ITキーワード

EDR とは何か?EDR の活用で得られる効果・EDR の選び方など徹底解説!

EDR は、エンドポイントにおけるサイバーセキュリティを強化するためのソリューションです。巧妙化し続けるサイバー攻撃の脅威に対抗するため、セキュリティ対策を強化したいと考える人は多いです。

この記事では、ウイルス対策ソフトでは防ぎきれないマルウェアなどのセキュリティ対策が可能な EDR について紹介します。EDR の4つの機能・効果・選び方について、解説しているので、社内のセキュリティを高めるために役立ててください。

EDR とは?

EDR は「Endpoint Detection and Response」を略した言葉です。ここでは、EDR とは何かについて解説します。

エンドポイントでのサイバーセキュリティのためのソリューション

エンドポイントとは、IT 分野において、ネットワークに接続している末端の機器にあたる、パソコンやタブレットなどを指します。EDR は、エンドポイントにおけるセキュリティを強化するためのソリューションです。ウイルス対策ソフトを簡単にすり抜けるマルウェアに対抗するためには、EDR が必要となります。

未知のマルウェアの不正な挙動などを検知

EDR は、マルウェアの不正な挙動などを検知・発見します。マルウェアに感染した場合は、迅速な対策を行うことが必要です。EDR は、エンドポイントにおける操作・動作などを常時監視し、サイバー攻撃からの被害を最小限に抑えます。

ウイルス対策ソフトウェア(AV/EPP)との違い

AV は「Antivirus」、EPP は「Endpoint Protection Platform」の略語で、ウイルスの侵入を食い止めるウイルス対策ソフトです。AV/EPP は、データベースとして登録されているウイルスの侵入を防ぎます。サイバー攻撃が高度化したことで、AV/EPP では防げない未知のウイルスの検知と対策を行うのが EDR です。

マルウェア検知ソフトウェア(NGAV/NGEPP)との違い

NGAV は「Next Generation Antivirus」、NGEPP は「Next Generation Endpoint Protection Platform」の略語で、マルウェアなどの侵入を効果的に食い止めます。振る舞い検知・機械学習といった技術により、AV/EPP では防げないマルウェア感染を防ぎます。NGAV/NGEPP でも防ぎ切れないマルウェアへの対策として、EDR による処置が必要とされています。

EDR の重要な4つの機能

EDR の重要な4つの機能について解説します。

異常な動作の検知

EDR は、端末を常時監視して記録をとることで、異常な動作の検知を行っています。ウイルス対策ソフトをすり抜け、侵入してしまったマルウェアの動きと攻撃性の有無を監視します。パソコンなどエンドポイントに侵入してしまったマルウェアの異常な動作をすみやかに検知することで、インシデントの発生を初期段階で差し止めます。

悪意の攻撃の阻止

EDR は、エンドポイントにおける悪意のある攻撃を阻止します。EDR は、侵入したマルウェアによる悪意の攻撃を検知するとすぐに、プログラムを強制終了させ、コマンドも停止します。マルウェアが侵入した端末の被害を最小限に抑えるだけでなく、ネットワークを即時に遮断することで、他の端末への被害も防止します。

攻撃の全貌調査

EDR は、マルウェアからの攻撃の全貌を調査します。マルウェアの種類を特定し、侵入経路、侵入目的などを明らかにします。情報漏えいの有無・情報漏えいしたものが何かなどの情報収集を行います。発見されたマルウェアが、何であるか・流行している物なのかなどの調査も行います。調査と情報収集を十分に行うことで、適切な対策が行なえます。

迅速な対処と復旧

マルウェアの種類、被害状況などがすべて把握できたら、迅速な対処と復旧を行います。業務に対する影響を最小限に抑えるためには、できる限り迅速に対応しなければなりません。EDR は、危険なファイルを削除し、悪意あるプロセスを終了させます。また、レジストリを更新し、端末のネットワークの復旧まで行います。

サイバー攻撃の脅威と EDR の必要性

サイバー攻撃の脅威と EDR の必要性について解説します。

増大するサイバー攻撃の脅威

サイバー攻撃による脅威は増え続けており、被害に関するニュースは後を絶ちません。サイバー攻撃が受ける危険性は常に存在し、攻撃を受けることで情報漏えいにつながるリスクもあります。高度化するサイバー攻撃の脅威への対策として、EDR の導入は必要不可欠といえます。

巧妙化し続けるサイバー攻撃

サイバー攻撃は、巧妙化し続けています。セキュリティ対策を施していても、サイバー攻撃の被害にあうケースは少なくありません。偽装メールだと気づかずクリックしただけで、社内の情報が流出してしまうなどのインシデントは後を絶ちません。

