ITキーワード

EDR とは?アンチウイルス(AV)や次世代ウイルス(NGAV)との違いやエンドポイントセキュリティ対策が必要な理由を解説

EDR とは、サイバー攻撃を受けたことを発見した段階で対処を行うソフトウェアのことです。この記事では、EDR について興味がある人に向けて、EDR とは何なのか、EDR の必要性や製品の選び方などについて詳しく解説します。この記事を読んで EDR への理解を深め、自社で導入すべきかどうかの判断に役立ててください。

EDR とは「エンドポイントでの検出と対応」のこと

EDR とは、「Endpoint Detection and Response」の頭文字をとった言葉です。日本語に訳すと、「エンドポイントでの検出と対応」となります。パソコンやタブレットといったエンドポイントと接続されているネットワークの操作や動作などを監視して、サイバー攻撃を受けたことがわかり次第、対処を行うソフトウェアの総称です。

エンドポイントがサイバー攻撃を受けるという前提のもとに監視を行い、被害を最小限に抑えることを目的としています。

似た用語との違いを解説

EDR と似た用語として、「アンチウイルス(AV)/EPP」や「次世代アンチウイルス(NGAV)」が挙げられます。EDR とこれらの用語にはどのような違いがあるのでしょうか。以下では、それぞれの違いについて詳しく解説します。

アンチウイルス(AV)/EPP との違い

アンチウイルス(AV)/EPP とは、ウイルス対策ソフトウェアの総称です。EPP は、エンドポイント保護プラットフォームとも言われています。その名のとおりエンドポイントを保護して、マルウェアなどのウイルスに感染しないようにしたり、悪質なプログラムの実行を防いだりします。

AV についても同様で、エンドポイントの保護、悪質なプログラム実行の阻止が目的です。

しかし、AV や EPP ではゼロデイ攻撃や APT 攻撃といった新たな脅威を検知して阻止することはできません。

次世代アンチウイルス(NGAV)との違い

次世代アンチウイルスは「Next Generation Anti-Virus」と表され、NGAV と略して呼ばれるケースもあります。AV や EPP の後続製品といった位置づけで、エンドポイント上の検査をしてアルゴリズムを用いて悪意のあるプログラムなどを検出・阻止します。

次世代アンチウイルスでは、エンドポイントセキュリティに新たなロジックを採用していることが特長です。マルウェアと非マルウェア攻撃の双方に対応できるため、進化を続けているサイバー攻撃への対策として有効だと言われています。

EDR を導入する効果・機能とは

EDR の導入により、ネットワークのエンドポイントをリアルタイムで監視できます。そのため、サイバー攻撃を受けたことにすぐに気づけます。また、ログデータを解析してサイバー攻撃の兆候などを検知することも可能です。

加えて、被害や感染状況の特定もできます。例えば、どのエンドポイントにサイバー攻撃が仕掛けられたか、ほかのエンドポイントへの感染がないかなどの確認が可能です。エンドポイントの状態を可視化できるため、現状の把握がしやすいこともポイントとして挙げられます。

監視を行うパソコンやスマホなどのデバイス付加も最小限に抑えられます。

EDR が必要な理由とは

マルウェアは日々進化し続け、サイバー攻撃の手法も巧妙化しており、ウイルスへの感染やマルウェアの侵入をゼロにすることは不可能だと言われています。ウイルスなどの被害を最小限に抑えるためには、ウイルスに感染しないことに重点を置いた対策ではなく、ウイルスに感染するという前提での対策が重要です。

また、サイバー攻撃があった場合、それを素早く検知し除去することが大切だという考え方も広く浸透しつつあります。そのため、エンドポイントをリアルタイムで監視し検出できる EDR の必要性が高まっています。

EDR の仕組みを解説

EDR はエンドポイントを監視して、マルウェアなどの不審な動きがないかどうかを常に見張るシステムです。そのため、エンドポイントに専用のソフトウェアを設置して、ログを常時取得・監視しています。収集したログデータはサーバー上に蓄積され分析が行われます。この際、疑いのある動きがあれば管理者に通知されるという仕組みです。

通知を受けた管理者はログの内容や通知内容を精査して、トラブルの原因や影響のある範囲などを調査し、適切な対応が取れます。このように、疑わしい挙動があった際にはすぐに通知され、事後対応が効率的かつ迅速に行えるシステムになっています。

従来のウイルス対策ソフトとの違いは

従来のウイルス対策ソフトは、ウイルスの侵入を防ぐことを目的としています。一方、EDR はウイルスが侵入するという前提で、ウイルスが侵入した際の対策に重点を置いていることが特長です。

EDR では、ウイルスの検知や感染後の迅速な対応を行うことが目的となっているため、検出や調査、事後対応などに優れています。

EDR 製品を選ぶときのポイント

EDR 製品を選ぶ際には、どのようなポイントを意識すれば良いでしょうか。この章で EDR 製品の選び方を押さえましょう。

高精度な検知知能があるか

EDR 製品を選ぶポイントとして重視したいのが、検知能力です。

サイバー攻撃の手法は日々進化・巧妙化しているため、高精度な検知能力は欠かせません。既存のマルウェアだけでなく、未知のマルウェアも検知できるか、最新の脅威の検知が可能かなど確認しておきましょう。また、複数のエンドポイントで高精度に脅威を見つけられるかもどうかも重要です。

