エンドポイント対策で注目されるEDRとは何か?EPPとの違いとは?

サイバー攻撃の手口は、年々高度化してきつつあります。

マルウェアに感染させた上で偽装メールを送信し、口座情報などを詐取して金銭を盗み取る「ビジネスメール詐欺」などの、何段階にもわたる巧妙な手口のサイバー攻撃が日本でも確認されています。

さまざまな攻撃に対処するため、情報セキュリティ対策において攻撃を未然に防ぐ対策だけでなく、「サイバー攻撃を受けることを前提とした対策」も注目されています。

今回は、各種端末をセキュリティ事故から守る「エンドポイントセキュリティ」の1つである「EDR」とはどんなものなのか、「EPP」との違いは何なのかなどを解説します。

目次

  1. エンドポイントセキュリティの1つ「EDR」とは何か
  2. EDRとEPPの違いとは
  3. なぜEDRが注目されているのか
  4. EDR製品の選び方
  5. EDR運用のポイント
  6. まとめ
  7. [比較表でわかる]NGAV・EDR・DLPの違いとは?

エンドポイントセキュリティの1つ「EDR」とは何か

EDR(Endpoint Detection and Response)とは、PC、サーバー、スマートフォン、タブレットなどのネットワークに接続されているエンドポイントの操作や動作の監視を行い、サイバー攻撃を受けたことを発見し次第対処するソフトウェアの総称です。

エンドポイントがサイバー攻撃を受けることを前提に、マルウェアの検知や除去などの初動対処をスムーズに行い、被害を最小限に抑えることを目的としています。またサイバー攻撃の原因の調査および、その後のセキュリティ対策の改善にも役立ちます。

EDRにはさまざまな製品が存在し、製品によって機能は大きく異なりますが、たとえば下記のような機能を持つものがあります。

EDR製品の主な機能
  1. ネットワーク全体の各エンドポイントをリアルタイムに監視する
  2. エンドポイントのログデータを解析し、サイバー攻撃の兆候を検知する
  3. どのエンドポイントで感染が起きたか、他のエンドポイントに感染していないかなど感染や被害の状況を特定する
  4. すべてのエンドポイントの状態を分かりやすくモニターに可視化する
  5. 監視を行うPCやスマートフォンへの負荷を最小限に抑える

EDRの仕組み

EDRでは、エンドポイントを常に監視するための専用のソフトウェアである「エージェントソフトウェア」を導入します。エージェントソフトウェアはエンドポイントの使用状況や通信内容などといったログを常時収集します。

収集されたログはサーバーへ送られ、データとしての蓄積はもちろん、不審な挙動や攻撃を受けていないか分析を行います。ここで不審な挙動や攻撃が発見された場合は、すぐに管理者に通知される仕組みです。

通知がきた場合は、さらにログを精査し原因や影響範囲を確認し、適切な対処を行います。EDRには、ログを蓄積する機能や、分析結果を通知する機能、不審な挙動や攻撃に対して適切な対応ができる機能が備わっているのが基本です。

▲目次に戻る

EDRとEPPの違いとは

侵入を防ぐ「EPP」

EDRと似た言葉で「EPP」があります。EPP(Endpoint Protection Platform)は、エンドポイント保護プラットフォームとも呼ばれます。

エンドポイントにマルウェアなどが感染しないよう保護することを目的としたセキュリティ対策ツールの総称です。

EDRとEPPの違いは「目的」

EDRとEPPの違いは、目的にあります。マルウェアに感染しないようにするEPPに対し、EDRはマルウェア感染後に被害を抑えることを主目的としたセキュリティ対策です。

また、備えられている機能も異なります。EPPは未知のマルウェアも含めて検知・駆除、攻撃をブロックします。EDRは、検知はもちろん感染経路の特定や、エンドポイント内のアクティビティを監視する機能が備わっています。