テレワーク普及によるセキュリティリスクの増加

新型コロナウイルス感染症への対策として、テレワークが普及し、導入を検討する企業も増えています。パソコンなどの端末を社外に持ち出すことで、セキュリティリスクは増加します。リスクを回避するためには、EDR による入念な対策が必要です。

エンドポイントにおける対策の重要性

ウイルス対策ソフトをすり抜けるマルウェアのなどの存在により、エンドポイントでの対策が重要だと言われるようになりました。マルウェアの感染を防ぐのではなく、感染を前提とし、その後の対策が重要視されています。通常のセキュリティ対策をすり抜けるサイバー攻撃への対策を目的とする EDR は、今後欠かせないものとなるでしょう。

EDR の活用で得られる効果

EDR の活用で得られる効果について解説します。

マルウェアなどに感染した後の対策が行える

EDR を導入することで、未知のマルウェアに感染してしまっても、対策が行なえるため安心です。潜んでいるマルウェアなどの脅威を早い段階で自動的に検知することで、迅速な対策が行えます。EDR は、感染を防ぐのではなく、感染することを前提とし、感染してしまった後でも、対策を行なえる点が特徴です。

サイバー攻撃からの被害を最小限で防げる

EDR は、サーバー攻撃からの被害を最小限で防ぎます。エンドポイントであるパソコンなどにおけるサイバー攻撃を検知すると、速やかにネットワークを遮断します。マルウェアに感染した端末を隔離することで、被害の拡大を防止するのはもちろん、二次被害も効果的に防ぎます。

マルウェアなどの侵入経路・被害の範囲を特定できる

EDR はマルウェアの侵入経路や被害の範囲を特定できるため、被害状況を可視化するのに役立ちます。状況がすぐに明らかになるので、適切な対処が可能です。明らかになったサイバー攻撃の原因は、新たなセキュリティ対策を実行するための情報として活用できます。

インシデント発生の原因を明確にできる

EDR が、サイバー攻撃の原因を明確にすることで、インシデントが発生した際の原因も明確になります。インシデント発生時の利害関係者への対応が迅速に行えるだけでなく、謝罪やインシデント対応の説明もきちんと行えます。

EDR ソリューションの選び方

EDR ソリューションの選び方について解説します。

検知・阻止・調査・復旧の4つの機能があるかを確認する

EDR ソリューションを選ぶ際には、検知・阻止・調査・復旧の4つの機能が備わっていることをしっかりとチェックする必要があります。脅威の検知ができるのはもちろん、適切な対策が行えることが重要です。

集めるログデータの種類と保存場所を確認する

集めるログデータの種類と保存場所をよく確認したうえで、EDR ソリューションを選びましょう。EDR は、通信情報・ログイン履歴・操作ファイル名・ログの削除履歴などのログテータの分析を行い、端末上や管理サーバー上に保存されます。

対応しているシステム環境を確認する

EDR ソリューションによって、対応しているサーバー、OS、端末は異なるため、対応しているシステム環境を必ず確認しましょう。既存の環境に与える影響を考慮し、CPU・メモリ・ネットワークなどに対する負荷についても確認することをおすすめします。

他のシステムと連携できるかを確認する

他のシステムと連携できるかを確認しましょう。EDR の機能を最大限に活用するためには、他のシステムと連携させる必要があります。アンチウイルス・ファイアウォールなどの防御系機能と一体化できるものを選びましょう。

クラウド型・オンプレミス型のどちらを導入するかを確認する

クラウド型とオンプレミス型のどちらを導入するかを確認しましょう。クラウド型はインターネットが利用できれば活用できるため、社外で端末を操作する際には、非常に有用です。オンライン化されていない端末の場合は、オンプレミス型が有効となります。

まとめ

EDR は、従来のウイルス対策ソフトで防ぎきれない、未知のマルウェアなどの脅威を防ぐためのソリューションです。巧妙化するマルウェアなどからのサイバー攻撃に対抗するためには、EDR によるセキュリティの強化が必要不可欠です。

SBテクノロジーの MSS for EDR は、EDR 製品を導入している企業に対して常時監視や分析のサービスを提供しています。24時間365日いつでもシステムを監視できる最先端のセキュリティ監視センター(SOC)を完備していることが特徴です。セキュリティを専門とする経験豊富なアナリストたちがノウハウを活かしてシステムを保護するため、自社のセキュリティ対策のために役立ててはいかがでしょうか。