調査のサポートが充実しているか

マルウェアなどに感染した際には、検出や除去が迅速にできることも重要ですが、「どこから感染したのか」「どのような部分に影響があるのか」といった調査も大切です。

そのため、感染経路や影響のある範囲などの調査が自動で行えるか確認しましょう。調査を効率化できる機能があれば作業が楽になります。

導入がしやすいか

EDR では、エンドポイントに専用のソフトウェアを導入する必要があります。そのため、導入しやすいかどうかをチェックしましょう。

例えば、「ソフトウェアを導入するときにエンドユーザーの作業に対して影響が出ないかどうか」「あらかじめ設定していた状態のまま転換できるのか」などを確認しておくと安心です。

既存の ICT 環境に大きな負荷がかからないか

既存の ICT 環境に与える負荷についても考慮しなければいけません。

高性能・高機能な EDR 製品であっても、既存の ICT 環境への負荷がかかりすぎてしまうと動作が重くなり、業務効率の低下につながります。そのため、EDR 製品を本格的に導入する前に、できれば負荷について検証しておくと良いでしょう。

分析処理の精度はどの程度か

EDR では、それぞれのエンドポイントから集めたログデータを、サーバーで分析して脅威を検出します。そのため、サーバーの機能によって、システム全体の安定性や分析処理精度が大きく異なります。

分析精度を高めたい場合は、外部のインテリジェンス情報などと組み合わせながら分析できる製品を選びましょう。

製品の評価は良いか

EDR 製品を選ぶ際には、製品評価も参考にしましょう。EDR 製品にはさまざまなものがあり、スペックや特長だけでは比較しにくくなっています。そのため、実際に利用している企業の評価なども重要な要素です。

また、評価機関や調査会社といった中立な第三者機関の調査結果や機能評価、売り上げなども比較検討の際の材料になります。

EDR と EPP を組み合わせてサイバーキルチェーンの攻撃に対応することが大切

サイバーキルチェーンとは、サイバー攻撃の動きを構造化して、7つの段階に分類したものです。サイバーキルチェーンに対応するためには、EDR と EPP を組み合わせることが大切です。ここでは、攻撃の流れについて解説します。

フェーズ1:偵察

攻撃者が攻撃対象となる個人や企業に侵入するために、必要な調査を行うフェーズです。名刺交換や SNS などを利用するケースも多いようです。また、企業のSNSアカウントだけでなく、従業員の SNS からも情報を集めて誰を標的にするかを決定します。

フェーズ2:武器化

ターゲットとなる人物を決定した後は、取引先や上司、同僚や友人などになりすましメールなどでマルウェアを送信します。偵察で得た情報をもとにメールなどが作成されているため、一目みただけではマルウェアとは気づかれないように細工されていることが特長です。

フェーズ3:デリバリー

ターゲットがマルウェアに感染した段階です。感染することで侵入のための経路が作られ、不正なコマンドをリモートで行う C&C サーバーが確立されます。これにより、攻撃者のサーバーと企業ネットワークの通信が確立されるため、自由にネットワークを利用できる状態になります。

フェーズ4:エクスプロイト

ターゲットのデバイスを利用して、さらなる攻撃を仕掛けるフェーズです。例えば、機密情報がどこにあるのかを探したり、企業内のネットワーク構造を把握したりといったことが挙げられます。攻撃期間は、長ければ数年程度かけることもあるようです。

フェーズ5:侵入

エクスプロイトで判明した機密情報へアクセスできるデバイスへ侵入する段階です。機密情報へアクセスできるデバイスは限定されているケースが多いため、権限が与えられているデバイスへ侵入して、情報を盗み出すという状態を作り出します。

フェーズ6:潜伏活動

機密情報へアクセスできるデバイスへ侵入したら潜伏活動を行い、実際に重要な情報を盗んだり、破壊・改ざんしたりします。情報の盗み出しは、確立した C&C サーバーへの経路を使って送信します。情報を盗み出したり破壊したりする作業は、短ければ数分程度で終わる場合もあるようです。

フェーズ7:目的の実行

目的の実行とは、侵入の痕跡を消去するフェーズです。例えば、ログファイルやマルウェアなどの行動履歴などを消して、侵入した跡を残らないようにします。これによって、攻撃を受けたこと自体が判明しにくくなります。攻撃が判明しても、痕跡が消えていて情報がないので追跡が難しくなります。

まとめ

EDR とは、エンドポイントと接続しているネットワークを監視してサイバー攻撃の検出・対処を行うソフトウェアのことです。巧妙化しているサイバー攻撃への対策として注目されており、EPP と組み合わせて活用することで、サイバーキルチェーンへの対策にもなります。

SBテクノロジーの EDR のセキュリティ監視サービス 「MSS for EDR」では、セキュリティ専門のアナリストがネットワーク内端末のセキュリティ調査を行います。また、セキュリティアラートが発生した際には、顧客に代わって抑制対応が可能です。英語でのサポート対応も可能で、海外に拠点がある企業でも便利に利用できます。