旧来からさまざまな個人や法人で広く利用されている「アンチウイルスソフト」もEPPの1つです。アンチウイルスソフトは、マルウェアの攻撃パターンであるシグネチャをもとにマルウェアを発見します。アンチウイルスソフトは最新のマルウェアに対応するため、常にアップデートされていますが、攻撃パターンを把握できていない未知のマルウェアへの対処は困難な点が問題となっていました。

そこで、振る舞い検知や機械学習などにより、その弱点をカバーできるNGAV(Next Generation Anti Virus)と呼ばれるセキュリティ対策ツールも生まれています。

従来のアンチウイルスソフトでは発見が難しいゼロデイ攻撃を検知し、動作のブロック等を行います。マルウェア以外にも、正規のアプリケーションを悪用するような攻撃を防御することも期待されています。

おすすめコンテンツ
slider_image1
slider_image2

【無料でダウンロード】エンドポイントセキュリティ製品を選ぶ際に確認すべきポイントとは?

EPP・NGAV・EDRの違いとおすすめ製品の比較表をご紹介しています。これからエンドポイントセキュリティを見直したい、という方はぜひダウンロードください。

ダウンロードはこちら »

▲目次に戻る

なぜEDRが注目されているのか

アンチウイルスソフトを始めとしたEPPが一定の普及率を保持している今、なぜEDRが注目を集めているのでしょうか。

それは、「感染しないこと」のみに重点を置くと、サイバー攻撃の発見・初動対応が遅れ、ひいては被害が拡大する可能性があるためです。

マルウェアなどの脅威は進化し続けています。EPPだけですべてのサイバー攻撃を回避することは難しく、NGAVを利用していたとしても、未知のマルウェアがチェックをすり抜けてしまう可能性もあるでしょう。またステルス性が高く、ユーザーが気づきにくいサイバー攻撃も存在します。

マルウェアなどの脅威の侵入を完全に防ぐことは難しいといわれています。したがってサイバー攻撃前の備えであるEPPに加えて、サイバー攻撃後の対応を行うEDRを組み合わせる"二段構え"の対策が注目されています。

テレワークの普及も関係している

新型コロナウイルス感染症の拡大防止対策や、働き方改革によりテレワークの導入が普及しています。出社とテレワークを組み合わせたハイブリッド出社を導入する企業も増えていて、働く場所がオフィスだけではなくなってきました。

しかし、オフィスの外で仕事をするということは、社外のネットワークを使わなければなりません。テレワークで利用する端末に脅威への対策をしていないと、ネットワークを経由した脅威の侵入の可能性があります。EDRはテレワーク端末に対応している製品もあります。

新しい働き方が普及しはじめたことで、EDRによるさらなるセキュリティ対策が必要でしょう。

▲目次に戻る

EDR製品の選び方

EDR製品はさまざまなものがあり、各製品それぞれ備えられている機能が異なります。EDRを運用していく上で、求められる機能が備えられていない場合もあるでしょう。ここでは、EDR製品を選ぶ際のポイントをご紹介します。

  1. 検知能力の確認
    • マルウェアやランサムウェアなど攻撃の脅威は日々高度化していることが考えられます。そのため、最新の脅威を検知できるかどうか、事前にチェックしておきましょう。中には、AIや機械学習などが搭載されたEDR製品もあります。

  2. 分析の精度を確認
    • EDRは、エンドポイントで得たログをサーバー上で分析を行います。攻撃を検知するには分析はとても重要な部分です。そのため、高い精度・リアルタイムで分析できるかどうかも選ぶ際に確認しましょう
  3. 調査機能が十分に備わっているか
    • エンドポイント上に脅威が見つかった場合、すぐに調査・対応しなければなりません。EDRには、感染経路や原因、影響範囲の調査を自動化できる機能が備わっている製品もあります。調査機能が十分に備わっているかどうかチェックしましょう。
  4. システム環境を確認する
    • EDRの製品によって、対応しているサーバーやOSなどが異なります。そのため、対応しているシステム環境を必ず確認しましょう。

