からエンドポイントを守るEPPだけでは、年々巧妙化・高度化するサイバー攻撃すべてを防げるとはいえません。
そのため、EDRとEPPを組み合わせて対策することが重要です。両方使用することでセキュリティを強化し、さまざまなリスクに備えることが可能です。
EDRとEPPの違いや、エンドポイントセキュリティ製品の選定ポイントを詳しく知りたい方は、こちらもご覧ください。
EDRとXDRの違い
EDRがエンドポイント(端末)に特化した監視・検知・対処を行うのに対し、XDRはメール、クラウド、ID、ネットワークなど複数のセキュリティ領域を横断して脅威に対応します。例えば、PC・サーバーが中心のシンプルなIT環境や、まずセキュリティ対策の基盤を整えたいという場合には、EDRで十分なケースも多くあります。一方、クラウドサービスやリモートワークの活用が進み、攻撃経路が多様化している大規模組織や、より包括的な可視性を求める企業の場合は、XDRの導入を視野に入れると良いでしょう。自社の環境規模やリスク要件に応じて、最適なソリューションを選択することが重要です。
なぜ今、EDRが必要なのか
アンチウイルスソフトを始めとしたEPPが一定の普及率を保持している今、なぜEDRが注目を集めているのでしょうか。
サイバー攻撃の増加や巧妙化
「感染しないこと」のみに重点を置くと、サイバー攻撃の発見・初動対応が遅れ、ひいては被害が拡大する可能性があるためです。
サイバー攻撃は年々増加傾向にあり、マルウェアなどの脅威は進化し続けています。EPPだけですべてのサイバー攻撃を回避することは難しく、NGAVを利用していたとしても、未知のマルウェアがチェックをすり抜けてしまう可能性もあるでしょう。またステルス性が高く、ユーザーが気づきにくいサイバー攻撃も存在します。
マルウェアなどの脅威の侵入を完全に防ぐことは難しいといわれています。したがってサイバー攻撃前の備えであるEPPに加えて、サイバー攻撃後の対応を行うEDRを組み合わせる"二段構え"の対策が注目されています。
ランサムウェアがどのように侵入し、端末内でどのような動きをするのかを具体的に知りたい方は、こちらをご覧ください。
働き方の変化で監視対象が広がっている
現在では、出社とテレワークを組み合わせた「ハイブリッドワーク」が多くの企業で定着しており、働く場所はオフィスに限定されない形へと変化しています。
しかし、オフィスの外で仕事をするということは、社外のネットワークを使わなければなりません。テレワークで利用する端末に脅威への対策をしていないと、ネットワークを経由した脅威の侵入の可能性があります。EDRはテレワーク端末に対応している製品もあります。
新しい働き方が普及したことで、EDRによるさらなるセキュリティ対策が重要視されています。
EDR製品の選び方
EDR製品はさまざまなものがあり、各製品それぞれ機能が異なります。EDRを運用していく上で、求められる機能が備えられていない場合もあるでしょう。ここでは、EDR製品を選ぶ際のポイントをご紹介します。
検知能力の確認
マルウェアやランサムウェアなど攻撃の脅威は日々高度化しています。そのため、最新の脅威を検知できるかどうか、事前にチェックしておきましょう。中には、AIや機械学習などが搭載されたEDR製品もあります。
分析の精度を確認
EDRは、エンドポイントで得たログをサーバーに送り、分析を行います。攻撃を検知するには分析が非常に重要です。精度の高さ・リアルタイムで分析できるかどうかを選ぶ際に確認しましょう。
調査機能が十分に備わっているか
エンドポイント上に脅威が見つかった場合、すぐに調査・対応しなければなりません。EDRには、感染経路や原因、影響範囲の調査を自動化できる機能が備わっている製品もあります。調査機能が十分に備わっているかどうかチェックしましょう。
初動対応のしやすさ
インシデント発生時に迅速な初動対応が取れるかは、重要なポイントです。アラートの優先度付けや攻撃の流れを可視化する機能、端末の隔離やプロセス停止といった対処を管理画面から即座に実行できるかを確認しましょう。調査に必要な情報が一画面で把握できる設計であれば、対応の遅れや判断ミスを防ぎ、被害拡大のリスクを抑えることにつながります。
システム環境を確認する
EDRの製品によって、対応しているサーバーやOSなどが異なります。そのため、対応しているシステム環境を必ず確認しましょう。また、ログ収集や分析には負荷がかかります。既存のICT環境に影響が出る可能性もあるため、過度な負担がかからないかどうか、事前にチェックしておきましょう。
管理サーバーの確認
ログを監視するために管理サーバーを用意しなければなりません。サーバーは、自社にEDR用のサーバーを置くタイプと、クラウドタイプがあります。クラウドは導入費用や運用の負担が軽減する場合もあるため、費用を抑えたい場合や負担をできるだけ少なくしたい場合におすすめです。ログを社内で管理したいという場合は、自社サーバーを選ぶと良いでしょう。
他のセキュリティ対策とも組み合わせる
EDRのメリットを最大限に活かすには、他のセキュリティ対策と組み合わせて利用することが必要です。EDR単体だけではなく、アンチウイルスなど、他のセキュリティ対策と一緒に利用しましょう。ただ、他の製品と相性が悪くパフォーマンスが下がってしまう場合もあります。同じ会社が提供している製品や、EPPとEDRがセットになった製品を利用すると良いでしょう。
EDRに加えて、ネットワーク側の検知・対応まで含めて検討したい方は、NDRとの違いや連携の考え方もご覧ください。
自社で運用しやすいか
EDRは、高機能であっても使いこなせなければ効果を発揮しません。管理画面の見やすさやアラート量が現実的かを確認し、自社の運用体制で無理なく対応できるかを判断しましょう。継続的に運用できる設計かどうかが、導入効果を大きく左右します。