    • また、ログ収集や分析には負荷がかかります。既存のICT環境に影響が出る可能性もあるため、過度な負担がかからないかどうか、事前にチェックしておきましょう。

  5. 管理サーバーの確認
    • ログを監視するために管理サーバーを用意しなければなりません。サーバーは、自社にEDR用のサーバーを置くタイプと、クラウドタイプがあります。

    • クラウドは導入費用や運用の負担が軽減する場合もあるため、費用を抑えたい場合や負担をできるだけ少なくしたい場合におすすめです。ログを社内で管理したいという場合は、自社サーバーを選ぶと良いでしょう。

  6. 他のセキュリティ対策とも組み合わせる
    • EDRのメリットを最大限に活かすには、他のセキュリティ対策と組み合わせて利用することが必要です。EDR単体だけではなく、アンチウイルスなど、他のセキュリティ対策と一緒に利用しましょう。

    • ただ、他の製品と相性が悪くパフォーマンスが下がってしまう場合もあります。同じ会社が提供している製品を選ぶことをおすすめします。EPPとEDRがセットになった製品を利用するのも良いでしょう。

▲目次に戻る

EDR運用のポイント

EDRは導入後、思ったよりも運用が難しかった、運用体制が整っていなかったといった課題が挙げられることがあります。というのも、管理者への通知が誤検知の可能性もあるため、見極めが必要です。通知から脅威に対する対応までを行うには、経験値と技術力が欠かせません。

そのため、EDRの導入や運用を成功させるには、EDRに関する「専門知識」が必要です。運用にはEDRの知識を持った人材がいなければなりません。人材が不足している場合は、アウトソーシングを検討しましょう。

▲目次に戻る

まとめ

今回は、エンドポイントセキュリティの1つ「EDR」についてご紹介しました。

サイバー攻撃を未然に防ぐEPPだけでは、エンドポイントセキュリティは十分とは言えません。

サイバー攻撃への対処が遅れれば、大規模な情報漏えいや企業Webサイトの稼働停止などに発展する可能性は高まることなどから、未知のマルウェアに感染してしまった際に、素早く検知し対処するEDRに注目が集まっています。

EDRには単体の製品のほか、EPPとEDRを組み合わせたエンドポイント対策パッケージもあります。企業・組織の実情に沿った、適切なサービスを選定しましょう。

EDR製品の選定や導入、運用に関するご相談

EDR製品の選定や導入・運用に関するお問い合わせはJBサービス株式会社までご相談下さい。

よくある質問
EDRとは?

PC、スマートフォン、タブレットなどのネットワークに接続されているエンドポイントの操作や動作の監視を行い、サイバー攻撃を受けたことを発見し次第対処するソフトウェアの総称です。詳しくはこちらで紹介しています。

EDRとEPPの違いとは?

マルウェアに感染しないようにするEPPに対し、EDRはマルウェア感染後に被害を抑えることを主目的としたセキュリティ対策です。詳しくはこちらで紹介しています。

なぜEDRが注目されているのか

「感染しないこと」のみに重点を置くと、サイバー攻撃の発見・初動対応が遅れ、ひいては被害が拡大する可能性があるためです。詳しくはこちらで紹介しています。

EDR製品を導入する際の注意点は?

EDR製品は「脅威を検知する」、検知後の対応作業は人手の作業が中心となります。よって、製品導入後の運用体制についても検討する必要があります。JBサービスが提供する運用サービスはこちらです。

EDR製品を運用できる体制が社内がない場合は?

セキュリティ運用をアウトソースしてみてはいかがでしょうか。JBサービスが提供する運用サービスはこちらです。

関連サービス
Cortex XDR (統合型セキュリティプラットフォーム|EPP×EDR×NTA×UBA×SIEM×AI)

Cortex XDR (統合型セキュリティプラットフォーム|EPP×EDR×NTA×UBA×SIEM×AI)

Cortex XDRとは、ネットワーク・エンドポイント・クラウドに跨るデータをAIを活用した分析によって、脅威の発見・分析・対処までを一元化して提供するクラウドベースのアプリケーションです。JBサービス(JBS)は企業の情報セキュリティ対策・ITシステム運用をご提供いたします。

詳しく »