EDR導入後の運用
EDRは導入して終わりではなく、アラートの確認、判断、初動対応までを一連の運用として継続的に行う必要があります。しかし実際には、導入後に「思ったよりも運用が難しかった」、「運用体制が整っていなかった」といった課題が生じるケースも少なくありません。特にEDRのアラートには誤検知が含まれる可能性があるため、適切なアラートを見極めたうえで迅速に対応するには、経験値と技術力が不可欠です。
また、アラート発生時に即時対応できる体制が整っていない場合には、EDRの効果を十分に発揮できない可能性があります。EDRの活用においては技術面だけでなく、運用プロセスや体制設計まで含めて検討することが重要です。
アラート受信から初動対応までの流れ
EDRを導入したからといって、すべてが自動化されるわけではありません。脅威を検知した後の「運用」こそがEDRの要であり、実際にアラートを受信した際、社内のセキュリティ担当者には以下のような迅速な判断と対応が求められます。
1. アラートの受信(24時間365日の監視)
サイバー攻撃は夜間や休日を問わず発生します。そのため、システムからの通知を常時受け取れる体制を整備することが不可欠です。24時間365日の継続的な監視体制の確立が、被害を最小限に抑えるために有効です。
2. トリアージ(脅威の選別・影響度判定)
EDRが検知したアラートのすべてが、実際のサイバー攻撃とは限りません。業務用ソフトウェアの動作による誤検知も少なくないため、担当者の専門知識に基づき、真の脅威であるかを迅速かつ正確に見極める判断力が必要です。この判断の精度と速度が、その後の対応を大きく左右します。
3. 端末隔離や封じ込め
脅威と判断された場合、EDRの隔離機能を活用して感染端末をネットワークから切り離します。この際、「業務を一時的に停止してでも隔離を優先すべきか」の経営的判断が求められるケースもあり、担当者には技術的知識だけでなく、状況を踏まえた的確な決断力が必要です。
4. 原因調査 〜 5. 復旧と再発防止
EDRが蓄積したログを詳細に分析し、どの経路から侵入されたかを調査します。原因と影響範囲が特定できたら、安全性を確認したうえで端末の隔離を解除し、業務の復旧へと移行します。さらに、同様のインシデントが再発しないよう、運用ルールやシステム設定の見直しを行うことも重要な工程です。
これらの対応やトリアージ、隔離判断を「アラート発生後、数十分から数時間以内に、正確に行える体制」を自社だけで構築・維持するのは、多くの企業にとって容易ではありません。専門知識を持つ人材の確保や24時間対応の運用コストなど、現実的なハードルは決して低くないのが実情です。
EDR運用の外部委託(アウトソーシング)サービス
EDRの運用には、高度なセキュリティ知識に加え、24時間365日対応できる体制が求められます。社内でEDRを運用するセキュリティチーム(SOC:Security Operations Center)を構築することが難しい場合は、外部の専門企業へ委託する方法も有効です。特に、EDRの監視・分析・対応を一括で任せられる「MDR(Managed Detection and Response)」などのアウトソーシングサービスを活用することで、無理のない運用体制を整えることができます。
外部委託で任せられる領域
EDR運用の外部委託では、主に以下の業務を専門チームが代行します。
- 24時間365日のログ監視とアラート受信
- 専門家による高度なトリアージ
- インシデント発生時の初動対応
これらを外部の専門家が担うことで、自社では対応が困難な高度な分析や緊急時の対応を継続的に実施でき、被害の最小化につながります。
外部委託が向いている企業
専任のセキュリティ担当者がいない企業や、情報システム部門が他業務と兼任している企業は、専門性の高いEDR運用を継続的に維持することが困難なため、外部委託を検討すると良いでしょう。また、夜間や休日のインシデント対応体制が十分に整っていない企業にとっても、24時間対応を前提とした外部委託は有効な選択肢となります。加えて、EDRを導入済みであるものの、日々のアラート対応に追われている企業においても、外部委託の活用により運用負荷の大幅な軽減が期待できます。限られたリソースの中で高水準のセキュリティ運用を実現したい場合に、現実的な手段といえるでしょう。
EDRの導入を検討する際は、「導入後の運用を誰が・どう担うのか」を含め、外部委託も視野に入れたトータルなセキュリティ体制を構築することが重要です。
JBサービスでは、EDR運用などのエンドポイントセキュリティ対策を支援しています。知識・経験豊富なエンジニアが企業の状況やご希望に沿ったセキュリティ運用を代行いたします。
関連サービスのご紹介
エンドポイントセキュリティ対策関連のサービス
JBサービス株式会社では、認定ホワイトハッカーを中心としたセキュリティ対策製品に精通したエンジニアがご支援します。ご提供するエンドポイントセキュリティ関連のサービスについては下記からご覧いただけます。
詳細はこちらまとめ
今回は、エンドポイントセキュリティの1つ「EDR」についてご紹介しました。
サイバー攻撃を未然に防ぐEPPだけでは、エンドポイントセキュリティは十分とは言えません。
サイバー攻撃への対処が遅れれば、大規模な情報漏えいや企業Webサイトの稼働停止などに発展する可能性は高まることなどから、未知のマルウェアに感染してしまった際に、素早く検知し対処するEDRに注目が集まっています。
EDRには単体の製品のほか、EPPとEDRを組み合わせたエンドポイント対策パッケージもあります。企業・組織の実情に沿った、適切なサービスを選定しましょう。
